# Fortinet VPN ## **Integração VPN Fortinet via protocolo SAML** Integração com alto nível de segurança para acesso à VPN, fácil configuração no ambiente Fortinet, e simples integração com FaceSign. {% embed url="" %} ## 🔐 Configurar Acesso à VPN Fortinet via SAML com FaceSign Esta documentação orienta passo a passo a configuração do **FortiGate (FortiOS)** para permitir o acesso à **VPN corporativa usando autenticação SAML com o FaceSign**. Com essa integração, seus usuários poderão se conectar à rede interna com **login único (SSO)** e **autenticação biométrica por reconhecimento facial**. > ✅ O FaceSign já está preparado para autenticação SAML. Esta configuração permite que o Fortinet use o FaceSign como **IdP (Identity Provider)**. *** ### 📋 Pré-requisitos Antes de começar, verifique se você tem: * Um dispositivo **FortiGate** com FortiOS 6.4 ou superior. * Acesso administrativo ao FortiGate (via GUI ou CLI). * Uma conta ativa no **FaceSign** com permissões de administração. * O domínio da sua empresa configurado no FaceSign. * O certificado SAML (se necessário) exportado do FaceSign (opcional, dependendo da configuração). *** ### 1. Obter os dados do SAML no FaceSign Para saber como obter os dados do SAML no FaceSign clique [aqui](https://facesign.gitbook.io/biometria/produtos/mfa/configuracao-saml) *** ### 2. Configurar o SAML no FortiGate #### Acessar a interface do FortiGate 1. Acesse a interface web do FortiGate (`https://`). 2. Faça login como administrador. *** #### Criar um novo Serviço SAML 1. Acesse **User & Authentication > Single Sign-On** 2. Clique em **Create New**. 3. Preencha os campos: | Campo | Valor | | ----------------------- | ----------------------------------------------------------- | | **Name** | `FaceSign-SAML` | | **IdP Entity ID** | Cole o **Entity ID** do FaceSign | | **Single Sign-On URL** | Cole o **SSO URL** do FaceSign | | **IdP Certificate** | Importe o certificado X.509 baixado do FaceSign | | **User Name** | `name` (ou `email`, conforme mapeamento no FaceSign) | | **Group Name** | `group` (opcional, se usar grupos para políticas de acesso) | | **Digest Method** | SHA256 | | **Signature Algorithm** | RSA with SHA256 | | **SLO (Single Logout)** | Desativado (opcional) | > ✅ Marque **"Enable"** e salve. *** ### 3. Criar um Grupo de Usuários SAML 1. Vá para **User & Authentication > User Groups**. 2. Clique em **Create New**. 3. Nomeie o grupo: `VPN-Access-FaceSign` 4. Em **Type**, selecione **Firewall**. 5. Em **Members**, clique em **Add** e selecione o SAML criado: `FaceSign-SAML`. 6. Salve o grupo. *** ### 4. Configurar o Perfil de Acesso à VPN #### A. Ativar e configurar a VPN SSL 1. Vá para **VPN > SSL-VPN Settings**. 2. Defina: * **Listen Interface(s)**: `wan1` (ou interface pública) * **Listen Port**: utilize a porta configurada. * **Tunnel Mode:** habilitado. 3. Em **Authentication/Portal Mapping**: * Clique em **Create New.** * **User/Group:** selecione apenas o grupo criado para o **SAML**. * **Portal**: selecione o portal criado (ex: `tunnel-access`). * Clique em **OK.** *** #### B. Ajustar a Política de Firewall 1. Vá para **Policy & Objects > IPv4 Policy**. 2. Crie uma nova política: * **Incoming Interface**: `ssl.root` (ou interface SSL-VPN) * **Outgoing Interface**: `internal` (ou rede interna) * **Source**: defina sempre os **IPs fornecidos pela VPN** e o **grupo associado ao SAML.** * **Destination**: `internal-network` * **Service**: `ALL` * **Action**: `ACCEPT` * **NAT**: pode estar habilitado ou não, dependendo do cenário: * **Sem Nat (recomendado)**: quando for feito roteamento diretamente para os IPs fornecidos pela VPN. * **Com Nat:** apenas se necessário em ambientes de cliente para cliente. * **Users**: Selecione o grupo `VPN-Access-FaceSign` > ✅ Salve a política. *** ### 5. Testar a Conexão 1. Abra o **FortiClient** e insira a **URL de acesso à VPN** (pode ser IP ou host, sendo recomendado o uso de host com certificado válido). 2. Certifique-se de que a opção **Single Sign-On** (SSO) esteja ativada. 3. Você será redirecionado para o **FaceSign**. 4. Faça login com seu e-mail. 5. Realize a **autenticação biométrica por reconhecimento facial**. 6. Após aprovado, você será redirecionado ao portal **SSL-VPN.** 7. Clique em **"Connect"** para estabelecer o túnel. > 🎉 Sucesso! Você está conectado à rede interna com segurança biométrica. *** ### 🔐 Boas Práticas de Segurança * Use **certificados SSL válidos** no FortiGate (não autoassinados). * Limite o acesso à interface de administração do FortiGate. * Monitore os logs de autenticação em **Log & Report > SAML**. * Revogue usuários no FaceSign para bloquear acesso imediato. *** ### 🛠️ Solução de Problemas | Problema | Solução | | --------------------------------- | ---------------------------------------------------------------------------- | | "Invalid SAML response" | Verifique o **certificado** e o **clock do FortiGate** (sincronize com NTP). | | Redirecionamento falha | Confira se o **SSO URL** e **Entity ID** estão corretos. | | Usuário autentica mas não conecta | Valide se o usuário está no grupo `VPN-Access-FaceSign`. | | Erro de certificado | Importe o certificado do FaceSign corretamente no FortiGate. | *** ### 📚 Recursos Adicionais * [Documentação oficial do Fortinet sobre SAML](https://docs.fortinet.com) *** > ✅ Pronto! Agora seus usuários podem acessar a VPN com **segurança, praticidade e identidade verificada por IA** com o FaceSign. ***