Takže jsem nastavil SAML a podle všeho je konfigurace správná. Portál (na portu 10433) se zobrazuje a přesměrování na Entra funguje. Přihlašuji se do Entra a odpověď je přesměrována zpět na Reply/Login URL: https://(ip adresa):(ssl vpn port):10433/remote/saml/login, což jen vyprší. Žádné systémové události a nic v diagnostických protokolech. Je to jako by pravidlo firewallu blokovalo tento provoz, ale nevím, jak by to mohlo být, když je to na stejném portu jako původní přístup portálu SSL VPN.
Jakákoli pomoc vítána, pravděpodobně hloupá chyba, protože jsem nový u Fortigates.
Nastavil jste časový limit vzdálené autorizace na něco vyššího? Proces MFA může chvíli trvat, pokud uživatel potřebuje otevřít svůj Authenticator a vyplnit všechny kódy.
konfigurovat systém globální
nastavit remoteauthtimeout 240
pokud používáte 7.2.9, bug ignoruje časový limit autorizace a funguje s 30 sekundami. 7.2.10 se zdá být opraveno.
Prosím, zveřejněte očesaný výstup vaší konfigurace SAML na FortiGate (show user saml) a vaší entru Enterprise App. SAML může být otravný, protože pokud se někde nehodí i jediný znak, nebude to fungovat bez mnoha logů.
URL přesměrování se časem změnila. Pokud je váš klient mnohem novější než firmware vašeho Fortigate, nebude to fungovat. Musíte buď upgradovat Fortigate nebo použít starší FortiClient. Zažil jsem to před asi 1,5 roky… i když by to už nemělo být problém (měl jsem verzi 6.4x a musel jsem použít starší verzi FortiClient, aby to fungovalo).
Pravděpodobně jste udělali chybu v konfiguraci v Entra ID. Také, ne používejte IP adresy v SAML, ale používejte FQDN. Může to být vaše vlastní doména nebo FortiDynDNS.
Pro skutečnou diagnostiku SAML je potřeba nainstalovat plugin pro sledování SAML ve vašem prohlížeči, doporučuji SAML-tracer (k dispozici pro Chrome i Firefox).
Po podrobnějším pohledu na správné diagnostické protokoly to byla nesrovnalost certifikátu. Načetl jsem z certifikátu Entra ID ve formátu BASE64 do firewallu a začalo to fungovat.
Výchozí hodnota je rozhodně nedostatečná, zvlášť s Entra.
Fyi, minimální skutečný timeout pro SAML je 25 sekund (remoteauthtimeout + statických 20s speciálně pro SAML). Tento limit je také používán FortiClientem 6.4.2+ k rozhodnutí, kdy by měl vypršet timeout (remoteauthtimeout x 2, minimálně 30s), a od 7.2.4+ má FCT statický timeout 300s (může vzniknout “nesoulad” mezi timeouty FGT a FCT).