Saltar al contenido

Configurar un proveedor de identidad

Ahora configure un proveedor de identidad. La puerta de enlace ZTNA autentica a los usuarios basándose en los registros que tenga el proveedor de identidad.

Nota

Solo puede añadir una entrada por cada proveedor de identidad.

Los pasos dependen del proveedor que quiera utilizar.

Puede utilizar Microsoft AD (local) para la sincronización de usuarios y como proveedor de identidad.

Nota

Si está configurando Microsoft AD local como proveedor de identidad y aloja la puerta de enlace en un servidor ESXi o Microsoft Hyper-V, su puerta de enlace ZTNA debe ser de la versión 2.1 o superior.

Si está configurando Microsoft AD local como proveedor de identidad y aloja la puerta de enlace en Sophos Firewall, el firewall debe tener la versión 19.5 MR3 o posterior.

Asegúrese de que ya ha configurado los grupos de usuarios de Active Directory y los ha sincronizado con Sophos Central. Consulte Configurar la sincronización con Active Directory.

Nota

Los grupos de usuarios principales no se sincronizan desde Active Directory, por lo que los usuarios que pertenezcan a estos grupos no podrán acceder a los recursos. Debe asegurarse de que los usuarios también son miembros de otros grupos de AD.

Nota

En ZTNA, solo se admite un dominio. No admitimos varios dominios secundarios en un mismo escenario de bosque.

  1. Inicie sesión en Sophos Central.
  2. Vaya a Mis productos > ZTNA > Proveedores de identidad.

  3. Haga clic en Añadir proveedor de identidad.

    Página de proveedor de identidad.

Configuración del proveedor de identidad

Especifique la configuración para el proveedor de identidad de la siguiente manera:

  1. Especifique un nombre y una descripción.
  2. En Proveedor, asegúrese de que Microsoft AD (local) está seleccionado.

Configurar opciones de Active Directory (AD)

  1. Configure las siguientes opciones:

    1. Introduzca los datos del host y del puerto de su servidor AD principal. Si es necesario, puede introducir los datos de su servidor secundario.

      Nota

      El servidor secundario debe pertenecer al mismo dominio que el servidor principal. Si el servidor principal no está disponible, el servidor secundario proporcionará redundancia.

    2. Opcional: Configure las opciones de TLS y SSL.

      Puede seleccionar una de las siguientes opciones:

      • TLS activado: Usa TLS para proteger la información de nombre de usuario y contraseña utilizada para iniciar sesión en el servidor LDAP.
      • Iniciar TLS: Permite que el servidor de LDAP escuche el puerto sin cifrar (normalmente 389) para conexiones LDAP y luego cambie a TLS

      Si selecciona Verificar certificado SSL, debe cargar el certificado SSL de su servidor LDAP en uno de los siguientes formatos: .pem, .crt o .cer. El tamaño máximo del certificado es de 10 KB.

      Configuración de TLS y SSL.

Cuenta y contraseña

En DN de enlace, introduzca los detalles de su controlador de dominio y la Contraseña de enlace.

Para obtener más información, consulte Buscar los nombres distintivos base y de enlace en el servidor AD.

Búsqueda de Active Directory

  1. En Usuario, introduzca los detalles de su servidor AD en DN base. Por defecto, está definida la configuración avanzada, pero puede cambiarla si es necesario.

    Configuración avanzada predeterminada del DN base del usuario.

  2. En Grupo de usuarios, introduzca los detalles de su usuario de AD en DN base. Por defecto, está definida la configuración avanzada, pero puede cambiarla si es necesario.

Configuración de seguridad avanzada

  1. Opcional: Active Captcha para garantizar un inicio de sesión seguro. Así se reduce el riesgo de un ataque por fuerza bruta a su directorio.

