Saltar al contenido

Configurar un proveedor de identidad

Ahora configure un proveedor de identidad. La puerta de enlace ZTNA autentica a los usuarios basándose en los registros que tenga el proveedor de identidad.

Los pasos dependen del proveedor que quiera utilizar.

Puede utilizar Microsoft Azure AD para la sincronización de usuarios y como proveedor de identidad.

Asegúrese de que ya ha configurado los grupos de usuarios de Azure AD y los ha sincronizado con Sophos Central.

  1. Inicie sesión en Sophos Central.
  2. En el menú de la izquierda, seleccione ZTNA.

    Captura de pantalla del menú ZTNA en Sophos Central

  3. En Zero Trust Network Access, haga lo siguiente:

    1. En el menú de la izquierda, seleccione Proveedores de identidad.
    2. Haga clic en Añadir proveedor de identidad.

    Captura de pantalla de la página Proveedores de identidad en Sophos Central

  4. Especifique la configuración para el proveedor de identidad de la siguiente manera:

    1. Especifique un nombre y una descripción.
    2. En Proveedor, asegúrese de que Azure AD está seleccionado.
    3. Especifique la configuración de Azure AD para ID de cliente, ID de inquilino y Secreto de cliente.

      Si ha configurado Azure AD como se describe en esta guía, ha recabado estos datos de configuración al crear el inquilino. Consulte Configurar servicio de directorio.

    4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

    5. Haga clic en Guardar.

    Captura de pantalla de la página Añadir proveedor de identidad

Antes de poder utilizar Okta como su proveedor de identidad, debe crear y configurar una nueva integración de aplicaciones Okta con la configuración adecuada para su uso con ZTNA.

Para ello, haga lo siguiente:

  • Cree una integración de aplicaciones.
  • Añada un servidor de autorización.
  • Añada el proveedor de identidad a ZTNA.

Asumimos aquí que tiene grupos de usuarios en Okta. Si no tiene, utilice las herramientas de Okta para sincronizar grupos de su servicio de directorio con Okta. Asegúrese también de que ha sincronizado sus grupos con Sophos Central.

Crear una integración de aplicaciones

  1. En el panel de control de Okta, vaya a Applications.

    Menú del panel de control de Okta

  2. Haga clic en *Create App Integration*.

    Página Applications de Okta

  3. En Create a new app integration, haga lo siguiente:

    1. Seleccione OIDC.
    2. Seleccione Web Application.

    Nueva aplicación de Okta

  4. En New web application integration, haga lo siguiente:

    1. Escriba un nombre.
    2. Seleccione Client credentials.
    3. Seleccione Refresh token.

    Nueva integración de aplicaciones de Okta

  5. En la misma ficha, en Sign-in redirect URI, introduzca la dirección a la que Okta enviará la respuesta de autenticación y el token. Debe ser el FQDN del host de puerta de enlace seguido de /oauth2/callback. Por ejemplo:

    https://ztna.mycompany.net/oauth2/callback

    URI de redirección de Okta

  6. En Assignments, seleccione Skip group assignments for now.

    Asignaciones de Okta

  7. Abra la nueva aplicación. En la ficha General, tome nota del Client ID y el Client Secret. Los necesitará cuando configure Okta como su proveedor de identidad en Sophos Central.

    Detalles de la aplicación ZTNA

  8. En la ficha Okta API Scopes, establezca los permisos necesarios:

    • okta.groups.read
    • okta.idps.read

    Solo necesita okta.idps.read si está utilizando Sincronización de AD.

    Ficha Okta API Scopes

  9. En la ficha Assignments, haga clic en Assign > Assign to groups. Seleccione su grupo de usuarios existente.

    Ficha Assignments de Okta

Añadir un servidor de autorización

  1. En el panel de control de Okta, vaya a Security > API.

    Menú Security

  2. En la ficha Authorization Servers, haga clic en Add Authorization Server.

    Ficha Authorization Servers de Okta

  3. En el cuadro de diálogo Add Authorization Server, introduzca un nombre y una descripción. Haga clic en Guardar.

    Cuadro de diálogo Add Authorization Server de Okta

  4. En la ficha Authorization Servers, verá el nuevo servidor. Tome nota del Issuer URI. Lo necesitará más adelante.

    URI del emisor del servidor de autorización

  5. En la ficha Scopes, haga clic en Add Scope y añada un ámbito denominado "customScope". No es necesario añadir ningún otro detalle. Este ámbito solo se utiliza para pruebas posteriores.

    Ficha Scopes del servidor de autorización

  6. En la ficha Claims, haga clic en Add Claim. Una notificación permite a ZTNA ver grupos para la autenticación. Introduzca los datos de la siguiente manera:

    1. En Name, introduzca "groups" (con una g minúscula).
    2. En Token Type, seleccione ID Token y, a continuación, Userinfo/id_token request.
    3. En Value type, indique Expression.
    4. Introduzca este valor:

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Cuadro de diálogo Add Claim de Okta

  7. En la página Políticas de acceso, haga lo siguiente:

    1. Haga clic en Add Policy. Acepte los valores predeterminados y haga clic en Create Policy.
    2. Cuando vea los detalles de la nueva política, haga clic en Add Rule. Acepte los valores predeterminados y haga clic en Create Rule.

Añadir el proveedor de identidad a ZTNA

  1. Inicie sesión en Sophos Central. En el menú de la izquierda, seleccione ZTNA.

    Menú de ZTNA en Sophos Central

  2. En la página Zero Trust Network Access, haga lo siguiente:

    1. En el menú de la izquierda, seleccione Proveedores de identidad.
    2. Haga clic en Añadir proveedor de identidad.

    Página Proveedores de identidad en Sophos Central

  3. Especifique la configuración para el proveedor de identidad de la siguiente manera:

    1. Especifique un nombre y una descripción.
    2. En Proveedor, seleccione Okta.
    3. Especifique la configuración de Okta para ID de cliente, Secreto de cliente y URI de emisor.

      Estas son las configuraciones de Okta que apuntó antes.

    4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

    5. Haga clic en Guardar.

    Captura de pantalla de la página Añadir proveedor de identidad

A continuación, configure una puerta de enlace.