如何设置 Hailbytes VPN 身份验证

在本节中，我们将简要介绍如何使用 OIDC 多重身份验证集成您的身份提供商。 本指南面向使用 Azure Active Directory。 不同的身份提供商可能有不常见的配置和其他问题。

• 我们建议您使用已完全支持和测试的提供商之一：Azure Active Directory、Okta、Onelogin、Keycloak、Auth0 和 Google Workspace。

• 如果您没有使用推荐的 OIDC 提供商，则需要进行以下配置。

           a) discovery_document_uri：OpenID Connect 提供商配置 URI，它返回一个 JSON 文档，用于构造对此 OIDC 提供商的后续请求。 一些提供商将此称为“众所周知的 URL”。

          b) client_id：应用程序的客户端 ID。

          c) client_secret：应用程序的客户端密钥。

          d）redirect_uri：指示 OIDC 提供商在身份验证后重定向到何处。 这应该是您的 Firezone EXTERNAL_URL + /auth/oidc/ /callback/，例如 https://firezone.example.com/auth/oidc/google/callback/。

          e)response_type：设置为代码。

          f) 范围：从 OIDC 提供商处获取的 OIDC 范围。 Firezone 至少需要 openid 和电子邮件范围。

          g) 标签：Firezone 门户登录页面上显示的按钮标签文本。

• 导航到 Azure 门户上的 Azure Active Directory 页面。 选择“管理”菜单下的“应用程序注册”链接，单击“新注册”，然后输入以下内容后进行注册：

          a) 名称：火区

          b) 支持的帐户类型：（仅限默认目录 - 单个租户）

          c) 重定向 URI：这应该是您的 Firezone EXTERNAL_URL + /auth/oidc/ /callback/，例如 https://firezone.example.com/auth/oidc/azure/callback/。

• 注册后，打开应用程序的详细信息视图并复制应用程序（客户端）ID。 这将是 client_id 值。
• 打开端点菜单以检索 OpenID Connect 元数据文档。 这将是 discovery_document_uri 值。

• 选择“管理”菜单下的“证书和机密”链接并创建新的客户端机密。 复制客户端密钥。 这将是 client_secret 值。

• 选择“管理”菜单下的 API 权限链接，单击“添加权限”，然后选择“Microsoft Graph”。 将 email、openid、offline_access 和 profile 添加到所需的权限。

• 导航到管理门户中的 /settings/security 页面，单击“添加 OpenID Connect 提供商”并输入您在上述步骤中获得的详细信息。

• 启用或禁用自动创建用户选项，以便在通过此身份验证机制登录时自动创建非特权用户。

恭喜！ 您应该在登录页面上看到“使用 Azure 登录”按钮。