  2. Opcional: Active la Contraseña de un solo uso basada en correo electrónico para poder autenticar a los usuarios con la autenticación multifactor (MFA). Introduzca los siguientes parámetros SMTP:

    1. Host de servidor SMTP: La dirección IP o el nombre de host del servidor SMTP.
    2. Número de puerto SMTP: El número de puerto por el que accede al servidor SMTP.
    3. Correo electrónico SMTP: La dirección de correo electrónico predeterminada a la que se envían los mensajes devueltos.
    4. Asunto del correo electrónico: El asunto del correo electrónico que contiene la contraseña de un solo uso (OTP).
    5. Si el servidor SMTP requiere credenciales para retransmitir correos electrónicos, debe introducir el Inicio de sesión SMTP y la Contraseña SMTP.

    6. Opcional: Configure las opciones de TLS y SSL.

      Puede seleccionar una de las siguientes opciones:

      • TLS activado: Utiliza TLS para proteger la comunicación entre el servidor SMTP y el cliente.
      • Iniciar TLS: Inicia la negociación entre el servidor SMTP y el cliente para elegir el método de cifrado.

      Si selecciona una de las opciones anteriores, verá la opción Verificar certificado SSL. Si selecciona Verificar certificado SSL, debe cargar el certificado SSL de su servidor SMTP en uno de los siguientes formatos: .pem, .crt o cer. El tamaño máximo del certificado es de 10 KB.

Prueba de conexión

Si lo desea, puede probar la conexión.

Nota

Antes de probar la conexión, compruebe si el campo de correo electrónico del usuario en el servidor AD principal contiene una dirección de correo electrónico válida. Si la dirección de correo electrónico introducida para un usuario está en blanco o no es válida, falla la conexión de prueba.

  1. Para probar la conexión, haga lo siguiente:

    1. Asigne su proveedor de identidad a una puerta de enlace. Para ello, vaya a la página Puertas de enlace, haga clic en el nombre de su puerta de enlace y haga clic en Editar. En Proveedor de identidad, seleccione el proveedor de identidad que acaba de crear.

      Asignación de un IDP a la puerta de enlace.

      Nota

      Si aún no ha creado una puerta de enlace, pruebe su conexión después de crear su puerta de enlace y asignarla a su proveedor de identidad.

    2. Vuelva a Proveedores de identidad y haga clic en el nombre de su nuevo proveedor de identidad.

    3. En Probar conexión, seleccione el nombre de la puerta de enlace y, si lo desea, introduzca el nombre de usuario.

    4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

      Si ha introducido el nombre de usuario, verá a qué grupos pertenece ese usuario.

  2. Haga clic en Guardar.

Ahora sus usuarios podrán autenticarse a través del servidor AD cuando accedan a los recursos detrás de la puerta de enlace.

Nota

Si utiliza Microsoft AD (local) como proveedor de identidad y accede a recursos alojados detrás de diferentes puertas de enlace ZTNA, se le pedirá que se autentique con cada puerta de enlace la primera vez que acceda a un recurso. Si usa otros IDP, una vez que se haya autenticado con cualquier puerta de enlace ZTNA, no se le pedirá que se autentique de nuevo cuando acceda a recursos alojados tras puertas de enlace diferentes.

Puede utilizar Microsoft Entra ID (Azure AD) para la sincronización de usuarios y como proveedor de identidad.

Asegúrese de que ya ha configurado los grupos de usuarios de Microsoft Entra ID (Azure AD) y los ha sincronizado con Sophos Central.

  1. Inicie sesión en Sophos Central.
  2. Vaya a Mis productos > ZTNA > Proveedores de identidad.

  3. Haga clic en Añadir proveedor de identidad.

    Página de proveedor de identidad.

  4. Especifique la configuración para el proveedor de identidad de la siguiente manera:

    1. Especifique un nombre y una descripción.
    2. En Proveedor, asegúrese de que está seleccionado Microsoft Entra ID (Azure AD).

    3. Introduzca la configuración de Microsoft Entra ID (Azure AD) para ID de cliente, ID de inquilino y Secreto de cliente.

