Zum Inhalt

Identitätsanbieter einrichten

Richten Sie jetzt einen Identitätsanbieter ein. Das ZTNA-Gateway authentifiziert Benutzer anhand von Datensätzen des Identitätsanbieters.

Welche Schritte auszuführen sind, hängt davon ab, welchen Anbieter Sie verwenden möchten.

Sie können Microsoft Azure AD für die Benutzersynchronisierung und als Identitätsanbieter verwenden.

Stellen Sie sicher, dass Sie bereits Azure AD-Benutzergruppen eingerichtet und mit Sophos Central synchronisiert haben.

  1. Sie sich bei Sophos Central an.
  2. Wählen Sie im linken Menü ZTNA.

    Screenshot des ZTNA-Menüs in Sophos Central

  3. Gehen Sie unter Zero Trust Network Access wie folgt vor:

    1. Wählen Sie im linken Menü Identitätsanbieter.
    2. Klicken Sie auf Identitätsanbieter hinzufügen.

    Screenshot der Seite „Identitätsanbieter“ in Sophos Central

  4. Geben Sie die Einstellungen für Ihren Identitätsanbieter wie folgt ein:

    1. Geben Sie einen Namen und eine Beschreibung ein.
    2. Stellen Sie unter Anbieter sicher, dass Azure AD ausgewählt ist.
    3. Geben Sie die Azure AD-Einstellungen für Client-ID, Mandanten-ID und geheimen Clientschlüssel ein.

      Wenn Sie Azure AD wie in diesem Handbuch beschrieben einrichten, haben Sie diese Informationen beim Erstellen des Mandanten erfasst. Siehe Verzeichnisdienst einrichten.

    4. Klicken Sie auf Verbindung testen und stellen Sie sicher, dass die Verbindung hergestellt wurde.

    5. Klicken Sie auf Speichern.

    Screenshot der Seite „Identitätsanbieter hinzufügen“

Bevor Sie Okta als Identitätsanbieter nutzen können, müssen Sie zunächst eine neue Okta-Anwendungs-Integration mit den richtigen Einstellungen für die Verwendung mit ZTNA erstellen und konfigurieren.

Verfahren Sie hierzu wie folgt:

  • Erstellen Sie eine Anwendungs-Integration.
  • Fügen Sie einen Autorisierungsserver hinzu.
  • Fügen Sie den Identitätsanbieter zu ZTNA hinzu.

Wir gehen hier davon aus, dass Sie Benutzergruppen in Okta haben. Wenn dies nicht der Fall ist, synchronisieren Sie mit den Tools von Okta Gruppen aus Ihrem Verzeichnisdienst mit Okta. Stellen Sie sicher, dass Sie Ihre Gruppen auch mit Sophos Central synchronisiert haben.

Erstellen einer Anwendungs-Integration

  1. Gehen Sie im Okta-Dashboard zu Applications.

    Menü „Okta-Dashboard“

  2. Klicken Sie auf Create App Integration.

    Seite „Okta-Anwendungen“

  3. Verfahren Sie unter Create a new app integration wie folgt:

    1. Wählen Sie OIDC aus.
    2. Wählen Sie Web Application.

    Neue Anwendung in Okta

  4. Gehen Sie unter New web application integration wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Wählen Sie Client credentials aus.
    3. Wählen Sie Refresh token.

    Neue Anwendungs-Integration in Okta

  5. Geben Sie auf der gleichen Registerkarte unter Sign-in redirect URL die Adresse ein, an die Okta die Authentifizierungsantwort und das Token senden wird. Hierbei muss es sich um den FQDN des Gateway-Hosts, gefolgt von /OAuth2/callback, handeln. Beispielsweise:

    https://ztna.mycompany.net/oauth2/callback

    Okta-Redirect-URL

  6. Wählen Sie unter Assignments die Option Skip group assignments for now aus.

    Okta-Zuweisungen

  7. Öffnen Sie Ihre neue Anwendung. Notieren Sie sich auf der Register General die Client-ID und den das Client Secret des Kunden. Sie benötigen diese Informationen, wenn Sie Okta als Ihren Identitätsanbieter in Sophos Central einrichten.

