FortiGate - SAML SSO login with Azure AD Yubikey

Ci-dessous la procédure pour mettre en place l'authentification sur le client FortiVPN via Azure AD avec une clé Yubikey.

La compatibilité Yubikey et FortiClient VPN "Gratuit" se fait à partir de la version 7.0.2, car à partir de cette version le client lourd dispose de l'option "Use external browser as user-agent for saml user authentication".

Procédure réalisée sur un FortiGate 301E en 7.0.2.

• Configuration SAML / VPN SSL :

1. Il faut tout d'abord réaliser la configuration SAML et VPN SSL pour cela rendez-vous sur le post FortiGate - SAML SSO login with Azure AD

2. Ajouter ensuite le paramètre suivant, il est très important, car il permet de laisser du temps à l'utilisateur d'effectuer son authentification avec la clé Yubikey, parce que le paramètre par défaut sur le FortiGate est de 5 seconds.

config global
set remoteauthtimeout 180
end

• Configuration FortiClient VPN

Attention : Cette solution n'est valable qu'avec la version 7.0.2.0090 ou supérieur du client FortiVPN.

Lien pour le client lourd "FortiClient VPN" : https://www.forticlient.com/downloads

1. Il faut cocher la case "Enable Sinfle Sign On (SSO)...." pour activer l'authentification SAML à travers le client FortiVPN.

2. Il faut cocher la case "Use external browser as user-agent...." pour activer l'authentification via votre navigateur par défaut.

Pour plus d'information :

https://support.yubico.com/hc/en-us/articles/360015669179-Using-YubiKeys-with-Azure-MFA-OATH-TOTP