通过FortiCloud账户登录FortiGate

功能介绍

可以使用FortiGate所注册的FortiCloud账户登陆FortiGate,当用户有多台属于同一FortiCloud账户下的设备时,使用同一个FortiCloud账户登录多台FortiGate,方便用户统一管理设备账户与密码,减少维护成本。

支持FortiCloud主账户登录,也支持FortiCloud下注册的IAM账户登录。

注意事项

  1. 账户必须是FortiGate注册到FortiCloud的账户。

  2. 开启后登录界面的本地账户密码输入框默认隐藏,点击用户名输入框后可以显示。

  3. 权限选择继承模式时,FortiCloud主账户总是拥有Super admin权限,IAM用户可以在FortiCloud中设置Super admin或Readonly权限。

  4. 如果FortiCloud主账号开启了双因子认证,则其下面的IAM账户也必须开启双因子认证才能登陆。

    在7.2.4 GA后,可以在FortiGate本地设置覆盖FortiCloud账号的权限。

配置步骤

FortiGate配置

  1. 进入设备管理页面的“系统管理→设置”页面中,在单点登录部分开启“FortiCloud单点登录”。

    image-20231012160755658

    image-20231012161106398

    • 继承自FortiCloud:默认情况下,FortiCloud单点登录账户的权限(Default admin profile)会从FortiCloud的配置中继承,FortiCloud主账户总是拥有Super admin权限,IAM用户可以在FortiCloud中设置Super admin或Readonly权限。
    • 指定:在7.2.4 GA后,可以选择Default admin profile的模式为指定,本地覆盖FortiCloud账户的权限。
  2. 对应的CLI如下。

    config system global
        set admin-forticloud-sso-login enable
        set admin-forticloud-sso-default-profile 'super_admin'    //这里的配置为指定模式,如果为继承模式,则这里为空,即''
    end
    
  3. 这里我们先配置为默认的继承模式测试。

FortiCloud IAM账户配置

如果需要通过FortiCloud下的IAM子账户登录FortiGate,则需要配置此部分。如果只需要使用FortiCloud主账户登录FortiGate,则不需要配置此部分。
  1. 通过https://support.fortinet.com/iam 使用FortiCloud主账户登录FortiCloud IAM账户管理界面。

  2. 进入Permission Profiles界面,右上角点击新建Permission Profiles。

    image-20231012163546420

  3. 填写Permission Profiles名称,点击右下角的Add Portal按钮。

    image-20231012163800331

  4. 在弹出的页面中选择“FortiOS SSO”,点击Add。

    image-20231012174031449

  5. 开启Access按钮,右侧选择Access Type为Ready Only,点击右上角的Submit按钮提交配置。

    image-20231012174355994

    image-20231012164320010

  6. 进入Users界面,右上角点击新建IAM User。

    image-20231012162121508

  7. 填写用户相关信息,Username用于登录FortiGate,点击Next。

    image-20231012162743165

  8. 选择该用户的Asset Folder,选择之前创建的Permission Profile Ready_Only,点击Next。

    image-20231012174645329

  9. 确认信息无误后,点击Confirm创建账户。

    image-20231012174745726

  10. 在后续页面的右下角点击Generate Password按钮,在弹出的窗口中点击Generate Password按钮。

    image-20231012174928574

  11. 复制生成的URL,并使用浏览器打开。

    image-20231012170223288

  12. 在该URL下配置IAM用户的密码,记住这里的Account ID,将用于IAM账户登录使用,点击Submit提交密码配置。

    image-20231012175028329

结果验证

FortiCloud主账户登录

  1. Default admin profile为继承自FortiCloud。

    image-20231012160755658

    config system global
        set admin-forticloud-sso-login enable
        set admin-forticloud-sso-default-profile ''
    end
    
  2. 访问FortiGate登陆页面,可以看到增加了“由FortiCloud登入”的选项。

    image-20231012170836796

  3. 选择Email Login方式,填入设备注册到的FortiCloud主账户和密码,点击Log in按钮。

    image-20231012171112983

  4. 登录FortiGate成功,登录后的权限为super_admin。

    image-20231012171319931

    date=2023-10-12 time=17:11:35 eventtime=1697101894379458919 tz="+0800" logid="0100032001" type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1697101894" user="xxxx" ui="sso(192.168.100.110)" method="sso" srcip=192.168.100.110 dstip=192.168.100.99 action="login" status="success" reason="none" profile="super_admin" msg="Administrator xxxx logged in successfully from sso(192.168.100.110)"
    

FortiCloud IAM账户登录

  1. Default admin profile为继承自FortiCloud。

    image-20231012160755658

  2. 访问FortiGate登陆页面,可以看到增加了“由FortiCloud登入”的选项。

    image-20231012170836796

  3. 选择IAM Login方式,填入IAM账户的Account ID、用户名和密码,点击Log in按钮。

    image-20231012173215558

  4. 登录FortiGate成功,登录后的权限为read_only,且无法修改任何配置。

    image-20231012175506316

    date=2023-10-12 time=17:54:05 eventtime=1697104445968808759 tz="+0800" logid="0100032001" type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1697104445" user="bing" ui="sso(192.168.100.110)" method="sso" srcip=192.168.100.110 dstip=192.168.100.99 action="login" status="success" reason="none" profile="super_admin_readonly" msg="Administrator bing logged in successfully from sso(192.168.100.110)"
    
  5. 使用本地管理员修改已创建的FortiCloud IAM用户的权限为super_admin(如果是未登陆过的FortiCloud用户,则只需在系统管理→设置中修改Default admin profile为指定super_admin权限,如果是已登录过的FortiCloud账户,必须使用本地管理员在管理员设置中配置权限)。

    image-20231013112639822

    image-20231013112709781

  6. 再次使用FortiCloud IAM用户登录,登录FortiGate成功,登录后的权限为super_admin。

    image-20231013112829988

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""