leo-le
Goto Top

Fortigate MFA über EMS und SAML

Hallo Forum,

wir migrierten vor kurzem zu einer Fortigate und nutzen auch EMS/ZTNA Lizenzen und somit den EMS Server.
Nun möchten wir im nächsten Schritt die MFA wieder realisieren.
Man kann wohl SAML über EMS konfigurieren oder eben auch direkt an der Fortigate, was macht da am meisten Sinn? Vermutlich die Fortigate selbst, da im HA? Die Idee ist, dass wir uns die FortiToken sparen und die MFA über das Azure AD abwickeln.
Geht der Test pro Client oder ist diese Umstellung generell nur global möglich und gibt es vielleicht Erfahrungswerte?

Vielen Dank im Voraus!

Content-ID: 23850288106

Url: https://administrator.de/forum/fortigate-mfa-ueber-ems-und-saml-23850288106.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

SeaStorm
SeaStorm 13.11.2023 um 16:25:32 Uhr
Goto Top
Hi

MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?

SAML am EMS ist eigentlich mehr für die Authentifizierung gegen den EMS, also um ein Nicht-Domain-joined Device einem User zuzuordnen. Ansonsten brauchst du mit ZTNA ja eigentlich keine weitere Authentifizierung ausser ggf der Client-VPN. Das ist ja das schöne an ZTNA. Du vergibst damit dann die Zugriffsrechte über die ZTNA Tags, die du dann uA über den User steuerst. Heisst, du berechtigst nicht mehr das Gerät des Users, sondern das Gerät wird anhand des angemeldeten Users berechtigt.

Ansonsten: SSLVPN per Azure SAML ist recht einfach und vielfach Dokumentiert.
Geht der Test pro Client oder ist diese Umstellung generell nur global
Im SSLVPN kannst du ja Portale anlegen. Da kannst du dann deine Testuser drauf legen.
Leo-le
Leo-le 13.11.2023 um 16:55:17 Uhr
Goto Top
Hi SeaStorm,

vielen Dank für die schnelle Antwort.
Habt Ihr SAML konfiguriert und seid zufrieden mit der Authentifizierung über den SSL VPN Client?

Viele Grüße
Leo-le
Leo-le 13.11.2023 um 16:56:10 Uhr
Goto Top
Eure User authentifizieren sich dann ganz normal über Handyapp goole Auth oder MS Authenticator? Hast du eine idee, wie sich User authentifizieren können ohne Handy?
Leo-le
Leo-le 13.11.2023 um 17:04:06 Uhr
Goto Top
Zitat von @SeaStorm:

Hi

MFA für was? Anmeldung an der VPN ? Generell zum Zugriff ins interne Netzwerk?

Die MFA soll für den Zugriff auf das lokale Standortnetzwerk durchgeführt werden.
SeaStorm
Lösung SeaStorm 13.11.2023 um 17:22:42 Uhr
Goto Top
Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...
surreal1
surreal1 13.11.2023 um 17:35:30 Uhr
Goto Top
Zitat von @SeaStorm:

Ja wir haben Azure SAML für VPN an allen Standorten aktiv. Klappt bestens.
Die ohne Handy bekommen einen OTP Generator von uns https://www.allfirewalls.de/Marken/Fortinet/FortiToken/FTK-200CD-10-Fort ...

Würde dringend von den Geräten abraten, haben 50 Stück bestellt nur um nach dem halben Jahr die neuere Revision bestellen zu müssen, da die Batterie leer ist und die Garantie dann läuft, wenn die Tokens von Fortinet an den jeweiligen Reseller verschifft werden. Wenn möglich die App nutzen, ansonsten das neuere Token Modell.
SeaStorm
SeaStorm 13.11.2023 aktualisiert um 17:46:24 Uhr
Goto Top
interessant. Hab gut 100 davon im Einsatz seit 2019 und bisher keine Probleme
Ist aber grundsätzlich egal welchen Token man nimm. Kann jeder Hersteller sein, solange er sich an den Standard hält.

Man packt die Dinger als OTP Token ins Azure. Die Fortigate hat damit nichts zu tun
Leo-le
Leo-le 13.11.2023 um 19:54:36 Uhr
Goto Top
Ja, super, besten Dank. Jetzt sah ich gerade, dass man wohl den Entra Plan 2 für die Gruppenzuweisung benötigt. Der Plan 2 kostet ca. 7 € pro User. Weißt du zufällig, ob man das auch anders lösen kann?
Leo-le
Leo-le 13.11.2023 um 19:56:39 Uhr
Goto Top
Ich gehe hier nach dieser Anleitung von Microsoft vor. https://learn.microsoft.com/en-us/entra/identity/saas-apps/fortigate-ssl ...
Leo-le
Leo-le 17.11.2023 um 16:08:04 Uhr
Goto Top
Nach vielem hin und her und Troubleshooting funktioniert nun alles.
ich sah jetzt gerade, dass diese OTP Generatoren gar nicht mehr verfügbar sind.
Könntet ihr noch ein weiteres Fabrikat empfehlen?