En este artículo, abordaremos cómo implementar FortiGate como el Proveedor de Identidad SAML (IdP) para FortiManager en instalaciones locales, así como los problemas más comunes que pueden surgir durante este proceso. Dado que FortiGate y FortiManager deben estar correctamente sincronizados y funcionar con versiones compatibles, este artículo te guiará a través de los pasos necesarios para garantizar una configuración exitosa y sin problemas.
Descripción del problema
La configuración de FortiGate como IdP para FortiManager permite una gestión centralizada y simplificada de la seguridad de la red. Sin embargo, la falta de sincronización entre ambos dispositivos o una configuración incorrecta puede llevar a errores en el inicio de sesión único (SSO) o problemas de conectividad. Es esencial seguir correctamente los pasos para evitar tales inconvenientes.
Alcance
Este artículo se centra en los dispositivos FortiGate y FortiManager, específicamente en su interconexión mediante SAML. Aborda temas derivados de la configuración, la sincronización y los comandos necesarios para establecer la comunicación entre dispositivos.
Diagnóstico paso a paso
A continuación, detallamos los pasos para configurar correctamente FortiGate como un Proveedor de Identidad (IdP).
En FortiGate:
- Accede a Security Fabric -> Configuración de Security Fabric y selecciona Configuración de Inicio de Sesión Único.
- Ten en cuenta que FortiGate puede operar de forma independiente en esta configuración, ya que solo necesita estar conectado a FortiManager y no requiere tener su propio tejido de seguridad con otros cortafuegos.
- En caso de usar una configuración Multi-VDOM, esta configuración debe ser accesada en el VDOM global.
- Una vez cambiado a modo ‘IdP’, configura la ‘Dirección IdP’ y el ‘Certificado IdP’.
- Dirección IdP: es la dirección IP que utiliza FortiGate para contactar a FortiManager.
- Certificado IdP: puede ser un certificado de un tercero o uno de Fortinet. Después de seleccionar un certificado en esta sección, selecciona ‘descargar’ para guardarlo y luego importarlo a FortiManager.
- Selecciona ‘Crear nuevo’ en la sección ‘Proveedores de Servicio’.
- Completa la sección Nombre y Prefijo según sea necesario. Toma en cuenta que el valor de Prefijo es necesario para configurar la sección IdP en FortiManager posteriormente.
- Ingresa la dirección IP del servidor FortiManager en la sección ‘Dirección SP’. Si FortiManager está configurado para usar un puerto personalizado en lugar del puerto HTTPS regular 443, debes agregar el puerto en esta sección en el formato: <x.x.x.x>:número_de_puerto. Nota especial: si el número de puerto es inválido, se puede experimentar un ‘error de página 400’ al intentar acceder a FortiManager usando la opción SSO. No se debe agregar el puerto 443, ya que causaría un problema similar al agregar un número de puerto incorrecto.
- La sección Atributo SAML tiene el atributo nombre de usuario por defecto.
- Selecciona OK dos veces para guardar la configuración.
Usando CLI:
config system saml
set status enable
set role identity-provider
set cert «Fortinet_Factory»
set server-address «10.9.11.86:443» <—– Dirección IP de FortiGate de la interfaz conectada a FortiManager.
config service-providers
edit «FMG01»
set prefix «i9b2f0qzgunqdqoy»
set sp-entity-id «http://10.9.10.176:443/metadata/» <—– La dirección IP pertenece a FortiManager.
set sp-single-sign-on-url «https://10.9.10.176:443/saml/?acs«
set sp-single-logout-url «https://10.9.10.176:443/saml/?sls«
set sp-portal-url «https://10.9.10.176:443/saml/login/«
config assertion-attributes
edit «username»
next
end
next
end
end
En FortiManager:
- Accede a la sección Configuración del Sistema -> SAML SSO.
- Selecciona ‘Proveedor de Servicios (SP)‘.
- Verás que se completa automáticamente la sección SP. Recuerda que, si usas el puerto 443, no se debe añadir en ninguna entrada bajo la sección de Proveedor de Servicios.
- En la sección IdP, selecciona ‘Fortinet’ junto a ‘IdP Tipo‘.
- Dirección IdP: Ingresa la dirección IP de FortiGate incluyendo el número de puerto si se configuró un puerto personalizado para el acceso administrativo en la página SSO de FortiGate que fue configurada anteriormente. Ten en cuenta que, si se utiliza el puerto 443, no debes añadir el número de puerto en esta sección.
- Ingresa el valor de ‘Prefijo’ que se configuró en FortiGate anteriormente.
- En la sección ‘Certificado IdP’, selecciona importar y luego sube el certificado que se descargó previamente desde la opción ‘Certificado IdP’ de FortiGate.
- Guarda la configuración seleccionando ‘Aplicar’.
Nota:
Si se produce un error ‘Error: No coincide CSRFToken’, esto se debe a que ‘CSRF’ está bloqueado en la configuración de privacidad del navegador. Esta opción puede desbloquearse para la página de FortiManager solo en la configuración del navegador. Para más detalles sobre la solución de problemas del inicio de sesión SSO en FortiManager, consulta este artículo: Opciones de Solución de Problemas SAML SSO – FortiManager/FortiAnalyzer.
Usando CLI en FortiManager:
config system saml
set status enable
set server-address «10.9.10.176» <—– Dirección IP de la interfaz de FortiManager donde está conectado FortiGate.
set idp-entity-id «http://10.9.11.86/saml-idp/i9b2f0qzgunqdqoy/metadata/«
set idp-single-sign-on-url «https://10.9.11.86/saml-idp/i9b2f0qzgunqdqoy/login/«
set idp-single-logout-url «https://10.9.11.86/saml-idp/i9b2f0qzgunqdqoy/logout/«
set idp-cert «Fortinet_Factory»
end
Prueba de la implementación:
- Cierra sesión en FortiManager. Notarás la opción adicional ‘Iniciar sesión con Inicio de Sesión Único’. Selecciona esta opción para iniciar sesión.
- La página te redirigirá a la página de inicio de sesión SSO donde podrás utilizar una cuenta local en FortiGate para iniciar sesión en FortiManager.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!