DocHub

Fortinet VPN

Integração VPN Fortinet via protocolo SAML

Integração com alto nível de segurança para acesso à VPN, fácil configuração no ambiente Fortinet, e simples integração com FaceSign.

🔐 Configurar Acesso à VPN Fortinet via SAML com FaceSign

Esta documentação orienta passo a passo a configuração do FortiGate (FortiOS) para permitir o acesso à VPN corporativa usando autenticação SAML com o FaceSign. Com essa integração, seus usuários poderão se conectar à rede interna com login único (SSO) e autenticação biométrica por reconhecimento facial.

✅ O FaceSign já está preparado para autenticação SAML. Esta configuração permite que o Fortinet use o FaceSign como IdP (Identity Provider).

📋 Pré-requisitos

Antes de começar, verifique se você tem:

  • Um dispositivo FortiGate com FortiOS 6.4 ou superior.

  • Acesso administrativo ao FortiGate (via GUI ou CLI).

  • Uma conta ativa no FaceSign com permissões de administração.

  • O domínio da sua empresa configurado no FaceSign.

  • O certificado SAML (se necessário) exportado do FaceSign (opcional, dependendo da configuração).

1. Obter os dados do SAML no FaceSign

Para saber como obter os dados do SAML no FaceSign clique aqui

2. Configurar o SAML no FortiGate

Acessar a interface do FortiGate

  1. Acesse a interface web do FortiGate (https://<seu-fortigate-ip>).

  2. Faça login como administrador.

Criar um novo Serviço SAML

  1. Acesse User & Authentication > Single Sign-On

  2. Clique em Create New.

  3. Preencha os campos:

Campo
Valor

Name

FaceSign-SAML

IdP Entity ID

Cole o Entity ID do FaceSign

Single Sign-On URL

Cole o SSO URL do FaceSign

IdP Certificate

Importe o certificado X.509 baixado do FaceSign

User Name

name (ou email, conforme mapeamento no FaceSign)

Group Name

group (opcional, se usar grupos para políticas de acesso)

Digest Method

SHA256

Signature Algorithm

RSA with SHA256

SLO (Single Logout)

Desativado (opcional)

✅ Marque "Enable" e salve.

3. Criar um Grupo de Usuários SAML

  1. Vá para User & Authentication > User Groups.

  2. Clique em Create New.

  3. Nomeie o grupo: VPN-Access-FaceSign

  4. Em Type, selecione Firewall.

  5. Em Members, clique em Add e selecione o SAML criado: FaceSign-SAML.

  6. Salve o grupo.

4. Configurar o Perfil de Acesso à VPN

A. Ativar e configurar a VPN SSL

  1. Vá para VPN > SSL-VPN Settings.

  2. Defina:

    • Listen Interface(s): wan1 (ou interface pública)

    • Listen Port: utilize a porta configurada.

    • Tunnel Mode: habilitado.

  3. Em Authentication/Portal Mapping:

    • Clique em Create New.

    • User/Group: selecione apenas o grupo criado para o SAML.

    • Portal: selecione o portal criado (ex: tunnel-access).

    • Clique em OK.

B. Ajustar a Política de Firewall

  1. Vá para Policy & Objects > IPv4 Policy.

  2. Crie uma nova política:

    • Incoming Interface: ssl.root (ou interface SSL-VPN)

    • Outgoing Interface: internal (ou rede interna)

    • Source: defina sempre os IPs fornecidos pela VPN e o grupo associado ao SAML.

    • Destination: internal-network

    • Service: ALL

    • Action: ACCEPT

    • NAT: pode estar habilitado ou não, dependendo do cenário:

      • Sem Nat (recomendado): quando for feito roteamento diretamente para os IPs fornecidos pela VPN.

      • Com Nat: apenas se necessário em ambientes de cliente para cliente.

    • Users: Selecione o grupo VPN-Access-FaceSign

✅ Salve a política.

5. Testar a Conexão

  1. Abra o FortiClient e insira a URL de acesso à VPN (pode ser IP ou host, sendo recomendado o uso de host com certificado válido).

  2. Certifique-se de que a opção Single Sign-On (SSO) esteja ativada.

  3. Você será redirecionado para o FaceSign.

  4. Faça login com seu e-mail.

  5. Realize a autenticação biométrica por reconhecimento facial.

  6. Após aprovado, você será redirecionado ao portal SSL-VPN.

  7. Clique em "Connect" para estabelecer o túnel.

🎉 Sucesso! Você está conectado à rede interna com segurança biométrica.

🔐 Boas Práticas de Segurança

  • Use certificados SSL válidos no FortiGate (não autoassinados).

  • Limite o acesso à interface de administração do FortiGate.

  • Monitore os logs de autenticação em Log & Report > SAML.

  • Revogue usuários no FaceSign para bloquear acesso imediato.

🛠️ Solução de Problemas

Problema
Solução

"Invalid SAML response"

Verifique o certificado e o clock do FortiGate (sincronize com NTP).

Redirecionamento falha

Confira se o SSO URL e Entity ID estão corretos.

Usuário autentica mas não conecta

Valide se o usuário está no grupo VPN-Access-FaceSign.

Erro de certificado

Importe o certificado do FaceSign corretamente no FortiGate.

📚 Recursos Adicionais

✅ Pronto! Agora seus usuários podem acessar a VPN com segurança, praticidade e identidade verificada por IA com o FaceSign.

AnteriorMFAPróximoCRM

Atualizado