Zum Inhalt

OpenID Connect als Identitätsanbieter verwenden

Bei OpenID Connect (OIDC)-Identitätsanbietern können Sie vom Service Provider initiierten Single Sign-On einrichten.

Anforderungen

Sie müssen Enterprise-Superadmin sein.

Warnung

Wenn Sie die Verbundanmeldung als Anmeldeoption verwenden möchten, müssen Sie sicherstellen, dass alle Administratoren einer Domäne zugewiesen sind und über einen Identitätsanbieter verfügen.

Sie müssen zuerst eine Domäne verifizieren. Siehe Verbunddomäne verifizieren.

Wenn Sie OpenID Connect als Identitätsanbieter hinzufügen möchten, müssen Sie wie folgt vorgehen:

  • Konfigurieren Sie Ihren Identitätsanbieter so, dass Sophos Central Administratoren überprüfen kann.
  • Stellen Sie sicher, dass Ihr Identitätsanbieter Autorisierungsanforderungen von Sophos Central akzeptiert.
  • Teilen Sie uns die Informationen mit, die wir für die Kommunikation mit Ihrem Identitätsanbieter benötigen. Wir benötigen folgende Informationen:

    • Client-ID
    • Aussteller
    • Autorisierungs-Endpoint
    • JWKS-URL

Authentifizierungsanfragen

Wir senden zur Flow-Anfragen zur impliziten Genehmigung an einen OIDC-Identitätsanbieter. Wir fordern keine Zugriffscodes mit implizitem Flow an. Ihre App-Integrationseinstellungen für Ihren Identitätsanbieter müssen die folgenden OAUTH-Anfragen mit einem Callback an https://federation.sophos.com/login/callback akzeptieren.

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Okta als Identitätsanbieter einrichten

Wenn Sie Okta als Identitätsanbieter hinzufügen möchten, müssen Sie wie folgt vorgehen:

  • Richten Sie eine implizite OIDC-Anwendung (OpenID Connect) ein, die mit Sophos Central verwendet werden soll.
  • Rufen Sie die Informationen ab, die wir für die Kommunikation mit Okta benötigen.

Anwendungsintegration für Sophos Central einrichten

Wir empfehlen Ihnen, die Okta-Dokumentation zu lesen, um weitere Informationen zur Konfiguration von Okta-Anwendungsintegrationen zu erhalten. Siehe Okta-Hilfe, Übersicht über die Benutzeranmeldung.

Hinweis

Diese Anweisungen geben einen Überblick darüber, wie eine Anwendungsintegration für Sophos Central in Okta eingerichtet wird.

Verfahren Sie zur Einrichtung einer Anwendungsintegration wie folgt:

  1. Melden Sie sich bei Ihrem Okta-Konto an.
  2. Gehen Sie zu Applications.
  3. Klicken Sie auf Create App Integration.

    Erstellen einer Anwendungsintegration.

  4. Klicken Sie auf OIDC – OpenID Connect.

    OpenID Connect.

  5. Klicken Sie Auf Single-Page Application.

    Erstellen einer Anwendungsintegration.

  6. Klicken Sie auf Next.

  7. Vergeben Sie einen Namen für die Anwendungsintegration.

    Sie müssen einen eindeutigen Namen angeben. Zum Beispiel „Sophos Central SSO 1“.

  8. Wählen Sie unter Grant type Implicit hybridaus.

  9. Geben Sie unter Sign-in redirect URIs https://federation.sophos.com/login/callback ein.

    Dadurch werden Authentifizierungsanfragen von Sophos Central autorisiert.

    Callback-URL.

  10. Klicken Sie auf Speichern.

  11. Wählen Sie Ihre Sophos Central-Anwendung aus und klicken Sie auf Allgemeine Einstellungen.

    • Aktivieren Sie Allow ID Token with implicit grant type.

      ID-Token.

Abrufen der Informationen, die Sie benötigen, um Okta als Ihren Identitätsanbieter hinzuzufügen

Verfahren Sie zum Abrufen der Informationen wie folgt:

  1. Sie müssen Ihre Okta-Autorisierungsdomäne kennen. Sie finden diese wie folgt:

    1. Gehen Sie zu Customizations und klicken Sie auf Domain.
    2. Suchen Sie nach Custom URL Domain.
    3. Notieren Sie sich die Configured Custom Domain.

      Sie geben diese Informationen unter Aussteller ein, wenn Sie Okta in Sophos Central Enterprise einrichten.

      Konfigurierte benutzerdefinierte Domäne.

      Dieser Screenshot zeigt eine Beispiel-Domäne. login.pennitest.net.

      Sie verwenden diese Informationen auch, um die Werte für Autorisierungs-Endpoint und JWKS-URLzu erhalten.

  2. Autorisierungs-Endpoint und JWKS-URL werden von Ihrer Autorisierungsdomäne abgeleitet.

    • Ihr Autorisierungs-Endpoint ist Ihre Autorisierungsdomäne und ein Standardpfad mit der Endung authorize. Der vollständige Pfad folgt diesem Format: https://{$Issuer}/oauth2/v1/authorize. Um Hilfe bei der Suche nach Ihrem Autorisierungs-Endpoint zu erhalten, siehe Authorize.

      Bei der Beispieldomäne ist der Autorisierungs-Endpoint https://login.pennitest.net/oauth2/v1/authorize.

    • Ihre JWKS-URL ist Ihre Autorisierungsdomäne und ein Standardpfad mit der Endung keys. Der vollständige Pfad folgt diesem Format: https://{$Issuer}/oauth2/v1/keys. Um Hilfe bei der Suche nach Ihrer JWKS-URL zu erhalten, siehe Keys.

      Bei der Beispieldomäne lautet die JWKS-URL https://login.pennitest.net/oauth2/v1/keys.

  3. Gehen Sie zu Anwendungen und klicken Sie auf Anwendungen.

  4. Wählen Sie Ihre Sophos Central-Anwendung aus.
  5. Suchen Sie nach Client-Anmeldeinformationen.

    1. Suchen Sie Ihre Mandanten-ID. Notieren Sie sie sich, da Sie sie benötigen, um Okta als Ihren Identitätsanbieter einzurichten.

Sie können Okta jetzt als Identitätsanbieter hinzufügen. Siehe Identitätsanbieter hinzufügen.

Google Workspace als Identitätsanbieter verwenden

Wir empfehlen Ihnen, die folgenden Google-Hilfeseiten zu lesen: