Zum Inhalt

Identitätsanbieter einrichten

Richten Sie jetzt einen Identitätsanbieter ein. Das ZTNA-Gateway authentifiziert Benutzer anhand von Datensätzen des Identitätsanbieters.

Welche Schritte auszuführen sind, hängt davon ab, welchen Anbieter Sie verwenden möchten.

Wenn Sie Okta als Identitätsprovider einrichten, muss Ihr ZTNA-Gateway Version 1.1 oder höher sein.

Sie können Microsoft Entra ID (Azure AD) zur Benutzersynchronisierung und als Identitätsanbieter hinzufügen:

Stellen Sie sicher, dass Sie bereits Microsoft Entra ID (Azure AD)-Benutzergruppen eingerichtet und mit Sophos Central synchronisiert haben.

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Meine Produkte > ZTNA > Identitätsanbieter.
  3. Klicken Sie auf Identitätsanbieter hinzufügen.

    Seite „Identitätsanbieter“.

  4. Geben Sie die Einstellungen für Ihren Identitätsanbieter wie folgt ein:

    1. Geben Sie einen Namen und eine Beschreibung ein.
    2. Stellen Sie unter Provider sicher, dass Microsoft Entra ID (Azure AD) ausgewählt ist.
    3. Geben Sie die Microsoft Entra ID (Azure AD)-Einstellungen für Client-ID, Mandanten-ID und Client-Geheimschlüssel ein.

      Wenn Sie Microsoft Entra ID (Azure AD) wie in diesem Handbuch beschrieben einrichten, haben Sie diese Informationen beim Erstellen des Mandanten erfasst. Siehe Verzeichnisdienst einrichten.

    4. Klicken Sie auf Verbindung testen und stellen Sie sicher, dass die Verbindung hergestellt wurde.

    5. Klicken Sie auf Speichern.

    Seite „Identitätsanbieter hinzufügen“.

Bevor Sie Okta als Identitätsanbieter nutzen können, müssen Sie zunächst eine neue Okta-Anwendungs-Integration mit den richtigen Einstellungen für die Verwendung mit ZTNA erstellen und konfigurieren.

Verfahren Sie hierzu wie folgt:

  • Erstellen Sie eine Anwendungs-Integration.
  • Fügen Sie den Identitätsanbieter zu ZTNA hinzu.

Wir gehen hier davon aus, dass Sie Benutzergruppen in Okta haben. Wenn dies nicht der Fall ist, synchronisieren Sie mit den Tools von Okta Gruppen aus Ihrem Verzeichnisdienst mit Okta. Stellen Sie sicher, dass Sie Ihre Gruppen auch mit Sophos Central synchronisiert haben.

Erstellen einer Anwendungs-Integration

  1. Gehen Sie im Okta-Dashboard zu Applications.

    Menü „Okta-Dashboard“.

  2. Klicken Sie auf Create App Integration.

    Seite „Okta-Anwendungen“.

  3. Verfahren Sie unter Create a new app integration wie folgt:

    1. Wählen Sie OIDC aus.
    2. Wählen Sie Web Application.

    Neue Anwendung in Okta.

  4. Gehen Sie unter New Web App Integration wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Wählen Sie Client Credentials aus.
    3. Wählen Sie Refresh Token.

    Neue Anwendungs-Integration in Okta.

  5. Geben Sie auf der gleichen Registerkarte unter Sign-in redirect URIs die Adresse ein, an die Okta die Authentifizierungsantwort und das Token senden wird. Hierbei muss es sich um den FQDN des Gateway-Hosts, gefolgt von /OAuth2/callback, handeln. Beispiel:

    https://ztna.mycompany.net/oauth2/callback

    Okta-Redirect-URI.

  6. Wählen Sie unter Assignments die Option Skip group assignment for now aus.

    Okta-Zuweisungen.

  7. Öffnen Sie Ihre neue Anwendung. Notieren Sie sich auf der Registerkarte General die Client-ID und den Client Secret des Kunden. Sie benötigen diese Informationen, wenn Sie Okta als Ihren Identitätsanbieter in Sophos Central einrichten.

    ZTNA-Anwendungs-Details.

  8. Legen Sie auf der Registerkarte Okta API Scopes die erforderlichen Berechtigungen fest:

    • okta.groups.read
    • okta.idps.read

    Sie benötigen „okta.idps.read“ nur, wenn Sie AD Sync verwenden.

    Registerkarte „Okta API Scopes“.

  9. Klicken Sie auf der Registerkarte Assignments auf Assign > Assign to Groups. Wählen Sie Ihre vorhandenen Benutzergruppen aus.

    Registerkarte „Assignments in Okta“.

  10. Gehen Sie auf der Registerkarte Sign On zu OpenID Connect ID Token und gehen Sie wie folgt vor:

    1. Klicken Sie auf Edit.
    2. Fügen Sie einen Eintrag zu Groups claim expression hinzu.
    3. Klicken Sie auf Save.

    OpenID Connect ID Token.

Hinzufügen des Identitätsanbieters zu ZTNA

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Meine Produkte > ZTNA > Identitätsanbieter.
  3. Klicken Sie auf Identitätsanbieter hinzufügen.

    Seite „Identitätsanbieter“ in Sophos Central.

  4. Geben Sie die Einstellungen für Ihren Identitätsanbieter wie folgt ein:

    1. Geben Sie einen Namen und eine Beschreibung ein.
    2. Wählen Sie unter Anbieter die Option „Okta“.
    3. Geben Sie die Okta-Einstellungen für Client-ID, Client-Geheimschlüssel und Issuer-URI ein.

      Hierbei handelt es sich um die oben erwähnten Okta-Einstellungen.

    4. Klicken Sie auf Verbindung testen und stellen Sie sicher, dass die Verbindung hergestellt wurde.

    5. Klicken Sie auf Speichern.

    Seite „Identitätsanbieter hinzufügen“.

Als Nächstes richten Sie ein Gateway ein.