FortiGate-啟用FortiToken雙因子認證for admin and SSL-VPN User login

情境說明:

本文章說明如何針對FortiGate的admin管理帳號和遠端SSL-VPN的使用者帳號啟用FortiToken雙因子認證機制,確保取用服務者一定是公司內部員工增強企業資安管控

環境說明:

  • FortiOS版本:After 6.0.0
  • FortiGate預設有兩個FortiToken Mobile免費授權,請先註冊正式授權後才可啟用
  • 可以依要啟用雙因子認證的user數增購FortiToken Moblie授權
  • 各FortiGate型號可支援的FortiToken最大授權數量不同
  • FortiToken可以支援本地帳號和遠端AD、Radius帳號
  • FortiToken支援IOS、Android裝置,需預先安裝好FortiToken Mobile APP

FortiGate設定:

啟用FortiToken Moblie

FortiToken雙因子認證
確認FortiGate已啟用免費FortiToken Moblie授權,Status為Available代表可以指派給使用者
FortiToken雙因子認證
如有增購FortiToken Moblie授權可至Create New輸入Activation Code
FortiToken雙因子認證
設定Email Service for 發送FortiToken Activation Code
admin帳號設定啟用Two-Factor Authentication和Email address
SSL-VPN User設定啟用Two-Factor Authentication和Email address
手機使用FortiToken Mobile APP掃描二維條碼 or 手動輸入Activation Code

點我看啟用FortiToken詳細流程

FortiToken啟用完成後會看到以上畫面,後續登入帳號需輸入Token Code,Token Code約60秒動態更新
如何啟用雙因子認證-10
啟用FortiToken後確認FortiToken Status為Assigned

結果驗證

FortiToken雙因子認證
登入admin帳號需輸入Token Code
登入SSL-VPN User需輸入Token Code

停用FortiToken Moblie

帳號只需關閉Two-Factor Authentication設定即可停用雙因子認證

啟用FortiToken Push Notification

如果不想每次都手動輸入Token Code,可以在FortiGate設定Push Notification加快登入速度,啟用方式如下:

config system ftm-push
    set server 118.53.18.77 #FortiGate SSL-VPN Listen Interface IP
    set status enable
end

config system interface
    edit wan1 #FortiGate SSL-VPN Listen Interface
        set allowaccess ftm
end

FortiToken Moblie彈出Push Notification按批淮即可完成Token認證

參考連結:

FortiToken Mobile User Guide

FortiToken DataSheet

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作,熱愛IT技術與經驗分享,經營這個網站與大家一起學習成長