Aller au contenu

Utiliser OpenID Connect comme fournisseur d’identité

Vous pouvez configurer l’authentification unique initiée par le fournisseur de services avec les fournisseurs d’identité OpenID Connect (OIDC).

Conditions requises

Vous devez être un super administrateur Entreprise.

Avertissement

Si vous souhaitez utiliser l’option de connexion fédérée, veuillez-vous assurer que tous vos administrateurs sont assignés à un domaine et disposent d’un fournisseur d’identité.

Veuillez d’abord vérifier un domaine. Voir Vérifier un domaine fédéré.

Si vous souhaitez ajouter OpenID Connect en tant que fournisseur d’identité, veuillez effectuer les opérations suivantes :

  • Configurez votre fournisseur d’identité pour autoriser Sophos Central à vérifier des administrateurs.
  • Assurez-vous que votre fournisseur d’identité accepte les demandes d’autorisation de Sophos Central.
  • Donnez-nous les informations dont nous avons besoin pour communiquer avec votre fournisseur d’identité. Nous avons besoin des informations suivantes :

    • Client ID
    • Émetteur
    • Autoriser le terminal
    • URL JWKS

Demandes d’authentification

Nous faisons des demandes implicites d’authentification de flux d’octroi à un fournisseur d’identité OIDC. Nous ne demandons pas de codes d’accès à l’aide d’un flux implicite. Vos paramètres d’intégration d’appli pour votre fournisseur d’identité doivent accepter les demandes OAUTH suivantes avec un rappel à https://federation.sophos.com/login/callback.

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Configurer Okta en tant que fournisseur d’identité

Si vous souhaitez ajouter Okta comme fournisseur d’identité, veuillez effectuer les opérations suivantes :

  • Configurez une application implicite OIDC (OpenID Connect) à utiliser avec Sophos Central.
  • Récupérez les informations dont nous avons besoin pour communiquer avec Okta.

Configurez une intégration d’appli pour Sophos Central

Nous vous recommandons de lire la documentation Okta pour obtenir plus de renseignements sur la configuration des intégrations d’applications Okta. Consultez l’aide d’Okta, Aperçu de la connexion des utilisateurs.

Remarque

Ces instructions donnent un aperçu de la configuration d’une intégration d’appli pour Sophos Central dans Okta.

Pour configurer l’intégration d’appli, procédez de la manière suivante :

  1. Connectez-vous à votre compte Okta :
  2. Allez dans Applications.
  3. Cliquez sur Create App Integration.

    Créer une intégration d’appli.

  4. Cliquez sur OIDC – OpenID Connect.

    OpenID Connect.

  5. Cliquez sur Single-Page Application.

    Créer une intégration d’appli.

  6. Cliquez sur Suivant.

  7. Nommez l’intégration d’appli.

    Vous devez donner un nom unique. Par exemple, « Sophos Central SSO 1 ».

  8. Dans Grant type, choisissez Implicit hybrid.

  9. Dans Sign-in redirect URIs, saisissez https://federation.sophos.com/login/callback.

    Ceci autorise les demandes d’authentification de Sophos Central.

    URL de rappel.

  10. Cliquez sur Save.

  11. Sélectionnez votre application Sophos Central et cliquez sur General Settings.

    • Activez Allow ID Token with implicit grant type.

      Jeton ID.

Récupérer les informations utiles pour ajouter Okta comme fournisseur d’identité

Pour récupérer les informations, procédez de la manière suivante :

  1. Vous devez connaître votre domaine d’autorisation Okta. Pour le trouver, procédez comme suit :

    1. Allez dans Customizations et cliquez sur Domain.
    2. Recherchez Custom URL Domain.
    3. Recherchez Configured Custom Domain et notez-le.

      Vous saisissez ces informations dans Émetteur lorsque vous configurez Okta dans Sophos Central Enterprise.

      Domaine personnalisé configuré.

      Cette capture d’écran montre un exemple de domaine. login.pennitest.net.

      Vous utilisez également ces informations pour obtenir les valeurs Autoriser le terminal et JWKS URL.

  2. Les informations Autoriser le terminal et URL JWKS sont dérivées de votre domaine d’autorisation.

    • Autoriser le terminal est votre domaine d’autorisation et le chemin standard se termine par authorize. Le chemin complet suit le format suivant : https://{$Issuer}/oauth2/v1/authorize. Pour obtenir de l’aide sur la recherche de votre code Autoriser le terminal, voir authorize.

      Utilisation de l’exemple de domaine où Autoriser le terminal est https://login.pennitest.net/oauth2/v1/authorize.

    • Votre URL JWKS est votre domaine d’autorisation et le chemin standard se termine par keys. Le chemin complet suit le format suivant : https://{$Issuer}/oauth2/v1/keys. Pour obtenir de l’aide sur la recherche de votre URL JWKS, voir keys.

      Utilisation de l’exemple de domaine où JWKS URL est https://login.pennitest.net/oauth2/v1/keys.

  3. Allez dans Applications et cliquez sur Applications.

  4. Sélectionnez votre application Sophos Central.
  5. Recherchez Client Credentials.

    1. Rechercher votre Client ID. Prenez-en note car vous en aurez besoin pour configurer Okta comme fournisseur d’identité.

Vous maintenant ajouter Okta comme fournisseur d’identité. Voir Ajouter un fournisseur d’identité.

Utiliser Google Workspace comme fournisseur d’identité

Nous vous recommandons de lire les pages d’aide Google suivantes :