Fortinet VPN
Integração VPN Fortinet via protocolo SAML
Integração com alto nível de segurança para acesso à VPN, fácil configuração no ambiente Fortinet, e simples integração com FaceSign.
🔐 Configurar Acesso à VPN Fortinet via SAML com FaceSign
Esta documentação orienta passo a passo a configuração do FortiGate (FortiOS) para permitir o acesso à VPN corporativa usando autenticação SAML com o FaceSign. Com essa integração, seus usuários poderão se conectar à rede interna com login único (SSO) e autenticação biométrica por reconhecimento facial.
✅ O FaceSign já está preparado para autenticação SAML. Esta configuração permite que o Fortinet use o FaceSign como IdP (Identity Provider).
📋 Pré-requisitos
Antes de começar, verifique se você tem:
Um dispositivo FortiGate com FortiOS 6.4 ou superior.
Acesso administrativo ao FortiGate (via GUI ou CLI).
Uma conta ativa no FaceSign com permissões de administração.
O domínio da sua empresa configurado no FaceSign.
O certificado SAML (se necessário) exportado do FaceSign (opcional, dependendo da configuração).
1. Obter os dados do SAML no FaceSign
Para saber como obter os dados do SAML no FaceSign clique aqui
2. Configurar o SAML no FortiGate
Acessar a interface do FortiGate
Acesse a interface web do FortiGate (
https://<seu-fortigate-ip>).Faça login como administrador.
Criar um novo Serviço SAML
Navegue até User & Authentication > SAML.
Clique em Create New.
Preencha os campos:
Name
FaceSign-SAML
IdP Entity ID
Cole o Entity ID do FaceSign
Single Sign-On URL
Cole o SSO URL do FaceSign
IdP Certificate
Importe o certificado X.509 baixado do FaceSign
User Name
name (ou email, conforme mapeamento no FaceSign)
Group Name
group (opcional, se usar grupos para políticas de acesso)
Digest Method
SHA256
Signature Algorithm
RSA with SHA256
SLO (Single Logout)
Desativado (opcional)
✅ Marque "Enable" e salve.
3. Criar um Grupo de Usuários SAML
Vá para User & Authentication > User Groups.
Clique em Create New.
Nomeie o grupo:
VPN-Access-FaceSignEm Type, selecione Firewall.
Em Members, clique em Add e selecione o SAML criado:
FaceSign-SAML.Salve o grupo.
4. Configurar o Perfil de Acesso à VPN
A. Ativar e configurar a VPN SSL
Vá para VPN > SSL-VPN Settings.
Defina:
Listen Interface(s):
wan1(ou interface pública)Listen Port:
443Tunnel Mode habilitado
Em Authentication/Portal Mapping:
Clique em Create New
Portal:
tunnel-accessGroup:
VPN-Access-FaceSignUser:
All UsersClique em OK
B. Ajustar a Política de Firewall
Vá para Policy & Objects > IPv4 Policy.
Crie uma nova política:
Incoming Interface:
ssl.root(ou interface SSL-VPN)Outgoing Interface:
internal(ou rede interna)Source:
allDestination:
internal-networkService:
ALLAction:
ACCEPTNAT: Habilitado (recomendado)
Users: Selecione o grupo
VPN-Access-FaceSign
✅ Salve a política.
5. Testar a Conexão
Acesse a URL da VPN:
https://<seu-ip-publico>Você será redirecionado para o FaceSign.
Faça login com seu e-mail.
Realize a autenticação biométrica por reconhecimento facial.
Após aprovado, você será redirecionado ao portal SSL-VPN.
Clique em "Connect" para estabelecer o túnel.
🎉 Sucesso! Você está conectado à rede interna com segurança biométrica.
🔐 Boas Práticas de Segurança
Use certificados SSL válidos no FortiGate (não autoassinados).
Limite o acesso à interface de administração do FortiGate.
Monitore os logs de autenticação em Log & Report > SAML.
Revogue usuários no FaceSign para bloquear acesso imediato.
🛠️ Solução de Problemas
"Invalid SAML response"
Verifique o certificado e o clock do FortiGate (sincronize com NTP).
Redirecionamento falha
Confira se o SSO URL e Entity ID estão corretos.
Usuário autentica mas não conecta
Valide se o usuário está no grupo VPN-Access-FaceSign.
Erro de certificado
Importe o certificado do FaceSign corretamente no FortiGate.
📚 Recursos Adicionais
✅ Pronto! Agora seus usuários podem acessar a VPN com segurança, praticidade e identidade verificada por IA com o FaceSign.
Atualizado