Ci-dessous la procédure pour mettre en place l'authentification sur le client FortiVPN via Azure AD avec une clé Yubikey.
La compatibilité Yubikey et FortiClient VPN "Gratuit" se fait à partir de la version 7.0.2, car à partir de cette version le client lourd dispose de l'option "Use external browser as user-agent for saml user authentication".
Procédure réalisée sur un FortiGate 301E en 7.0.2.
Configuration SAML / VPN SSL :
Il faut tout d'abord réaliser la configuration SAML et VPN SSL pour cela rendez-vous sur le post FortiGate - SAML SSO login with Azure AD
Ajouter ensuite le paramètre suivant, il est très important, car il permet de laisser du temps à l'utilisateur d'effectuer son authentification avec la clé Yubikey, parce que le paramètre par défaut sur le FortiGate est de 5 seconds.
config global
set remoteauthtimeout 180
endConfiguration FortiClient VPN
Attention : Cette solution n'est valable qu'avec la version 7.0.2.0090 ou supérieur du client FortiVPN.
Lien pour le client lourd "FortiClient VPN" : https://www.forticlient.com/downloads
Il faut cocher la case "Enable Sinfle Sign On (SSO)...." pour activer l'authentification SAML à travers le client FortiVPN.
Il faut cocher la case "Use external browser as user-agent...." pour activer l'authentification via votre navigateur par défaut.
Pour plus d'information :
https://support.yubico.com/hc/en-us/articles/360015669179-Using-YubiKeys-with-Azure-MFA-OATH-TOTP