Vai al contenuto

Utilizzo di OpenID Connect come provider di identità

Il Single Sign-On avviato dal provider di servizi può essere configurato con provider di identità OpenID Connect (OIDC).

Requisiti

Occorre avere il ruolo di Super Amministratore Partner.

Avviso

Se si desidera utilizzare l'accesso federato come opzione di accesso, bisogna assicurarsi che tutti gli amministratori siano assegnati a un dominio e abbiano un provider di identità.

Prima di tutto, è necessario verificare un dominio. Vedere Verifica di un dominio federato.

Se si desidera aggiungere OpenID Connect come provider di identità, occorre procedere come segue:

  • Configurare il provider di identità in modo che consenta a Sophos Central di verificare amministratori.
  • Assicurarsi che il provider di identità accetti le richieste di autorizzazione provenienti da Sophos Central.
  • Fornire le informazioni di cui abbiamo bisogno per comunicare con il provider di identità. Le informazioni che ci servono sono le seguenti:

    • Client ID
    • Autorità emittente
    • Endpoint autorizzato
    • URL JWKS

Richieste di autenticazione

Le nostre richieste di autenticazione a un provider di identità OIDC vengono inviate tramite flusso di concessione implicita. Non utilizziamo il flusso implicito per richiedere codici di accesso. Le impostazioni dell’integrazione di app nel provider di identità devono accettare le seguenti richieste OAUTH con callback a https://federation.sophos.com/login/callback.

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Configurazione di Okta come provider di identità

Se si desidera aggiungere Okta come provider di identità, occorre procedere come segue:

  • Configurare un’applicazione implicita OIDC (OpenID Connect) da utilizzare con Sophos Central.
  • Ottenere le informazioni di cui abbiamo bisogno per comunicare con Okta.

Configurazione di un’integrazione di app per Sophos Central

Si consiglia di leggere la documentazione di Okta per ulteriori informazioni su come configurare le integrazioni di applicazioni Okta. Consultare la pagina Sign users in overview (Panoramica dell’accesso degli utenti) della guida di Okta.

Nota

Queste istruzioni forniscono una panoramica di come configurare un’integrazione di app per Sophos Central in Okta.

Per configurare l’integrazione di app, procedere come segue:

  1. Accedere al proprio account Okta.
  2. Aprire Applications.
  3. Cliccare su Create App Integration.

    Create App Integration.

  4. Cliccare su OIDC – OpenID Connect.

    OpenID Connect.

  5. Cliccare su Single-Page Application.

    Create App Integration.

  6. Cliccare su Next.

  7. Assegnare un nome all’integrazione di app.

    Il nome assegnato deve essere univoco. Ad esempio “Sophos Central SSO 1”.

  8. In Grant type selezionare Implicit hybrid.

  9. In Sign-in redirect URIs immettere https://federation.sophos.com/login/callback.

    Questa opzione autorizza le richieste di autenticazione provenienti da Sophos Central.

    URL di callback.

  10. Cliccare su Save.

  11. Selezionare l’applicazione Sophos Central e cliccare su General Settings.

    • Attivare Allow ID Token with implicit grant type.

      ID Token.

Come ottenere le informazioni necessarie per aggiungere Okta come provider di identità

Per ottenere queste informazioni, procedere come segue:

  1. È necessario conoscere il dominio di autorizzazione di Okta. Per trovarlo, procedere come segue:

    1. Selezionare Customizations e cliccare su Domain.
    2. Cercare Custom URL Domain.
    3. Individuare il Configured Custom Domain e prenderne nota.

      Queste informazioni dovranno essere immesse nel campo Autorità emittente quando si configura Okta in Sophos Central Partner.

      Configured Custom Domain.

      Questa schermata mostra un dominio di esempio. login.pennitest.net.

      Queste informazioni verranno utilizzate anche per ottenere i valori per l’Endpoint autorizzato e l’URL JWKS.

  2. L’Endpoint autorizzato e l’URL JWKS sono derivati dal proprio dominio base.

    • L’Endpoint autorizzato è il dominio di autorizzazione ed è un percorso standard che termina con authorize. Il percorso completo segue questo formato: https://{$Issuer}/oauth2/v1/authorize. Per informazioni su come trovare il proprio Endpoint autorizzato, vedere authorize.

      Nel dominio di esempio, l’Endpoint autorizzato è https://login.pennitest.net/oauth2/v1/authorize.

    • L’URL JWKS è il dominio di autorizzazione ed è un percorso standard che termina con keys. Il percorso completo segue questo formato: https://{$Issuer}/oauth2/v1/keys. Per informazioni su come trovare il proprio URL JWKS, vedere keys.

      Nel dominio di esempio, l’URL JWKS è https://login.pennitest.net/oauth2/v1/keys.

  3. Selezionare Applications e cliccare su Applications.

  4. Selezionare l'applicazione Sophos Central.
  5. Cercare Client Credentials.

    1. Individuare il proprio Client ID. Prenderne nota poiché sarà necessario per configurare Okta come provider di identità.

Okta può ora essere aggiunto come provider di identità. Vedere Aggiungi un provider di identità.

Utilizzo di Google Workspace come provider di identità

Si consiglia di leggere le seguenti pagine della Guida di Google: