Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=SSO-Microsoft-ADFS

Utiliser Microsoft AD FS comme fournisseur d’identité

Vous pouvez ajouter Microsoft AD FS comme fournisseur d’identité.

Vous pouvez utiliser Microsoft AD FS pour vérifier les identités de vos administrateurs et utilisateurs lorsqu’ils se connectent aux produits Sophos Central. Pour ce faire, vous devez ajouter Microsoft AD FS en tant que fournisseur d’identité.

Conditions requises

Vous devez être un super administrateur.

Avertissement

Si vous souhaitez utiliser l’option de connexion fédérée, veuillez-vous assurer que tous vos administrateurs et utilisateurs sont assignés à un domaine et disposent d’un fournisseur d’identité.

Veuillez d’abord vérifier un domaine. Voir Vérifier un domaine fédéré.

AD FS est un service fourni par Microsoft sur Windows Server. Il vous permet de vous authentifier à l’aide de vos informations d’identification Active Directory existantes.

Si vous souhaitez utiliser AD FS comme fournisseur d’identité, veuillez procéder de la manière suivante :

  • Vérifiez que vous disposez d’un serveur AD FS.
  • Assurez-vous que vos administrateurs et utilisateurs Sophos Central se trouvent dans la forêt Active Directory que vous souhaitez utiliser pour l’authentification.
  • Assurez-vous que les emails de la forêt correspondent à ceux assignés à vos administrateurs et utilisateurs dans Sophos Central.
  • Obtenez le consentement et l’autorisation de votre administrateur AD pour utiliser l’annuaire AD de votre organisation avec Sophos Central.
  • Recherchez l’URL de vos métadonnées Microsoft AD FS.

URL des métadonnées Microsoft AD FS

Vous devez connaître l’URL des métadonnées Microsoft AD FS avant d’ajouter Microsoft AD FS en tant que fournisseur d’identité. Pour le trouver, procédez comme suit :

  1. Allez dans Explorateur de métadonnées de fédération.
  2. Suivez les instructions à l’écran pour obtenir vos métadonnées AD FS.
  3. Notez l’URL de vos métadonnées Microsoft AD FS car vous en aurez besoin pour configurer AD FS en tant que fournisseur d’identité.

Vous pouvez maintenant ajouter AD FS comme fournisseur d’identité. Voir Ajouter le fournisseur d’identité (Entra ID/Open IDC/ADFS).

Retrouvez plus de renseignements sur Microsoft AD FS dans l’Aide AD FS.

Ajouter Sophos Central comme Approbation de partie de confiance dans Microsoft AD FS

Dans AD FS, vous pouvez ajouter Sophos Central comme Approbation de partie de confiance dans Microsoft AD FS pour que AD FS accepte les réclamations de la part de Sophos Central.

Avant de commencer, assurez-vous d’avoir configuré une connexion fédérée dans Sophos Central. Voir Configurer la connexion fédérée.

Pour ajouter Sophos Central comme Approbation de partie de confiance, procédez de la manière suivante :

  1. Dans Microsoft AD FS, ouvrez Server Manager.
  2. Cliquez sur Outils et sélectionnez Administration AD FS.
  3. Sous Actions, cliquez sur Ajouter une approbation de partie de confiance.
  4. Dans Bienvenue, sélectionnez Prise en charge des revendications.
  5. Dans Sélectionner une source de données, sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
  6. Dans Indiquer le nom complet, saisissez un nom et cliquez sur Suivant.
  7. Dans Choisir le profil, sélectionnez le Profil AD FS et cliquez sur Suivant.
  8. Dans Configurer le certificat, cliquez sur Suivant.

  9. Dans Configurer l’URL, procédez de la manière suivante :

    1. Sélectionnez Activer la prise en charge du protocole WS-Federation passif.

    2. Saisissez l’URL de rappel de Sophos Central dans URL du protocole WS-Federation passif de la partie de confiance.

      Pour trouver l’URL de rappel, procédez de la manière suivante :

      1. Dans Sophos Central, allez dans Paramètres généraux > Fournisseurs d’identité fédérés.
      2. Sélectionnez votre fournisseur d’identité et copiez l’URL dans URL de rappel.

    3. Cliquez sur Suivant.

  10. Dans Configurer les identifiants, saisissez l’ID de l’entité dans Identifiant d'approbation de partie de confiance, cliquez sur Ajouter puis sur Suivant.

    Pour trouver l’ID d'entité, procédez de la manière suivante :

    1. Dans Sophos Central, allez dans Mes produits > Paramètres généraux > Fournisseurs d’identités fédérés.
    2. Sélectionnez votre fournisseur d’identité et copiez l’ID dans ID de l’entité.

  11. (Facultatif) dans Configurer l’authentification multifacteur maintenant ?, configurez si nécessaire l’authentification multifacteur.

  12. Dans Choisir les règles d'autorisation d'émission, sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
  13. Dans Prêt à ajouter l'approbation, conservez les paramètres par défaut et cliquez sur Suivant.

  14. Dans Terminer, sélectionnez Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de fournisseur à la fermeture de l'assistant et cliquez sur Fermer.

    La boîte de dialogue Modifier les règles de revendication apparaît.

  15. Dans Modifier les règles de revendication, sous Règles de transformation d'émission, cliquez sur Ajouter une règle.

    L’Assistant Ajout de règle de revendication de transformation s’ouvre.

  16. Dans Choisir le type de règle, sous Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications et cliquez sur Suivant.

  17. Dans Configurer la règle de revendication, procédez de la manière suivante :

    1. Dans Nom de la règle de revendication, saisissez le nom de la règle.
    2. Dans Magasin d'attributs, sélectionnez Active Directory.

    3. Dans Mappage des attributs LDAP aux types de réclamation sortants, mappez les attributs comme indiqué dans le tableau suivant :

      Attribut LDAP Type de revendication sortante
      Adresses email ID du nom
      Prénom Prénom
      Nom Nom
      Adresses email Adresse email

    4. Cliquez sur Terminer.

Vous pouvez maintenant ajouter Microsoft AD FS comme fournisseur d’identité. Voir Ajouter le fournisseur d’identité (Entra ID/Open IDC/ADFS).