Aufbau\/Topologie der einzelnen Komponenten<\/h4>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_01.jpg\")
<\/p>\n
1. Einrichtung SAML auf der Firebox<\/h4>\n
Im ersten Schritt wird die Grundkonfiguration auf der Firebox vorbereitet.<\/p>\n
- \n
- mit dem WSM an der\u00a0Firebox anmelden<\/strong><\/li>\n
- unter Setup \u2192 Authentication \u2192\u00a0Authentication Servers <\/strong>den Reiter SAML<\/strong>\u00a0w\u00e4hlen<\/li>\n
- Checkbox\u00a0Enable SAML<\/strong>\u00a0aktivieren<\/li>\n
- Namen f\u00fcr den Identity Provider (IdP) eintragen (in diesem Beispiel\u00a0EntraID SAML<\/strong>)<\/li>\n
- FQDN eintragen, \u00fcber den die Firebox von extern erreichbar ist (in diesem Beispiel vpn.ps-boc.de<\/a>)<\/li>\n
- den Punkt IdP Metadata URL erstmal leer lassen, wird nach der EntraID Einrichtung eingetragen
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_02.png\")
<\/strong><\/li>\n<\/ol>\nOb die Einrichtung erfolgreich geklappt hat, sollte unter\u00a0https:\/\/<firebox-ip>\/auth\/saml\/<\/em><\/strong>\u00a0gepr\u00fcft werden.
\nDas X.509 Zertifikat f\u00fcr die sp\u00e4tere Verwendung im Entra-Portal herunterladen!
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_03.png\")
\n<\/strong><\/p>\n2. Einrichtung Mobile SSLVPN auf der Firebox<\/h4>\n
Der zweite Schritt ist die Einrichtung der Authentication Methode im SSLVPN.<\/p>\n
- \n
- mit dem WSM an der\u00a0Firebox anmelden<\/strong><\/li>\n
- unter VPN \u2192 Mobile VPN \u2192 SSL… die\u00a0Konfiguration f\u00fcr Mobile VPN with SSL<\/strong>\u00a0aufrufen<\/li>\n
- Activate Mobile VPN with SSL<\/strong> aktivieren<\/li>\n
- unter der Primary IP-Adresse den gleichen FQDN wie unter Punkt 1.5 eintragen
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_04.png\")
<\/li>\n- im\u00a0Reiter Authentication<\/strong>\u00a0den angelegten\u00a0IdP aktivieren<\/strong><\/li>\n
- \u00fcber den Punkt New… eine neue Gruppe f\u00fcr unseren Authentication Server anlegen
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_05.png\")
<\/li>\n<\/ol>\n3. Microsoft Entra – Benutzer und Gruppen konfigurieren<\/h4>\n
Weiter geht die Einrichtung jetzt bei Microsoft in der Cloud. Hier muss man sich mit einem Enterprice-Admin-Konto anmelden, und in den Bereich Entra Admin Center \/ Identit\u00e4ten\u00a0<\/strong>wechseln.<\/p>\n
Dieser Abschnitt beschreibt die Einrichtung von Cloud-Benutzern und -Gruppen – besteht eine Hybridstellung und die Benutzer\/Gruppen werden aus einem lokalen AD gesynct, kann mit Punkt 4 fortgefahren werden.<\/p>\n
- \n
- Unter Benutzer \u2192 Alle Benutzer \u2192 Neuen Benutzer erstellen werden die Parameter f\u00fcr das Benutzerkonto definiert: Prinzipal-Name, Anzeigename und Passwort, Benutzer \u00dcberpr\u00fcfen und erstellen\u00a0<\/strong>klicken
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_06.png\")
<\/li>\n- Unter Gruppen \u2192 Alle Gruppen \u2192 Neue Gruppe einen Gruppennamen definieren<\/li>\n
- in der Gruppeneinrichtung \u00fcber den Link\u00a0Mitglieder\u00a0<\/strong>kann der zuvor angelegte Benutzer hier zugeordnet werden, anschlie\u00dfend Gruppe\u00a0Erstellen\u00a0<\/strong>klicken
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_07.png\")
<\/li>\n<\/ol>\n4. Microsoft Entra – Unternehmensanwendung konfigurieren<\/h4>\n
F\u00fcr die eigentliche Verbindung zwischen der Firebox und Entra wird eine Unternehmensanwendung definiert.<\/p>\n
- \n
- Anwendungen \u2192 Unternehmensanwendungen \u2192 Neue Anwendung<\/li>\n
- Eigene Anwendung erstellen
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_08.png\")
<\/li>\n - Die Anwendung bekommt einen Namen, in unserem Beispiel\u00a0T40 SAML \u2192 Erstellen\u00a0<\/strong>klicken und die Anwendung wird angelegt<\/li>\n
- Welche Gruppen diese Anwendung nutzen d\u00fcrfen, wird \u00fcber\u00a0Benutzer und Gruppen \u2192 Benutzer\/Gruppe\u00a0hinzuf\u00fcgen<\/strong> definiert
