Fortigate MFA über EMS und SAML
Hallo Forum,
wir migrierten vor kurzem zu einer Fortigate und nutzen auch EMS/ZTNA Lizenzen und somit den EMS Server.
Nun möchten wir im nächsten Schritt die MFA wieder realisieren.
Man kann wohl SAML über EMS konfigurieren oder eben auch direkt an der Fortigate, was macht da am meisten Sinn? Vermutlich die Fortigate selbst, da im HA? Die Idee ist, dass wir uns die FortiToken sparen und die MFA über das Azure AD abwickeln.
Geht der Test pro Client oder ist diese Umstellung generell nur global möglich und gibt es vielleicht Erfahrungswerte?
Vielen Dank im Voraus!
wir migrierten vor kurzem zu einer Fortigate und nutzen auch EMS/ZTNA Lizenzen und somit den EMS Server.
Nun möchten wir im nächsten Schritt die MFA wieder realisieren.
Man kann wohl SAML über EMS konfigurieren oder eben auch direkt an der Fortigate, was macht da am meisten Sinn? Vermutlich die Fortigate selbst, da im HA? Die Idee ist, dass wir uns die FortiToken sparen und die MFA über das Azure AD abwickeln.
Geht der Test pro Client oder ist diese Umstellung generell nur global möglich und gibt es vielleicht Erfahrungswerte?
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23850288106
Url: https://administrator.de/forum/fortigate-mfa-ueber-ems-und-saml-23850288106.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
10 Kommentare
Neuester Kommentar
Hi
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
SAML am EMS ist eigentlich mehr für die Authentifizierung gegen den EMS, also um ein Nicht-Domain-joined Device einem User zuzuordnen. Ansonsten brauchst du mit ZTNA ja eigentlich keine weitere Authentifizierung ausser ggf der Client-VPN. Das ist ja das schöne an ZTNA. Du vergibst damit dann die Zugriffsrechte über die ZTNA Tags, die du dann uA über den User steuerst. Heisst, du berechtigst nicht mehr das Gerät des Users, sondern das Gerät wird anhand des angemeldeten Users berechtigt.
Ansonsten: SSLVPN per Azure SAML ist recht einfach und vielfach Dokumentiert.
MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?
SAML am EMS ist eigentlich mehr für die Authentifizierung gegen den EMS, also um ein Nicht-Domain-joined Device einem User zuzuordnen. Ansonsten brauchst du mit ZTNA ja eigentlich keine weitere Authentifizierung ausser ggf der Client-VPN. Das ist ja das schöne an ZTNA. Du vergibst damit dann die Zugriffsrechte über die ZTNA Tags, die du dann uA über den User steuerst. Heisst, du berechtigst nicht mehr das Gerät des Users, sondern das Gerät wird anhand des angemeldeten Users berechtigt.
Ansonsten: SSLVPN per Azure SAML ist recht einfach und vielfach Dokumentiert.
Geht der Test pro Client oder ist diese Umstellung generell nur global
Im SSLVPN kannst du ja Portale anlegen. Da kannst du dann deine Testuser drauf legen.
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Zitat von @SeaStorm:
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
Würde dringend von den Geräten abraten, haben 50 Stück bestellt nur um nach dem halben Jahr die neuere Revision bestellen zu müssen, da die Batterie leer ist und die Garantie dann läuft, wenn die Tokens von Fortinet an den jeweiligen Reseller verschifft werden. Wenn möglich die App nutzen, ansonsten das neuere Token Modell.