    ZTNA-Anwendungs-Details

  8. Legen Sie auf der Registerkarte Okta API Scopes die erforderlichen Berechtigungen fest:

    • okta.groups.read
    • okta.idps.read

    Sie benötigen „okta.idps.read“ nur, wenn Sie AD Sync verwenden.

    Registerkarte „Okta API Scopes“

  9. Klicken Sie auf der Registerkarte Assignments auf Assign > Assign to groups. Wählen Sie Ihre vorhandenen Benutzergruppen aus.

    Registerkarte „Assignments in Okta“

Fügen Sie einen Autorisierungsserver hinzu

  1. Wechseln Sie im Okta-Dashboard zu Security > API.

    Menü „Security“

  2. Klicken Sie auf der Registerkarte Authorization Servers auf Add Authorization Server.

    Registerkarte „Authorization Server“ in Okta

  3. Geben Sie im Dialogfeld Add Authorization Server einen Namen und eine Beschreibung ein. Klicken Sie auf Speichern.

    Dialogfeld „Add Authorization Server“ in Okta

  4. Auf der Registerkarte Authorization Servers wird der neue Server angezeigt. Notieren Sie sich die Issuer URL. Sie benötigen diese später.

    Issuer URL des Autorisierungsservers

  5. Klicken Sie auf der Registerkarte Scopes auf Add Scope und fügen Sie einen Bereich namens „customScope“ hinzu. Sie müssen keine weiteren Details hinzufügen. Dieser Scope wird nur für spätere Tests verwendet.

    Registerkarte „Scopes“ des Autorisierungsservers

  6. Klicken Sie auf der Registerkarte Claims auf Add Claim. Ein Claim ermöglicht ZTNA, Gruppen für die Authentifizierung anzuzeigen. Geben Sie die Details wie folgt ein:

    1. Geben Sie unter Name "groups" ein (in Kleinbuchstaben).
    2. Wählen Sie unter Token Type ID Token und anschließend Userinfo/id_token request ein.
    3. Geben Sie unter Value type Expression.
    4. Geben Sie diesen Wert ein:

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Okta-Dialogfeld „Add Claim“

  7. Gehen Sie auf der Registerkarte Access Policies wie folgt vor:

    1. Klicken Sie auf Add Policy. Übernehmen Sie die Standardeinstellungen und klicken Sie auf Create Policy.
    2. Wenn die neuen Richtliniendetails angezeigt werden, klicken Sie auf Add Rule. Übernehmen Sie die Standardeinstellungen, und klicken Sie auf Create Rule.

Hinzufügen des Identitätsanbieters zu ZTNA

  1. Sie sich bei Sophos Central an. Wählen Sie im linken Menü ZTNA.

    ZTNA-Menü in Sophos Central

  2. Gehen Sie auf der Seite Zero Trust Network Access wie folgt vor:

    1. Wählen Sie im linken Menü Identitätsanbieter.
    2. Klicken Sie auf Identitätsanbieter hinzufügen.

    Seite „Identitätsanbieter“ in Sophos Central

  3. Geben Sie die Einstellungen für Ihren Identitätsanbieter wie folgt ein:

    1. Geben Sie einen Namen und eine Beschreibung ein.
    2. Wählen Sie unter Anbieter die Option „Okta“.
    3. Geben Sie die Okta-Einstellungen für Client-ID, Mandanten-ID und geheimen Clientschlüssel ein.

      Hierbei handelt es sich um die oben erwähnten Okta-Einstellungen.

    4. Klicken Sie auf Verbindung testen und stellen Sie sicher, dass die Verbindung hergestellt wurde.

    5. Klicken Sie auf Speichern.

    Screenshot der Seite „Identitätsanbieter hinzufügen“

Als Nächstes richten Sie ein Gateway ein.