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_09.png\")
<\/li>\n- Weiter geht es mit der eigentlichen SAML-Konfiguration. Unter\u00a0Einmaliges Anmelden<\/strong> wird die grundlegende SAML-Konfiguration definiert. Hier werden die Eintr\u00e4ge von der Konfigurationsseite\u00a0https:\/\/<firebox-ip>\/auth\/saml\/<\/em><\/strong> verwendet:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_10.png\")
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_11.png\")
<\/em><\/li>\n- Im Bereich\u00a0Attribute & Anspr\u00fcche<\/strong>\u00a0wird angegeben, welche Attribute aus welcher Gruppe bei der Anmeldung gelesen werden sollen. \u00dcber\u00a0Neuen Gruppenanspruch hinzuf\u00fcgen<\/strong>\u00a0wird die Abfrage definiert:\n
- \n
- kommt die Gruppe aus einem AD, dann muss hier als Quellattribut sAMAccountName angegeben werden<\/li>\n
- ist die Gruppe in Entra angelegt (Punkt 3 dieser Anleitung), dann wird als Quellattribut Anzeigename f\u00fcr reine Cloudgruppen angegeben
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_12.png\")
<\/li>\n<\/ol>\n<\/li>\n - Im Bereich SAML-Zertifikate<\/strong> findet sich eine App-Verbundmetadaten-URL. Diese wird f\u00fcr die Firebox ben\u00f6tigt (Punkt 1.6 IdP Metadaten-URL). Es empfiehlt sich diese jetzt in einen Editor zu kopieren f\u00fcr die sp\u00e4tere Verwendung:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_13.png\")
<\/li>\n- Das Zertifikat was unter Punkt 1 gespeichert wurde, wird unter Tokenverschl\u00fcsselung<\/strong>, Zertifikat importieren hochgeladen<\/li>\n
- Anschlie\u00dfend die Tokenverschl\u00fcsselung f\u00fcr dieses Zertifikat aktivieren:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_14.png\")
<\/li>\n<\/ol>\nDamit ist die Installation auf der Entra-Seite abgeschlossen.<\/p>\n
5. Einrichtung SAML auf der Firebox abschlie\u00dfen<\/h4>\n
Im Authentication Servers unter dem Punkt SAML wird jetzt die gespeicherte URL von Punkt 4.7 eingetragen und gespeichert:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/11\/EntraID-und-SSLVPN_15.png\")
<\/p>\n6. Test der vorgenommenen Installation<\/h4>\n
F\u00fcr die SSLVPN-Anmeldung mit SAML ist mindestens der Client ab Version v12.11 notwendig:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/gif\/EntraID-und-SSLVPN_16.gif\")
<\/p>\nFazit<\/h3>\n
Die Absicherung von SSLVPN Zug\u00e4ngen durch einen zweiten Faktor (2FA) ist so mit Hilfe von Microsoft Entra m\u00f6glich. Auch wenn das Look-and-Feel mit den vielen Popups gew\u00f6hnungsbed\u00fcrftig ist, ist es dennoch eine leistungsstarke und sichere L\u00f6sung f\u00fcr den mobilen Zugriff auf Ihr Unternehmensnetzwerk.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die sichere Anbindung von mobilen Ger\u00e4ten an Unternehmensnetzwerke ist in Zeiten von Remote-Arbeit und Cloud-Diensten wichtiger denn je. Eine zuverl\u00e4ssige L\u00f6sung ist der Einsatz von SSLVPNs (Secure Socket Layer Virtual Private Networks) in Kombination mit Microsoft Entra, ehemals Azure AD, und einer robusten Zwei-Faktor-Authentifizierung (2FA). Seit Firmware v12.11 ist es m\u00f6glich, SSLVPN mit einem zweiten Faktor von Microsoft 365 abzusichern. Dieser Artikel zeigt Ihnen Schritt … Weiterlesen HOWTO: Mobile SSLVPN mit Microsoft Entra und 2FA<\/span>
- Das Zertifikat was unter Punkt 1 gespeichert wurde, wird unter Tokenverschl\u00fcsselung<\/strong>, Zertifikat importieren hochgeladen<\/li>\n
- Welche Gruppen diese Anwendung nutzen d\u00fcrfen, wird \u00fcber\u00a0Benutzer und Gruppen \u2192 Benutzer\/Gruppe\u00a0hinzuf\u00fcgen<\/strong> definiert
- unter VPN \u2192 Mobile VPN \u2192 SSL… die\u00a0Konfiguration f\u00fcr Mobile VPN with SSL<\/strong>\u00a0aufrufen<\/li>\n
- unter Setup \u2192 Authentication \u2192\u00a0Authentication Servers <\/strong>den Reiter SAML<\/strong>\u00a0w\u00e4hlen<\/li>\n