FortiManager
In diesem Artikel wird beschrieben, wie Sie den FortiManager mit Policy Self-Service verbinden können. Dabei werden sowohl die Konfigurationsschritte auf dem FortiManager als auch in Policy Self-Service beschrieben.
Aktuell unterstützt Policy Self-Service weder den Workspace noch den Workflow Modus des FortiManagers.
Um zu prüfen ob einer der beiden Modi aktiv ist, navigieren Sie auf der Weboberfläche des FortiManagers System Settings -> Advanced und Stellen Sie sicher, dass Mode auf Disable steht.
Dieses Feature wurde bisher ausschließlich mit der FortiManager Version 7.6.6 getestet.
FortiManager konfigurieren
Der FortiManager bietet eine JSON-API um programmatisch mit ihm zu interagieren. Das nutzt Policy Self-Service, um seine Funktion zuverlässig bereitstellen zu können. Damit das jedoch funktioniert, benötigt Policy Self-Service Zugangsdaten zu einem API-Administrator. Dieser muss auf dem FortiManager erstellt werden.
Erstellen des Administrator-Profils
Der JSON-API Administrator, der von Policy Self-Service verwendet wird, benötigt nicht volle Berechtigungen auf dem FortiManager. Bei der Erstellung eines Profils, müssen die folgenden Berechtigungen gesetzt werden:
| Berechtigung | Art |
|---|---|
| Administrative Domain | Read-Only |
| Add/Delete/Edit Devices/Groups | Read-Only |
| Policy Package & Objects | Read-Write |
| Lock/Unlock ADOM | Read-Write |
| Install Policy Package or Device Configuration | Read-Write |
Als Type sollte System Admin ausgewählt werden. Das erleichtert ein späterer Wechsel der Policy Self-Service Anbindung in eine andere ADOM.
Erstellen des JSON-API Benutzers
Unter System Settings - Administrator auf dem FortiManager kann ein neuer REST-API Benutzer erstellt werden. Hier kann das zuvor erstellte Berechtigungsprofil ausgewählt werden. Nach der erfolgreichen Erstellung des Administrators, wird ein API Key angezeigt. Dieser muss kopiert und sicher verwahrt werden, da er nur einmal angezeigt wird.
Dieser API Key wird für die Anbindung des FortiManagers an Policy Self-Service benötigt.
-
Die Seite zum Anlegen eines neuen REST-API-Administrators öffnen.
-
Username und Administrator profile auswählen. JSON API Access auf
Read-Writestellen. Der FortiManager verlangt, dass mindestens ein Trusted Host hinterlegt wird.
-
Den erzeugten API-Key kopieren und sicher verwahren.
Policy Self-Service konfigurieren
Im Administrationsbereich von Policy Self-Service zum Menüpunkt Firewall navigieren.
Im Firewall DropDown-Menü muss FortiManager ausgewählt werden.
Im Feld API-Key muss nun der zuvor generierte API-Key von dem FortiManager eingegeben werden.
Im Feld Host muss die komplette URL des FortiManagers eingegeben werden, damit Policy Self-Service weiß, welcher FortiManager verwaltet werden soll. Dazu gehört auch das Protokoll (http oder https) und der Port unter dem der FortiManager erreichbar ist.
Sobald Sie auf Speichern und Verbindung prüfen klicken, sind die Änderungen gespeichert und aktiv.
Wenn die von Ihnen eingegebenen Daten korrekt waren, zeigt Policy Self-Service Ihnen im oberen Bereich der Seite, ob eine Verbindung zum FortiManager hergestellt werden kann.
War die Verbindung erfolgreich, stehen weitere Einstellungen zur Verfügung, die vorgenommen werden müssen, um die Anbindung zu vervollständigen. Wählen Sie hier zuerst die ADOM aus die Sie verwalten möchten und speichern Sie die Auswahl mit ADOM speichern.
Sobald Sie das getan haben, können Sie als nächstes ein Policy Package auswählen. Wählen Sie hier auch das Policy Package, das Policy Self-Service verwalten soll. Abschließend können Sie dann das Gerät auswählen, das verwaltet werden soll.
Bestätigen Sie Ihre Auswahl mit FortiManager Einstellungen speichern
