Configurazione Forticlient per accesso a risorse ICT tramite VPN SSL
Accesso a risorse ICT di AULSS9 con autenticazione MFA (Multi Factor Authentication) attraverso VPN SSL mediante Forticlient
Obiettivo
Le istruzioni operative in questo documento hanno l’obiettivo di descrivere la procedura per la configurazione dell’accesso in VPN SSL tramite FortiClient utilizzando il MFA per l’autenticazione ai fini di evitare l’esfiltrazione degli accessi a causa dei sempre più frequenti attacchi informatici.
Campo di applicazione
Il campo di applicazione riguarda tutto il personale dipendente ed esterno che ha la necessità di accedere a risorse informatiche di AULSS9 tramite VPN SSL.
Riferimenti bibliografici ed eventuale normativa di riferimento
| Riferimento (tipologia, numero e data) | Titolo |
| Decreto Legislativo n. 138/2024 del 16/10/2024 | Direttiva NIS 2 |
Definizioni ed abbreviazioni
- VPN: acronimo di virtual private network, è uno strumento che serve a creare una connessione sicura e crittografata tra un dispositivo ed un server remoto.
- MFA: acronimo di multi factor authentication, indica un metodo di autenticazione dove viene chiesto agli utenti di fornire due o più fattori invece di chiedere solamente la password alzando così il livello di protezione rendendo più difficile l’accesso ad utenti non autorizzati.
Descrizione delle attività e modalità operative
Premessa & prerequisiti
L’accesso da remoto ai sistemi Aulss9 Scaligera tramite VPN SSL deve implementare sistemi di autenticazione a più fattori ( One Time Password, SMS, ecc.ecc) ai sensi del D.lgs. n. 138/2024 art. 24, lettera l. (Recepimento NIS 2).
Il requisito minimo richiesto prevede l’uso dell’agente FortiClient in versione gratuita VPN Only 7.4 o superiore. Nel caso sia già presente nella propria workstation una release precedente è necessario procedere con la rimozione della stessa.
E’ consentito l’uso di sistemi virtuali ma, in caso di criticità, l’utilizzatore deve dare evidenza dell’installazione su propri strumenti informatici fisici, quali Personal Computer o Portatili, del software di VPN Forticlient e solo su sistemi operativi con esso compatibili.
Download
Installazione di Forticlient 7.4 o superiore disponibile dal sito ufficiale.
Collegarsi al sito https://www.fortinet.com/support/product-downloads per scaricare il prodotto FortiClient VPN, andare nella sezione FortiClient VPN-only (che si trova in fondo alla pagina web) e scaricare usando il bottone adeguato al proprio sistema operativo.
Lanciare l’eseguibile del file scaricato e procedere con l’installazione
Cliccare tasto “Next”
Cliccare tasto “Install”
Cliccare tasto “Finish”
Configurazione
Terminata l’installazione cliccare sull’icona creata sul desktop
Accettare le condizioni di licenza spuntando la casella di controllo e cliccare su “I accept”
Cliccare su “Configure VPN”
Impostare i parametri di connessione:
- Connection Name: AULSS9
- Description: campo vuoto
- Remote Gateway: https://portale.aulss9.veneto.it:10443
- Customize port spuntato, cambiare il campo da 443 a 10443
- Enable Single Sign On (SSO) for VPN Tunnel SPUNTATO
- Use external browser as user-agent… SPUNTATO
- Al termine cliccare su “Save”
Prima connessione
Cliccando su “Connect” si aprirà una pagina web in cui inserire le credenziali di dominio Aulss9:
L’autenticazione a due fattori attualmente è disponibile in due modalità: Posta Elettronica o One Time Password Authenticator ( OTP) ma è fatto obbligo di utilizzare solo il secondo metodo.
Ciò comporta una fase una tantum di registrazione di una chiave privata, disponibile tramite QRCode, tramite una delle numerose App Android o Apple a vostra scelta (Google Authenticator, Microsoft Authenticator, DUO Mobile, ecc).
Attenzione: nel processo di registrazione dell’Authenticator verrà inviato un codice di controllo sulla vostra email per cui si raccomanda che tale email non sia stata recapitata in spam.
Prima registrazione APP AUTHENTICATOR ANDROID o IOS
ATTENZIONE: Sia il codice, sia il QR code sono chiavi private e pertanto possono essere usate per collegare nuovi account MFA. NON CONDIVIDERE MAI LA CHIAVE NE’ IL QR CODE
Dopo aver collegato una app di autenticazione (Google Authenticator, Microsoft Authenticator, DUO Mobile, ecc), viene quindi richiesto una conferma da parte del sito web per collegare l’app.
Inoltre, nel caso del primo inserimento del codice generato dall’app, din fase di prima configurazione dell’app stessa, viene anche richiesto un codice inviato tramite email
Accessi successivi
Cliccando su “Connect” si aprirà una pagina web in cui inserire le credenziali di dominio Aulss9:
L’autenticazione avviene tramite l’App da voi impostata quale Authenticator (che troverete sul vostro dispositivo mobile, collegato all’account di Tirasa / AULSS9).
Inserendo il codice generato dall’Applicazione, vi permetterà dunque l’accesso.
Risoluzione dei problemi
In caso di criticità nell’attivazione della VPN SSL si raccomanda di effettuare questo test su un PC fisico:
- Collegarsi al sito https://auth.aulss9.veneto.it:10443
- Cliccare sul tasto “Single Sign-On” senza inserire Username e Password
Applicare tutto il processo di registrazione descritto in questo manuale e, se si raggiunge la pagine seguente tutti i parametri sono corretti:
In caso contrario si chiede di inviare via mail ad assistenzapc@aulss9.veneto.it lo screenshot con l’errore e un recapito telefonico dove essere ricontattati.
| Autore | UOC Sistemi Informativi | Data | 24/06/2025 |
| Confidenzialità | Confidenziale | Rev. | 1.0 |
| Titolo documento | Accesso a risorse ICT di AULSS9 con autenticazione MFA per accesso in VPN SSL mediante FortiClient | ||
- Argomenti correlati
- Applicativi
sede legale Via Valverde 42 – 37122 Verona
tel. 0458075511
Partita Iva/Codice Fiscale 02573090236
PEC: protocollo.aulss9@pecveneto.it
A cura dell'Ufficio URP Comunicazione e Marketing