通过 FortiCloud 账户登录 FortiGate

功能介绍

可以使用 FortiGate 所注册的 FortiCloud 账户登陆 FortiGate，当用户有多台属于同一 FortiCloud 账户下的设备时，使用同一个 FortiCloud 账户登录多台 FortiGate，方便用户统一管理设备账户与密码，减少维护成本。

支持 FortiCloud 主账户登录，也支持 FortiCloud 下注册的 IAM 账户登录。

注意事项

1. 账户必须是 FortiGate 注册到 FortiCloud 的账户。

2. 开启后登录界面的本地账户密码输入框默认隐藏，点击用户名输入框后可以显示。

3. 权限选择继承模式时，FortiCloud 主账户总是拥有 Super admin 权限，IAM 用户可以在 FortiCloud 中设置 Super admin 或 Readonly 权限。

4. 如果 FortiCloud 主账号开启了双因子认证，则其下面的 IAM 账户也必须开启双因子认证才能登陆。

   重要

   在 7.2.4 GA 后，可以在 FortiGate 本地设置覆盖 FortiCloud 账号的权限。

配置步骤

FortiGate 配置

1. 进入设备管理页面的“系统管理 → 设置”页面中，在单点登录部分开启“FortiCloud 单点登录”。

   

   -继承自 FortiCloud：默认情况下，FortiCloud 单点登录账户的权限（Default admin profile）会从 FortiCloud 的配置中继承，FortiCloud 主账户总是拥有 Super admin 权限，IAM 用户可以在 FortiCloud 中设置 Super admin 或 Readonly 权限。 -指定：在 7.2.4 GA 后，可以选择 Default admin profile 的模式为指定，本地覆盖 FortiCloud 账户的权限。

2. 对应的 CLI 如下。

   config system global
       set admin-forticloud-sso-login enable
       set admin-forticloud-sso-default-profile 'super_admin'    //这里的配置为指定模式，如果为继承模式，则这里为空，即''
   end

3. 这里我们先配置为默认的继承模式测试。

FortiCloud IAM 账户配置

重要

如果需要通过 FortiCloud 下的 IAM 子账户登录 FortiGate，则需要配置此部分。如果只需要使用 FortiCloud 主账户登录 FortiGate，则不需要配置此部分。

1. 通过 https://support.fortinet.com/iam 使用 FortiCloud 主账户登录 FortiCloud IAM 账户管理界面。

2. 进入 Permission Profiles 界面，右上角点击新建 Permission Profiles。

   

3. 填写 Permission Profiles 名称，点击右下角的 Add Portal 按钮。

   

4. 在弹出的页面中选择“FortiOS SSO”，点击 Add。

   

5. 开启 Access 按钮，右侧选择 Access Type 为 Ready Only，点击右上角的 Submit 按钮提交配置。

   

   

6. 进入 Users 界面，右上角点击新建 IAM User。

   

7. 填写用户相关信息，Username 用于登录 FortiGate，点击 Next。

   

8. 选择该用户的 Asset Folder，选择之前创建的 Permission Profile Ready_Only，点击 Next。

   

9. 确认信息无误后，点击 Confirm 创建账户。

   

10. 在后续页面的右下角点击 Generate Password 按钮，在弹出的窗口中点击 Generate Password 按钮。

    

11. 复制生成的 URL，并使用浏览器打开。

    

12. 在该 URL 下配置 IAM 用户的密码，记住这里的 Account ID，将用于 IAM 账户登录使用，点击 Submit 提交密码配置。

    

结果验证

FortiCloud 主账户登录

1. Default admin profile 为继承自 FortiCloud。

   

   config system global
       set admin-forticloud-sso-login enable
       set admin-forticloud-sso-default-profile ''
   end

2. 访问 FortiGate 登陆页面，可以看到增加了“由 FortiCloud 登入”的选项。

   

3. 选择 Email Login 方式，填入设备注册到的 FortiCloud 主账户和密码，点击 Log in 按钮。

   

4. 登录 FortiGate 成功，登录后的权限为 super_admin。

   

   date=2023-10-12 time=17:11:35 eventtime=1697101894379458919 tz="+0800" logid="0100032001" type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1697101894" user="xxxx" ui="sso(192.168.100.110)" method="sso" srcip=192.168.100.110 dstip=192.168.100.99 action="login" status="success" reason="none" profile="super_admin" msg="Administrator xxxx logged in successfully from sso(192.168.100.110)"

FortiCloud IAM 账户登录

1. Default admin profile 为继承自 FortiCloud。

   

2. 访问 FortiGate 登陆页面，可以看到增加了“由 FortiCloud 登入”的选项。

   

3. 选择 IAM Login 方式，填入 IAM 账户的 Account ID、用户名和密码，点击 Log in 按钮。

   

4. 登录 FortiGate 成功，登录后的权限为 read_only，且无法修改任何配置。

   

   date=2023-10-12 time=17:54:05 eventtime=1697104445968808759 tz="+0800" logid="0100032001" type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1697104445" user="bing" ui="sso(192.168.100.110)" method="sso" srcip=192.168.100.110 dstip=192.168.100.99 action="login" status="success" reason="none" profile="super_admin_readonly" msg="Administrator bing logged in successfully from sso(192.168.100.110)"

5. 使用本地管理员修改已创建的 FortiCloud IAM 用户的权限为 super_admin（如果是未登陆过的 FortiCloud 用户，则只需在系统管理 → 设置中修改 Default admin profile 为指定 super_admin 权限，如果是已登录过的 FortiCloud 账户，必须使用本地管理员在管理员设置中配置权限）。

   

6. 再次使用 FortiCloud IAM 用户登录，登录 FortiGate 成功，登录后的权限为 super_admin。