FortiGate-啟用FortiToken雙因子認證for admin and SSL-VPN User login

作者: Andy 2022 年 2 月 9 日2023 年 4 月 6 日

頁面目錄

情境說明：

本文章說明如何針對FortiGate的admin管理帳號和遠端SSL-VPN的使用者帳號啟用FortiToken雙因子認證機制，確保取用服務者一定是公司內部員工增強企業資安管控

環境說明：

FortiOS版本：After 6.0.0
FortiGate預設有兩個FortiToken Mobile免費授權，請先註冊正式授權後才可啟用
可以依要啟用雙因子認證的user數增購FortiToken Moblie授權
各FortiGate型號可支援的FortiToken最大授權數量不同
FortiToken可以支援本地帳號和遠端AD、Radius帳號
FortiToken支援IOS、Android裝置，需預先安裝好FortiToken Mobile APP

FortiGate設定：

啟用FortiToken Moblie

FortiToken雙因子認證 — 確認FortiGate已啟用免費FortiToken Moblie授權，Status為Available代表可以指派給使用者

FortiToken雙因子認證 — 如有增購FortiToken Moblie授權可至Create New輸入Activation Code

FortiToken雙因子認證 — 設定Email Service for 發送FortiToken Activation Code

admin帳號設定啟用Two-Factor Authentication和Email address

SSL-VPN User設定啟用Two-Factor Authentication和Email address

手機使用FortiToken Mobile APP掃描二維條碼 or 手動輸入Activation Code

點我看啟用FortiToken詳細流程

FortiToken啟用完成後會看到以上畫面，後續登入帳號需輸入Token Code，Token Code約60秒動態更新

如何啟用雙因子認證-10 — 啟用FortiToken後確認FortiToken Status為Assigned

結果驗證

FortiToken雙因子認證 — 登入admin帳號需輸入Token Code

登入SSL-VPN User需輸入Token Code

停用FortiToken Moblie

帳號只需關閉Two-Factor Authentication設定即可停用雙因子認證

啟用FortiToken Push Notification

如果不想每次都手動輸入Token Code，可以在FortiGate設定Push Notification加快登入速度，啟用方式如下：

config system ftm-push
set server 118.53.18.77 #FortiGate SSL-VPN Listen Interface IP
set status enable
end

config system interface
edit wan1 #FortiGate SSL-VPN Listen Interface
set allowaccess ftm
end

FortiToken Moblie彈出Push Notification按批淮即可完成Token認證

參考連結：

FortiToken Mobile User Guide

FortiToken DataSheet

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作，熱愛IT技術與經驗分享，經營這個網站與大家一起學習成長檢視「Andy」的全部文章

文章日曆