      Si ha configurado Microsoft Entra ID (Azure AD) como se describe en esta guía, ha recabado estos datos de configuración al crear el inquilino. Consulte Configurar servicio de directorio.

    4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

    5. Haga clic en Guardar.

    Página Añadir proveedor de identidad.

Si está configurando Okta como proveedor de identidad, su puerta de enlace ZTNA debe ser de la versión 1.1 o superior.

Antes de poder utilizar Okta como su proveedor de identidad, debe crear y configurar una nueva integración de aplicaciones Okta con la configuración adecuada para su uso con ZTNA.

Para ello, haga lo siguiente:

  • Cree una integración de aplicaciones.
  • Añada el proveedor de identidad a ZTNA.

Asumimos aquí que tiene grupos de usuarios en Okta. Si no tiene, utilice las herramientas de Okta para sincronizar grupos de su servicio de directorio con Okta. Asegúrese también de que ha sincronizado sus grupos con Sophos Central.

Crear una integración de aplicaciones

  1. En el panel de control de Okta, vaya a Applications.

    Menú del panel de control de Okta.

  2. Haga clic en *Create App Integration*.

    Página Applications de Okta.

  3. En Create a new app integration, haga lo siguiente:

    1. Seleccione OIDC.
    2. Seleccione Web Application.

    Nueva aplicación de Okta.

  4. En New Web App Integration, haga lo siguiente:

    1. Escriba un nombre.
    2. Seleccione Client Credentials.
    3. Seleccione Refresh Token.

    Nueva integración de aplicaciones de Okta.

  5. En la misma ficha, en Sign-in redirect URIs, introduzca la dirección a la que Okta enviará la respuesta de autenticación y el token. Debe ser el FQDN del host de puerta de enlace seguido de /oauth2/callback. Por ejemplo:

    https://ztna.mycompany.net/oauth2/callback

    URI de redirección de Okta.

    Nota

    Si configura una puerta de enlace en Sophos Firewall, debe añadir un nuevo URI de redirección en el siguiente formato: https://<gateway's external FQDN>/ztna-oauth2/callback.

  6. En Assignments, seleccione Skip group assignment for now.

    Asignaciones de Okta.

  7. Abra la nueva aplicación. En la ficha General, tome nota del Client ID y el Client Secret. Los necesitará cuando configure Okta como su proveedor de identidad en Sophos Central.

    Detalles de la aplicación ZTNA.

  8. En la ficha Okta API Scopes, establezca los permisos necesarios:

    • okta.groups.read
    • okta.idps.read

    Solo necesita okta.idps.read si está utilizando Sincronización de AD.

    Ficha Okta API Scopes.

  9. En la ficha Assignments, haga clic en Assign > Assign to Groups. Seleccione su grupo de usuarios existente.

    Ficha Assignments de Okta.

  10. En la pestaña Sign On, vaya a OpenID Connect ID Token y haga lo siguiente:

    1. Haga clic en Edit.
    2. Añada una Groups claim expression. Para obtener más información, consulte Añadir una solicitud de grupo personalizada.
    3. Haga clic en Save.

    Token de identificación de OpenID Connect.

Añadir el proveedor de identidad a ZTNA

  1. Inicie sesión en Sophos Central.
  2. Vaya a Mis productos > ZTNA > Proveedores de identidad.

  3. Haga clic en Añadir proveedor de identidad.

    Página Proveedores de identidad en Sophos Central.

  4. Especifique la configuración para el proveedor de identidad de la siguiente manera:

    1. Especifique un nombre y una descripción.
    2. En Proveedor, seleccione Okta.

    3. Especifique la configuración de Okta para ID de cliente, Secreto de cliente y URI de emisor.

      Estas son las configuraciones de Okta que apuntó antes.

    4. Haga clic en Probar conexión y asegúrese de que se ha realizado la conexión.

    5. Haga clic en Guardar.

    Detalles del proveedor de identidad Azure.

A continuación, configure una puerta de enlace.