Configurar un proveedor de identidad

Puede utilizar Microsoft Entra ID (Azure AD) para la sincronización de usuarios y como proveedor de identidad.

Asegúrese de que ya ha configurado los grupos de usuarios de Microsoft Entra ID (Azure AD) y los ha sincronizado con Sophos Central.

1. Inicie sesión en Sophos Central.
2. Vaya a Mis productos > ZTNA > Proveedores de identidad.

3. Haga clic en Añadir proveedor de identidad.

   

4. Especifique la configuración para el proveedor de identidad de la siguiente manera:

   1. Especifique un nombre y una descripción.
   2. En Proveedor, asegúrese de que está seleccionado Microsoft Entra ID (Azure AD).

   3. Introduzca la configuración de Microsoft Entra ID (Azure AD) para ID de cliente, ID de inquilino y Secreto de cliente.

      Si ha configurado Microsoft Entra ID (Azure AD) como se describe en esta guía, ha recabado estos datos de configuración al crear el inquilino. Consulte Configurar servicio de directorio.

   4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

   5. Haga clic en Guardar.

   

Antes de poder utilizar Okta como su proveedor de identidad, debe crear y configurar una nueva integración de aplicaciones Okta con la configuración adecuada para su uso con ZTNA.

Para ello, haga lo siguiente:

• Cree una integración de aplicaciones.
• Añada el proveedor de identidad a ZTNA.

Asumimos aquí que tiene grupos de usuarios en Okta. Si no tiene, utilice las herramientas de Okta para sincronizar grupos de su servicio de directorio con Okta. Asegúrese también de que ha sincronizado sus grupos con Sophos Central.

Crear una integración de aplicaciones

1. En el panel de control de Okta, vaya a Applications.

   

2. Haga clic en *Create App Integration*.

   

3. En Create a new app integration, haga lo siguiente:

   1. Seleccione OIDC.
   2. Seleccione Web Application.

   

4. En New Web App Integration, haga lo siguiente:

   1. Escriba un nombre.
   2. Seleccione Client Credentials.
   3. Seleccione Refresh Token.

   

5. En la misma ficha, en Sign-in redirect URIs, introduzca la dirección a la que Okta enviará la respuesta de autenticación y el token. Debe ser el FQDN del host de puerta de enlace seguido de /oauth2/callback. Por ejemplo:

   https://ztna.mycompany.net/oauth2/callback

   

6. En Assignments, seleccione Skip group assignment for now.

   

7. Abra la nueva aplicación. En la ficha General, tome nota del Client ID y el Client Secret. Los necesitará cuando configure Okta como su proveedor de identidad en Sophos Central.

   

8. En la ficha Okta API Scopes, establezca los permisos necesarios:

   • okta.groups.read
   • okta.idps.read

   Solo necesita okta.idps.read si está utilizando Sincronización de AD.

   

9. En la ficha Assignments, haga clic en Assign > Assign to Groups. Seleccione su grupo de usuarios existente.

   

10. En la pestaña Sign On, vaya a OpenID Connect ID Token y haga lo siguiente:

    1. Haga clic en Edit.
    2. Añada una Groups claim expression.
    3. Haga clic en Save.

    

Añadir el proveedor de identidad a ZTNA

1. Inicie sesión en Sophos Central.
2. Vaya a Mis productos > ZTNA > Proveedores de identidad.

3. Haga clic en Añadir proveedor de identidad.

   

4. Especifique la configuración para el proveedor de identidad de la siguiente manera:

   1. Especifique un nombre y una descripción.
   2. En Proveedor, seleccione Okta.

   3. Especifique la configuración de Okta para ID de cliente, Secreto de cliente y URI de emisor.

      Estas son las configuraciones de Okta que apuntó antes.

   4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

   5. Haga clic en Guardar.