Microsoft AD FS als Identitätsanbieter verwenden

Sie können AD FS als Identitätsanbieter hinzufügen.

Sie können Microsoft AD FS verwenden, um die Identitäten Ihrer Administratoren und Benutzer zu überprüfen, wenn sie sich bei Sophos Central-Produkten anmelden. Dazu müssen Sie Microsoft AD FS als Identitätsanbieter hinzufügen.

Anforderungen

Sie müssen zuerst eine Domäne verifizieren. Siehe Verbunddomäne verifizieren.

AD FS ist ein Dienst, der von Microsoft auf Windows Server bereitgestellt wird. Sie können sich mit vorhandenen Active Directory-Anmeldeinformationen authentifizieren.

Wenn Sie AD FS als Identitätsanbieter verwenden möchten, müssen Sie wie folgt vorgehen:

• Stellen Sie sicher, dass Sie über einen AD FS-Server verfügen.
• Stellen Sie sicher, dass sich Ihre Sophos Central-Administratoren und -Benutzer in der Active Directory-Gesamtstruktur befinden, die Sie für die Authentifizierung verwenden möchten.
• Stellen Sie sicher, dass die E-Mails in der Gesamtstruktur mit denen übereinstimmen, die Ihren Administratoren und Benutzern in Sophos Central zugewiesen sind.
• Holen Sie die Genehmigung zur Nutzung des AD Ihres Unternehmens in Sophos Central von Ihrem AD-Admin ein.
• Suchen Sie die Microsoft AD FS-Metadaten-URL.

Microsoft AD-FS-Metadaten-URL

Sie müssen Ihre Microsoft AD FS-Metadaten-URL kennen, bevor Sie Microsoft AD FS als Identitätsanbieter hinzufügen können. Verfahren hierzu wie folgt:

1. Gehen Sie zum Federation Metadata Explorer.
2. Befolgen Sie die Anweisungen auf dem Bildschirm, um Ihre AD FS-Metadaten abzurufen.
3. Notieren Sie sich Ihre Microsoft AD FS-Metadaten-URL, da Sie diese benötigen, um AD FS als Identitätsanbieter einzurichten.

Sie können AD FS jetzt als Identitätsanbieter hinzufügen. Siehe Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).

Allgemeine Hilfe zu Microsoft AD FS finden Sie in der AD FS-Hilfe.

Sophos Central als Vertrauensstellung der vertrauenden Seite in Microsoft AD FS hinzufügen

In AD FS können Sie Sophos Central als Vertrauensstellung der vertrauenden Seite hinzufügen, damit AD FS Ansprüche von Sophos Central akzeptieren kann.

Bevor Sie beginnen, stellen Sie sicher, dass Sie die Verbundanmeldung in Sophos Central eingerichtet haben. Siehe Einrichten der Verbundanmeldung.

Um Sophos Central Vertrauensstellung der vertrauenden Seite hinzuzufügen, gehen Sie wie folgt vor:

1. Öffnen Sie in Microsoft AD FS den Server-Manager.
2. Klicken Sie auf Tools und wählen Sie AD FS-Verwaltung aus.
3. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
4. Wählen Sie auf der Willkommen-Seite die Option Ansprüche unterstützend.
5. Wählen Sie unter Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
6. Geben Sie unter Anzeigename angeben einen Namen ein und klicken Sie auf Weiter.
7. Wählen Sie unter Profil auswählen die Option AD FS-Profil aus und klicken Sie auf Weiter.
8. Klicken Sie unter Zertifikat konfigurieren auf Weiter.

9. Verfahren Sie unter URL konfigurieren wie folgt:

   1. Wählen Sie Unterstützung für das passive WS-Verbundprotokoll aktivieren aus.

   2. Geben Sie die Sophos Central-Callback-URL unter URL des passiven WS-Verbundprotokolls der vertrauenden Seite ein.

      Um die Callback-URL aufzufinden, gehen Sie folgendermaßen vor:

      1. Gehen Sie in Sophos Central zu Globale Einstellungen > Verbund-Identitätsanbieter.
      2. Wählen Sie Ihren Identitätsanbieter und kopieren Sie die URL in Callback-URL.

   3. Klicken Sie auf Weiter.

10. Geben Sie unter Konfigurieren von Bezeichnern Ihre Einheit-ID unter Bezeichner für diese vertrauende Seite, klicken Sie auf Hinzufügenund anschließend auf Weiter.

    Um die Einheit-ID aufzufinden, gehen Sie folgendermaßen vor:

    1. Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen > Verbund-Identitätsanbieter.
    2. Wählen Sie Ihren Identitätsanbieter aus, und kopieren Sie die ID in Einheit-ID.

11. (Optional) Konfigurieren Sie unter Mehrstufige Authentifizierung jetzt konfigurieren? bei Bedarf für die Mehrstufige Authentifizierung.

12. Wählen Sie unter Auswählen von Ausstellungsautorisierungsregeln die Option Allen Benutzern Zugriff auf diese vertrauende Seite gewähren und klicken Sie auf Weiter.
13. Behalten Sie unter Bereit zum Hinzufügen der Vertrauensstellung die Standardeinstellungen bei und klicken Sie auf Weiter.

14. Wählen Sie unter Fertig stellen das Dialogfeld Beim Schließen des Assistenten die Seite „Anspruchsregeln bearbeiten“ für diese Anspruchsanbieter-Vertrauensstellung öffnen und klicken Sie auf Schließen.

    Das Dialogfeld Anspruchsregeln bearbeiten wird angezeigt.

15. Klicken Sie unter Anspruchsregeln bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen.

    Der Assistent zum Hinzufügen von Transformationsanspruchsregeln wird geöffnet.

16. Wählen Sie unter Regeltyp auswählen unter Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.

17. Verfahren Sie unter Anspruchsregel konfigurieren wie folgt:

    1. Geben Sie unter Anspruchsregelname einen Namen für die Regel ein.
    2. Wählen Sie unter Attributspeicher Active Directory aus.

    3. Ordnen Sie unter LDAP-Attribute ausgehenden Anspruchstypen zuordnen die Attribute wie in der folgenden Tabelle gezeigt zu:

       LDAP-Attribut	Ausgehender Anspruchstyp
       E-Mail-Adressen	Name-ID
       Vorname	Vorname
       Nachname	Nachname
       E-Mail-Adressen	E-Mail-Adresse

    4. Klicken Sie auf Fertigstellen.

Sie können Microsoft AD FS jetzt als Identitätsanbieter hinzufügen. Siehe Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).