הקמת P2S VPN עם הזדהות של Azure AD

מרץ 5, 2020 Avihai Hajaj Microsoft Azure, Network, Security, Virtual Network 0

לפני כמה חודשים מיקרוסופט שחררה אפשרות לביצוע אימות בחיבור VPN Point-To-Site לרשת ב-Azure בעזרת הזדהות Azure AD.

בפוסט זה אסביר כיצד להגדיר אימות על בסיס Azure AD בחיבור VPN לרשת Azure.

מה זה Point-To-Site?

פתרון Point-To-Site מאפשר לנו ליצור חיבור מאובטח לרשת שלנו (במקרה שלנו הרשת ב-Azure) ממחשב קצה באופן פרטני בלי תלות במיקום המחשב.

חיבור Point-To-Site אינו מצריך ציוד VPN מתקדם ומאפשר לנו גישה לרשת ברגע שהמשתמש מפעיל את התחברות (VPN Client) Point-To-Site הוא פתרון מצוין כאשר רוצים להתחבר ל-VNET ממיקום מרוחק כמו מהבית, בית קפה או אפילו שיש מספר ספקים או לקוחות שצריכים להתחבר לסביבה באופן מאובטח ללא צורך להשתמש בהתקני חומרה יקרים.

איך מקימים את הפתרון?

  1. ביצוע רישום לאפליקציה Azure VPN על Azure AD (יש צורך בהרשאות חזקות ב-Tennant).
  2. הקמת VPN Gateway.
  3. הפעלת Azure AD Authentication על VPN Gateway
  4. התקנת VPN Client ויבוא VPN Profile.
  5. חיבור ובדיקות תקינות.

אז בואו נתחיל לראות איך זה קורה

שלב 1 – ביצוע רישום לאפליקצית Azure VPN

מתחברים לפורטל Azure עם משתמש Global Admin ונכנסים ללינק הזה הפעלת Azure AD VPN

AzureADVPN1 הערה: אין צורך לשנות כלום (אין צורך לשנות את ה-ID בכתובת URL).

בוחרים את המשתמש שאיתו אנחנו מחוברים (משתמש עם הרשאות Global Admin) ומאשרים את האפליקציה. AzureADVPN2

ניתן לראות את Azure VPN תחת Azure AD – Enterprise Application.

AzureADVPN3

שלב 2 – הקמת VPN Gateway.

הולכים ל-Virtual Network  ומוודאים שיש Gateway Subnet AzureADVPN4

לאחר מכן, הולכים ל-Azure Virtual Network Gateway ומקיימים Gateway חדש. AzureADVPN5

הערה: VPN מסוג Basic לא תומך ב-OpenVPN.

שלב 3- הפעלת Azure AD Authentication על VPN Gateway

בזמן התקנת ה-Azure VPN, יש צורך לשמור מספר פרמטרים כדי להפעיל לאחר מכן את ה-VPN P2S בתצורה של Azure AD.
יש להעתיק את ה-Directory ID מ-Azure AD
AzureADVPN6

יש להעתיק את ה-Application ID מ-Azure VPN
AzureADVPN7

לאחר ששמרנו בצד את הערכים נוכל להתחיל בהגדרת Point-To-Site.

הולכים ל-Azure Gateway שיצרנו ובוחרים ב-Point-to-site configuration
מגדירים את ה-Pool שאיתו אנו מעוניינים להשתמש, תצורת הזדהות, מגדירים את ה-Tennat, Audience, Issuer ועושים שמירה.

  • Tenant: https://login.microsoftonline.com/<DirectoryID>
  • Audience: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
  • Issuer: https://sts.windows.net/<DirectoryID>

AzureADVPN8

שלב 4 – הורדת VPN Client ויבוא הפרופיל

לאחר ביצוע כל ההגדרות נעבור לשלב ההתקנה של ה-VPN.

יש להוריד את ה-VPN Profile אפשר גם דרך הפורטל ע”י לחיצה על הכפתור Download VPN Client (נצטרך אותו בהמשך). בנוסף להתקין Azure VPN Client להורדה לחץ כאןAzureADVPN9

יש ללחוץ על + לעשות Import ולבחור את ה-VPN Profile שהורדנו בהתחלה.AzureADVPN11

לאחר ביצוע היבוא יש ללחוץ על SaveAzureADVPN12


שלב 5 – חיבור וביצוע תקינות

לאחר שהגדרנו את הפרופיל נוכל להתחבר עם משתמש ב-Azure ADAzureADVPN13

נזין את הפרטים ונתחבר לסביבה שלנו בענןAzureADVPN14

הערה: יש לתת הרשאות למשתמשים שצריכים להתחבר דרך ה-VPN ע”י שיוך לאפליקציה Azure VPN ב-Azure AD

לסיכום

חיבור VPN Point-To-Site מאפשר לנו להתחבר מכל מקום בצורה מאובטחת ללא צורך בהתקנים יקרים אבל זה כמובן לא מה שחדש בפתרון. הוספת יכולת ההזדהות עם Azure AD במקום תעודה נותן רובד אבטחה חזק ומקטין את הסיכונים ע”י הוספת MFA ו/או Conditional Access בזמן החיבור.
בנוסף, מאפשר ניהול פשוט יותר לסביבה ע”י ניהול הרשאות לאפליקציה בעזרת Azure AD.

בהצלחה Smile

Be the first to comment

Leave a Reply

כתובת האימייל שלך לא תפורסם


*