Configurez les paramètres facultatifs

Fortinet prend en charge deux paramètres facultatifs : le signalement de l'IP du client et la réponse de groupes.

Rubriques :

Avant de commencer

  • Assurez-vous que les valeurs du port UDP commun et de la clé secrète sont disponibles.

Configurer le signalement de l'IP du client

Pour configurer Okta de manière à pouvoir analyser, générer des rapports et appliquer les politiques basées sur l'adresse IP du client source, vous devez configurer l'application FortiGate de Fortinet (RADIUS) sur Okta comme suit :

Saisissez les paramètres suivants dans les paramètres RADIUS avancés qui se trouvent dans l'onglet Authentification de l'application RADIUS de votre Okta Admin Console, comme affiché ci-dessous.

  • IP du client : cochez Signaler l'IP du client.
  • Attributs RADIUS d'IP de l'utilisateur final : 31 Calling-Station-Id

Configurer la réponse de groupes

L'appliance Fortinet ne reçoit pas les groupes à l'aide des paires attribut-valeur (AVP) classiques 11 (ID-Filtre) et 25 (Classe). Elle se base plutôt sur les Attributs spécifiques du fournisseur.

Pour configurer l'application de manière à envoyer les informations du groupe RADIUS dans les attributs spécifiques d'un fournisseur, procédez comme suit :

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Recherchez l'application à l'aide du champ Rechercher, puis cliquez sur son nom dans les résultats de recherche.
  3. Sélectionnez l'onglet Connexion.
  4. Faites défiler l'écran jusqu'à la section Paramètres avancés de RADIUS, puis cliquez sur Modifier.
  5. Dans la section Réponse de groupes, complétez les options suivantes :
    1. Sélectionnez Inclure les groupes dans la réponse RADIUS.
    2. Dans la sous-section Attribut RADIUS, sélectionnez 26-spécifique au fournisseur.
    3. Dans le champ ID propre au fournisseur, saisissez le code numérique ID du fournisseur pour votre produit :
      • Cisco ASA-Group-Policy : 3076
      • Citrix Group-Names : 3845
      • Fortinet Group-Name : 12356
      • Palo Alto User-Group : 25461

      Si l'ID spécifique à votre fournisseur n'apparaît pas ici, recherchez-le dans la documentation de votre produit.

    4. Dans le champ ID d'attribut, saisissez l'ID d'attribut numérique pour votre produit :
      • Cisco ASA-Group-Policy : 25
      • Citrix Group-Names : 16
      • Fortinet Group-Name : 1
      • Palo Alto User-Group : 5

      Si votre ID d'attribut n'apparaît pas ici, recherchez l'attribut de politique de groupe dans la documentation de votre produit.

  6. Cliquez sur Enregistrer.

La longueur maximale de la valeur d'appartenance au groupe est de 247 octets. Si la longueur du nom de groupe dépasse cette limite, des valeurs tronquées et partielles sont renvoyées. Configurez la réponse comme un ensemble d'attributs répétés au lieu d'utiliser une seule liste délimitée.