Aller au contenu

Configurer un fournisseur d’identité

Configurez maintenant un fournisseur d’identité. La passerelle ZTNA authentifie les utilisateurs en fonction des enregistrements détenus par le fournisseur d’identité.

Les étapes à suivre varient en fonction du fournisseur que vous souhaitez utiliser :

Si vous configurez Okta comme fournisseur d’identité, votre passerelle ZTNA doit être la version 1.1 ou ultérieure.

Vous pouvez utiliser Microsoft Entra ID (Azure AD) pour la synchronisation des utilisateurs et en tant que fournisseur d’identité.

Assurez-vous que vous avez déjà configuré les groupes d’utilisateurs Microsoft Entra ID (Azure AD) et que vous les avez synchronisés avec Sophos Central.

  1. Connectez-vous à Sophos Central.
  2. Allez dans Mes produits > ZTNA > Fournisseurs d’identité.
  3. Cliquez sur Ajouter un fournisseur d’identité.

    Page Fournisseur d'identité.

  4. Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :

    1. Saisissez un nom et une description.
    2. Dans Fournisseur, assurez-vous que Microsoft Entra ID (Azure AD) est sélectionné.
    3. Saisissez les paramètres Microsoft Entra ID (Azure AD) pour ID de client, ID de locataire et Secret client.

      Si vous avez configuré Microsoft Entra ID (Azure AD) selon les instructions contenues dans ce guide, vous avez noté ces paramètres lors de la création du locataire. Voir Configurer le service d’annuaire.

    4. Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.

    5. Cliquez sur Enregistrer.

    Page Ajouter un fournisseur d’identité.

Avant de pouvoir utiliser Okta en tant que fournisseur d’identité, vous devez tout d’abord créer et configurer une nouvelle intégration d’appli Okta avec des paramètres compatibles avec ZTNA.

Procédez de la manière suivante :

  • Créez une intégration d’appli.
  • Ajoutez le fournisseur d’identité à ZTNA.

Nous supposons ici que vous avez des groupes d’utilisateurs dans Okta. Si ce n’est pas le cas, utilisez les outils d’Okta pour synchroniser les groupes de votre service d’annuaire avec Okta. Assurez-vous que vous avez également synchronisé vos groupes avec Sophos Central.

Créer une intégration d’appli

  1. Dans le tableau de bord Okta, allez sur Applications.

    Menu du tableau de bord Okta.

  2. Cliquez sur Create App Integration.

    Page Applications Okta.

  3. Dans Create a new app integration, procédez comme suit :

    1. Sélectionnez OIDC.
    2. Sélectionnez Web Application.

    Nouvelle application Okta.

  4. Dans New Web App Integration, procédez comme suit :

    1. Saisissez un nom.
    2. Sélectionnez Client Credentials.
    3. Sélectionnez Refresh Token.

    Nouvelle intégration d’appli Okta.

  5. Dans le même onglet, dans *Sign-in redirect URIs*, saisissez l’adresse à laquelle Okta enverra la réponse d’authentification et le token. Pour ceci, saisissez le FQDN de l’hôte de passerelle suivi de /oauth2/callback. Par exemple :

    https://ztna.mycompany.net/oauth2/callback

    Okta redirect URI.

  6. Dans Assignments, sélectionnez Skip group assignment for now.

    Assignations Okta.

  7. Ouvrez votre nouvelle application. Dans l’onglet Général, notez l’ID client et la Clé secrète client. Vous en aurez besoin pour configurer Okta comme fournisseur d’identité dans Sophos Central.

    Détails de l’appli ZTNA.

  8. Dans l’onglet Okta API Scopes, définissez les autorisations nécessaires :

    • okta.groups.read
    • okta.idps.read

    Vous n’avez besoin que de okta.pdi.read si vous utilisez AD Sync.

    Onglet Okta API Scopes.

  9. Dans l’onglet Assignments, cliquez sur Assign > Assign to Groups. Sélectionnez un groupe d’utilisateurs existant.

    Onglet Okta Assignments.

  10. Dans l’onglet Sign On, allez dans OpenID Connect ID Token et procédez comme suit :

    1. Cliquez sur Modifier.
    2. Ajoutez une Groups claim expression.
    3. Cliquez sur Enregistrer.

    Jeton OpenID Connect ID.

Ajouter le fournisseur d’identité à ZTNA

  1. Connectez-vous à Sophos Central.
  2. Allez dans Mes produits > ZTNA > Fournisseurs d’identité.
  3. Cliquez sur Ajouter un fournisseur d’identité.

    Page Fournisseurs d’identité dans Sophos Central.

  4. Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :

    1. Saisissez un nom et une description.
    2. Dans Fournisseur, sélectionnez Okta.
    3. Saisissez les paramètres Okta pour l’ID client, la clé secrète client et l’URI de l’émetteur.

      Il s’agit des paramètres Okta mentionnés précédemment.

    4. Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.

    5. Cliquez sur Enregistrer.

    Page Ajouter un fournisseur d’identité.

Ensuite, configurez une passerelle.