Aller au contenu
Dernière mise à jour: 2022-06-09

Configurer un fournisseur d’identité

Configurez maintenant un fournisseur d’identité. La passerelle ZTNA authentifie les utilisateurs en fonction des enregistrements détenus par le fournisseur d’identité.

Les étapes à suivre varient en fonction du fournisseur que vous souhaitez utiliser :

Vous pouvez utiliser Microsoft Azure AD pour la synchronisation des utilisateurs et en tant que fournisseur d’identité.

Assurez-vous que vous avez déjà configuré les groupes d’utilisateurs Azure AD et que vous les avez synchronisés avec Sophos Central.

  1. Connectez-vous à Sophos Central.
  2. Dans le menu de gauche, sélectionnez ZTNA.

    Capture d’écran du menu ZTNA dans Sophos Central

  3. Dans Zero Trust Network Access, procédez de la manière suivante :

    1. Dans le menu de gauche, sélectionnez Fournisseurs d’identité.
    2. Cliquez sur Ajouter un fournisseur d’identité.

    Capture d’écran de la page Fournisseurs d’identité dans Sophos Central

  4. Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :

    1. Saisissez un nom et une description.
    2. Dans Fournisseur, assurez-vous que Azure AD est sélectionné.
    3. Saisissez les paramètres Azure AD pour ID client, ID locataire et Clé secrète client.

      Si vous avez configuré Azure AD selon les instructions contenues dans ce guide, vous avez noté ces paramètres lors de la création du locataire. Voir Configurer le service d’annuaire.

    4. Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.

    5. Cliquez sur Enregistrer.

    Capture d’écran de la page Ajouter un fournisseur d’identité

Avant de pouvoir utiliser Okta en tant que fournisseur d’identité, vous devez tout d’abord créer et configurer une nouvelle intégration d’appli Okta avec des paramètres compatibles avec ZTNA.

Procédez de la manière suivante :

  • Créez une intégration d’appli.
  • Ajoutez un serveur d’autorisation
  • Ajoutez le fournisseur d’identité à ZTNA.

Nous supposons ici que vous avez des groupes d’utilisateurs dans Okta. Si ce n’est pas le cas, utilisez les outils d’Okta pour synchroniser les groupes de votre service d’annuaire avec Okta. Assurez-vous que vous avez également synchronisé vos groupes avec Sophos Central.

Créer une intégration d’appli

  1. Dans le tableau de bord Okta, allez sur Applications.

    Menu du tableau de bord Okta

  2. Cliquez sur Create App Integration.

    Page Applications Okta

  3. Dans Create a new app integration, procédez de la manière suivante :

    1. Sélectionnez OIDC.
    2. Sélectionnez Web Application.

    Nouvelle application Okta

  4. Dans New web application integration, procédez de la manière suivante :

    1. Saisissez un nom.
    2. Sélectionnez Client credentials.
    3. Sélectionnez Refresh token.

    Nouvelle intégration d’appli Okta

  5. Dans le même onglet, dans *Sign-in redirect URI*, saisissez l’adresse à laquelle Okta enverra la réponse d’authentification et le token. Pour ceci, saisissez le FQDN de l’hôte de passerelle suivi de /oauth2/callback. Par exemple :

    https://ztna.mycompany.net/oauth2/callback

    Okta redirect URI

  6. Dans Assignments, sélectionnez Skip group assignments for now.

    Assignations Okta

  7. Ouvrez votre nouvelle application. Dans l’onglet Général, notez l’ID client et la Clé secrète client. Vous en aurez besoin pour configurer Okta comme fournisseur d’identité dans Sophos Central.

    Détails de l’appli ZTNA

  8. Dans l’onglet Okta API Scopes, définissez les autorisations nécessaires :

    • okta.groups.read
    • okta.idps.read

    Vous n’avez besoin que de okta.pdi.read si vous utilisez AD Sync.

    Onglet Okta API Scopes

  9. Dans l’onglet Assignments, cliquez sur Assign > Assign to groups. Sélectionnez un groupe d’utilisateurs existant.

    Onglet Okta Assignments

Ajouter un serveur d’autorisation

  1. Sur le tableau de bord Okta, allez dans Security > API.

    Menu Security

  2. Dans l’onglet Authorization Servers, cliquez sur Add Authorization Server.

    Onglet Okta Authorization Servers

  3. Dans la boîte de dialogue Add Authorization Server, saisissez un nom et une description. Cliquez sur Enregistrer.

    Boîte de dialogue **Add Authorization Server** Okta

  4. Dans l’onglet Authorization Servers, le nouveau serveur s’affiche. Notez l’adresse Issuer URI. Vous en aurez besoin plus tard.

    Adresse Authorization server issuer URI

  5. Dans l’onglet Scopes, cliquez sur Add Scope et ajoutez « CustomScope ». Vous n’avez pas besoin d’ajouter d’autres détails. Ce paramètre est uniquement utilisé pour les tests ultérieurs.

    Onglet Authorization server Scopes

  6. Dans l’onglet Claims, cliquez sur Add Claim. Ceci permet à ZTNA de voir les groupes à authentifier. Saisissez les détails de la manière suivante :

    1. Dans Name, saisissez « groups » (avec un g minuscule).
    2. Dans Token type, sélectionnez ID Token, puis Userinfo/ID_token request.
    3. Dans Value type, saisissez Expression.
    4. Saisissez cette valeur :

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Boîte de dialogue Okta Add Claim

  7. Dans l’onglet Access Policies :

    1. Cliquez sur Add Policy. Acceptez les valeurs par défaut et cliquez sur Create Policy.
    2. Lorsque les détails de la nouvelle stratégie s’affichent, cliquez sur Add Rule. Acceptez les valeurs par défaut et cliquez sur Create Rule.

Ajouter le fournisseur d’identité à ZTNA

  1. Connectez-vous à Sophos Central. Dans le menu de gauche, sélectionnez ZTNA.

    Menu ZTNA dans Sophos Central

  2. Sur la page Zero Trust Network Access, procédez de la manière suivante :

    1. Dans le menu de gauche, sélectionnez Fournisseurs d’identité.
    2. Cliquez sur Ajouter un fournisseur d’identité.

    Page Fournisseurs d’identité dans Sophos Central

  3. Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :

    1. Saisissez un nom et une description.
    2. Dans Fournisseur, sélectionnez Okta.
    3. Saisissez les paramètres Okta pour l’ID client, la clé secrète client et l’URI de l’émetteur.

      Il s’agit des paramètres Okta mentionnés précédemment.

    4. Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.

    5. Cliquez sur Enregistrer.

    Capture d’écran de la page Ajouter un fournisseur d’identité

Ensuite, configurez une passerelle.