Configurer un fournisseur d’identité
Configurez maintenant un fournisseur d’identité. La passerelle ZTNA authentifie les utilisateurs en fonction des enregistrements détenus par le fournisseur d’identité.
Les étapes à suivre varient en fonction du fournisseur que vous souhaitez utiliser :
Si vous configurez Okta comme fournisseur d’identité, votre passerelle ZTNA doit être la version 1.1 ou ultérieure.
Vous pouvez utiliser Microsoft Entra ID (Azure AD) pour la synchronisation des utilisateurs et en tant que fournisseur d’identité.
Assurez-vous que vous avez déjà configuré les groupes d’utilisateurs Microsoft Entra ID (Azure AD) et que vous les avez synchronisés avec Sophos Central.
- Connectez-vous à Sophos Central.
- Allez dans Mes produits > ZTNA > Fournisseurs d’identité.
-
Cliquez sur Ajouter un fournisseur d’identité.
-
Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :
- Saisissez un nom et une description.
- Dans Fournisseur, assurez-vous que Microsoft Entra ID (Azure AD) est sélectionné.
-
Saisissez les paramètres Microsoft Entra ID (Azure AD) pour ID de client, ID de locataire et Secret client.
Si vous avez configuré Microsoft Entra ID (Azure AD) selon les instructions contenues dans ce guide, vous avez noté ces paramètres lors de la création du locataire. Voir Configurer le service d’annuaire.
-
Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.
- Cliquez sur Enregistrer.
Avant de pouvoir utiliser Okta en tant que fournisseur d’identité, vous devez tout d’abord créer et configurer une nouvelle intégration d’appli Okta avec des paramètres compatibles avec ZTNA.
Procédez de la manière suivante :
- Créez une intégration d’appli.
- Ajoutez le fournisseur d’identité à ZTNA.
Nous supposons ici que vous avez des groupes d’utilisateurs dans Okta. Si ce n’est pas le cas, utilisez les outils d’Okta pour synchroniser les groupes de votre service d’annuaire avec Okta. Assurez-vous que vous avez également synchronisé vos groupes avec Sophos Central.
Créer une intégration d’appli
-
Dans le tableau de bord Okta, allez sur Applications.
-
Cliquez sur Create App Integration.
-
Dans Create a new app integration, procédez comme suit :
- Sélectionnez OIDC.
- Sélectionnez Web Application.
-
Dans New Web App Integration, procédez comme suit :
- Saisissez un nom.
- Sélectionnez Client Credentials.
- Sélectionnez Refresh Token.
-
Dans le même onglet, dans *Sign-in redirect URIs*, saisissez l’adresse à laquelle Okta enverra la réponse d’authentification et le token. Pour ceci, saisissez le FQDN de l’hôte de passerelle suivi de /oauth2/callback. Par exemple :
https://ztna.mycompany.net/oauth2/callback
-
Dans Assignments, sélectionnez Skip group assignment for now.
-
Ouvrez votre nouvelle application. Dans l’onglet Général, notez l’ID client et la Clé secrète client. Vous en aurez besoin pour configurer Okta comme fournisseur d’identité dans Sophos Central.
-
Dans l’onglet Okta API Scopes, définissez les autorisations nécessaires :
- okta.groups.read
- okta.idps.read
Vous n’avez besoin que de okta.pdi.read si vous utilisez AD Sync.
-
Dans l’onglet Assignments, cliquez sur Assign > Assign to Groups. Sélectionnez un groupe d’utilisateurs existant.
-
Dans l’onglet Sign On, allez dans OpenID Connect ID Token et procédez comme suit :
- Cliquez sur Modifier.
- Ajoutez une Groups claim expression.
- Cliquez sur Enregistrer.
Ajouter le fournisseur d’identité à ZTNA
- Connectez-vous à Sophos Central.
- Allez dans Mes produits > ZTNA > Fournisseurs d’identité.
-
Cliquez sur Ajouter un fournisseur d’identité.
-
Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :
- Saisissez un nom et une description.
- Dans Fournisseur, sélectionnez Okta.
-
Saisissez les paramètres Okta pour l’ID client, la clé secrète client et l’URI de l’émetteur.
Il s’agit des paramètres Okta mentionnés précédemment.
-
Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.
- Cliquez sur Enregistrer.
Ensuite, configurez une passerelle.