# Guia de Integração de Biometria Facial via Protocolo SAML-IPsec #### Pré-requisitos Antes de iniciar o processo de configuração, assegure-se de que o seguinte item esteja disponível: 1. **Certificado Digital:** O certificado digital fornecido pela Facesign é essencial para estabelecer a confiança entre o FortiGate (Service Provider) e a plataforma Facesign (Identity Provider). Realize a importação deste certificado no seu appliance FortiGate antes de prosseguir.

*** ### 1. Configuração do Single Sign-On (SSO) com Facesign A primeira etapa consiste em registrar o Facesign como um provedor de identidade SAML no FortiGate. 1. Acesse a interface de administração do FortiGate e navegue até **User & Authentication > Single Sign-On.**

1. Crie uma nova entrada de SSO com as seguintes especificações: * **Name**: `Facesign SAML` (ou um nome descritivo de sua preferência). * **Service Provider Configuration:** * **Address:** Informe o endereço de acesso externo da sua VPN, no formato `vpn.seudominio.com.br:xxxx`. É possível utilizar o endereço IP e a porta correspondente. * **Identity Provider Details:** * Utilize as URLs (Entity ID, Single Sign-on service URL, Single logout service URL) fornecidas pelo portal da Facesign. * Importe o certificado digital da Facesign previamente carregado no FortiGate.

3. Após a criação, edite a configuração de SSO e, na seção **AD FS claim**, ative a opção correspondente para garantir a correta interpretação dos atributos de autenticação.

*** ### 2. Configuração do Grupo de Usuários VPN Crie um grupo de usuários que será associado à autenticação SAML. 1. Navegue até **User & Authentication > User Groups.** 2. Crie um novo grupo de usuários com as seguintes características: * **Name:** `GRP_VPN_SAML_FACESIGN` (ou um nome descritivo). * **Type**: `Firewall`. * **Remote Groups**: Adicione o servidor SSO criado na etapa anterior (`Facesign SAML`) como membro deste grupo.

*** ### 3. Configuração do Túnel VPN IPsec Esta seção detalha a criação e configuração do túnel IPsec. 1. Acesse **VPN > IPsec Tunnels** e inicie o assistente de criação (`VPN Creation Wizard`). 2. Selecione o template **Custom** e defina um nome para o túnel, como `SAML_VPN.`

3. **Configurações de Rede (Network):** * **IP Version:** IPv4. * **Remote Gateway:** Dialup User. * **Interface**: Selecione a interface de WAN correspondente. * **Client Address Range**: Defina a faixa de endereços IP que serão atribuídos aos clientes VPN. * **DNS Server:** Especifique os servidores DNS que serão utilizados pelos clientes conectados. * **Accessible Networks**: Defina as redes internas que poderão ser acessadas através da VPN.

4. **Configurações de Autenticação (Authentication):** * **Method**: Pre-shared Key. * **Version**: IKEv2. * **Peer Types:** Any peer ID. 5. **Configurações da Fase 1 (Phase 1 Proposal):** * **Encryption/Authentication:** Selecione os algoritmos desejados (ex: AES256/SHA256). * **Diffie-Hellman Group:** Selecione os grupos apropriados (ex: 14, 5). * **Key Lifetime:** 86400 segundos.

6. **Configurações da Fase 2 (Phase 2 Selectors):** * **Encryption/Authentication:** Selecione os algoritmos desejados (ex: AES128/SHA256). * **Enable Perfect Forward Secrecy (PFS):** Habilitado. * **Diffie-Hellman Group:** Selecione o grupo apropriado (ex: 5). * **Key Lifetime:** 43200 segundos. * **Autokey Keep Alive:** Habilitado.

#### 3.1. Ajustes via Linha de Comando (CLI) Para habilitar a autenticação EAP (Extensible Authentication Protocol), necessária para a integração SAML, execute os seguintes comandos na CLI do FortiGate:

Em seguida, configure a porta de escuta para a autenticação SAML no modo global:

Finalmente, associe o servidor SAML à interface de rede correspondente:

*** ### 4. Configuração da Política de Acesso (Firewall Policy) Crie uma política de firewall para permitir o tráfego da VPN para a rede interna. 1. Navegue até **Policy & Objects > Firewall Policy.** 2. Crie uma nova política com os seguintes parâmetros: * **Name**: `VPN_SAML_LAN` (ou um nome descritivo). * **Incoming Interface:** A interface do túnel IPsec (`SAML_VPN`). * **Outgoing Interface:** A interface da sua rede local (LAN). * **Source**: O grupo de usuários (`GRP_VPN_SAML_FACESIGN`) e a faixa de IPs da VPN. * **Destination**: A rede local que será acessada. * **Service**: `ALL` (ou serviços específicos). * **Action**: `ACCEPT`. * **Inspection Mode:** Flow-based.

*** ### 5. Configuração do Cliente VPN (FortiClient) No cliente final, configure a conexão VPN IPsec no FortiClient. 1. Crie uma nova conexão VPN com as seguintes configurações: * **VPN Type:** IPsec VPN. * **Connection Name:** `IPSEC FACESIGN` (ou um nome descritivo). * **Remote Gateway**: O endereço externo da sua VPN (`vpn.facesign.in`). * **Authentication Method:** Pre-shared Key. * **Single Sign-On (SSO) for VPN Tunnel:** Habilitar.

2. Configure as propostas de **Fase 1** e **Fase 2** para que correspondam às configurações definidas no firewall (IKE Proposal, DH Group, Key Lifetime, etc.).

*** ### 6. Processo de Conexão e Autenticação 1. No FortiClient, o usuário seleciona a conexão `VPN_SAML_IPSEC` e clica em **Conectar**.

2. Uma janela de autenticação SAML da Facesign será exibida, solicitando a **autenticação biométrica.**

3. Após a verificação biométrica bem-sucedida, a conexão **VPN** é estabelecida, e o usuário terá acesso aos recursos da rede interna definidos na política de firewall.

*** ### Suporte e Contato Para suporte técnico ou dúvidas, utilize o Portal Admin FaceSign ou entre em contato com nossa equipe através dos canais oficiais.