Configurer un fournisseur d’identité
Configurez maintenant un fournisseur d’identité. La passerelle ZTNA authentifie les utilisateurs en fonction des enregistrements détenus par le fournisseur d’identité.
Les étapes à suivre varient en fonction du fournisseur que vous souhaitez utiliser :
Vous pouvez utiliser Microsoft Azure AD pour la synchronisation des utilisateurs et en tant que fournisseur d’identité.
Assurez-vous que vous avez déjà configuré les groupes d’utilisateurs Azure AD et que vous les avez synchronisés avec Sophos Central.
- Connectez-vous à Sophos Central.
-
Dans le menu de gauche, sélectionnez ZTNA.
-
Dans Zero Trust Network Access, procédez de la manière suivante :
- Dans le menu de gauche, sélectionnez Fournisseurs d’identité.
- Cliquez sur Ajouter un fournisseur d’identité.
-
Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :
- Saisissez un nom et une description.
- Dans Fournisseur, assurez-vous que Azure AD est sélectionné.
-
Saisissez les paramètres Azure AD pour ID client, ID locataire et Clé secrète client.
Si vous avez configuré Azure AD selon les instructions contenues dans ce guide, vous avez noté ces paramètres lors de la création du locataire. Voir Configurer le service d’annuaire.
-
Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.
- Cliquez sur Enregistrer.
Avant de pouvoir utiliser Okta en tant que fournisseur d’identité, vous devez tout d’abord créer et configurer une nouvelle intégration d’appli Okta avec des paramètres compatibles avec ZTNA.
Procédez de la manière suivante :
- Créez une intégration d’appli.
- Ajoutez un serveur d’autorisation
- Ajoutez le fournisseur d’identité à ZTNA.
Nous supposons ici que vous avez des groupes d’utilisateurs dans Okta. Si ce n’est pas le cas, utilisez les outils d’Okta pour synchroniser les groupes de votre service d’annuaire avec Okta. Assurez-vous que vous avez également synchronisé vos groupes avec Sophos Central.
Créer une intégration d’appli
-
Dans le tableau de bord Okta, allez sur Applications.
-
Cliquez sur Create App Integration.
-
Dans Create a new app integration, procédez de la manière suivante :
- Sélectionnez OIDC.
- Sélectionnez Web Application.
-
Dans New web application integration, procédez de la manière suivante :
- Saisissez un nom.
- Sélectionnez Client credentials.
- Sélectionnez Refresh token.
-
Dans le même onglet, dans *Sign-in redirect URI*, saisissez l’adresse à laquelle Okta enverra la réponse d’authentification et le token. Pour ceci, saisissez le FQDN de l’hôte de passerelle suivi de /oauth2/callback. Par exemple :
https://ztna.mycompany.net/oauth2/callback
-
Dans Assignments, sélectionnez Skip group assignments for now.
-
Ouvrez votre nouvelle application. Dans l’onglet Général, notez l’ID client et la Clé secrète client. Vous en aurez besoin pour configurer Okta comme fournisseur d’identité dans Sophos Central.
-
Dans l’onglet Okta API Scopes, définissez les autorisations nécessaires :
- okta.groups.read
- okta.idps.read
Vous n’avez besoin que de okta.pdi.read si vous utilisez AD Sync.
-
Dans l’onglet Assignments, cliquez sur Assign > Assign to groups. Sélectionnez un groupe d’utilisateurs existant.
Ajouter un serveur d’autorisation
-
Sur le tableau de bord Okta, allez dans Security > API.
-
Dans l’onglet Authorization Servers, cliquez sur Add Authorization Server.
-
Dans la boîte de dialogue Add Authorization Server, saisissez un nom et une description. Cliquez sur Enregistrer.
-
Dans l’onglet Authorization Servers, le nouveau serveur s’affiche. Notez l’adresse Issuer URI. Vous en aurez besoin plus tard.
-
Dans l’onglet Scopes, cliquez sur Add Scope et ajoutez « CustomScope ». Vous n’avez pas besoin d’ajouter d’autres détails. Ce paramètre est uniquement utilisé pour les tests ultérieurs.
-
Dans l’onglet Claims, cliquez sur Add Claim. Ceci permet à ZTNA de voir les groupes à authentifier. Saisissez les détails de la manière suivante :
- Dans Name, saisissez « groups » (avec un g minuscule).
- Dans Token type, sélectionnez ID Token, puis Userinfo/ID_token request.
- Dans Value type, saisissez Expression.
-
Saisissez cette valeur :
Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100), Groups.startsWith("active_directory","",100))
-
Dans l’onglet Access Policies :
- Cliquez sur Add Policy. Acceptez les valeurs par défaut et cliquez sur Create Policy.
- Lorsque les détails de la nouvelle stratégie s’affichent, cliquez sur Add Rule. Acceptez les valeurs par défaut et cliquez sur Create Rule.
Ajouter le fournisseur d’identité à ZTNA
-
Connectez-vous à Sophos Central. Dans le menu de gauche, sélectionnez ZTNA.
-
Sur la page Zero Trust Network Access, procédez de la manière suivante :
- Dans le menu de gauche, sélectionnez Fournisseurs d’identité.
- Cliquez sur Ajouter un fournisseur d’identité.
-
Saisissez les paramètres de votre fournisseur d’identité de la manière suivante :
- Saisissez un nom et une description.
- Dans Fournisseur, sélectionnez Okta.
-
Saisissez les paramètres Okta pour l’ID client, la clé secrète client et l’URI de l’émetteur.
Il s’agit des paramètres Okta mentionnés précédemment.
-
Cliquez sur Tester la connexion et assurez-vous que la connexion est établie.
- Cliquez sur Enregistrer.
Ensuite, configurez une passerelle.