Vai al contenuto

Aggiungi risorse

Occorre ora aggiungete le risorse (app e pagine web) alle quali gli utenti accederanno attraverso il gateway.

Se si aggiunge una risorsa che reindirizza l’utente a un URL diverso dopo l’autenticazione o che si collega ad altre risorse, è necessario aggiungere anche queste risorse. Ad esempio, se si aggiungono wiki.mycompany.net e i collegamenti wiki ai ticket di Jira, bisogna aggiungere jira.mycompany.net.

Nota

Per istruzioni su come configurare una risorsa alla quale gli utenti accedono attraverso un controller di dominio Windows, ad esempio CIFS (Common Internet File System), vedere Sophos ZTNA: accesso non continuo alle risorse Windows.

Per istruzioni dettagliate per gateway on-premise e per Sophos Cloud Gateway, cliccare di seguito sulla scheda corrispondente al proprio tipo di distribuzione

Per aggiungere risorse, procedere come segue:

  1. Selezionare Prodotti > ZTNA > Risorse e accesso e cliccare su Aggiungi risorsa.

    Pagine delle risorse.

  2. In Aggiungi risorsa, procedere come segue:

    1. Inserire un nome e una descrizione per la risorsa.
    2. Verificare che l’opzione Mostra risorsa nel portale utenti sia selezionata.

    Finestra di dialogo Aggiungi risorsa.

  3. Specificare il tipo di accesso e i dettagli della risorsa come segue:

    1. Seleziona un Gateway.
    2. In Metodo di accesso, selezionare Agente per accedere alla risorsa con l'agente ZTNA o Senza agente per accedere alla risorsa senza. Selezionare anche il Criterio da applicare.
    3. Selezionare il Tipo di risorsa (ad esempio Applicazione web).
    4. Immettere l’FQDN esterno e l’Indirizzo FQDN/IP interno della risorsa.

      Avviso

      Se è stato selezionato l'accesso senza agente, l'FQDN esterno deve essere disponibile pubblicamente. Se è stato selezionato l’accesso con agente, l’FQDN esterno non deve essere disponibile pubblicamente.

      Nota

      Non è necessario aggiungere un FQDN interno o un indirizzo IP. Lasciando vuoto il campo Indirizzo FQDN/IP interno, viene aggiunto automaticamente l’FQDN esterno.

    5. Fornire il tipo e il numero di porta (ad esempio, HTTPS e la porta 443 per un’app web).

      Per concedere l’accesso a una risorsa, si possono utilizzare fino a 20 porte TCP e UDP. È possibile aggiungere un intervallo di porte separato da virgole. Esempio: TCP 26-27, 20-24.

    6. Se si ha un gateway AWS, impostare l’FQDN interno come segue:

      • Se l'app è ospitata sull'istanza EC2 in un altro VPC, configurare il nome distinto dell'IP privato di EC2.

      • Se l'app ha un nome di dominio DNS personalizzato, configurare la zona ospitata privata. Vedere Zone ospitate private.

      Impostazioni di accesso e delle risorse.

  4. In Assegna gruppi di utenti, selezionare i gruppi disponibili che richiedono accesso alla risorsa. Spostarli in Gruppi di utenti assegnati e selezionarli.

    Impostazioni per i gruppi di utenti.

    Nota

    Se in un secondo momento si dovesse modificare il nome di un gruppo di utenti di Microsoft Entra ID (Azure AD) assegnato, l’elenco non verrà aggiornato. Gli utenti non potranno accedere all'app e si dovrà assegnare nuovamente il gruppo.

  5. Cliccare su Salva.

  6. Verificare di poter accedere all’app aggiunta.

    È possibile verificare il certificato SSL e assicurarsi che sia lo stesso certificato con caratteri jolly che è stato caricato sul gateway.

  7. Ripetere i passaggi precedenti per tutte le risorse alle quali questa risorsa potrebbe reindirizzare l’utente.

    Nota

    Per modificare o rimuovere le informazioni relative a una risorsa, selezionare Risorse e accesso e cliccare sul nome della risorsa per aprire i Dettagli delle risorse.

Per aggiungere risorse, procedere come segue:

  1. Selezionare Prodotti > ZTNA > Risorse e accesso e cliccare su Aggiungi risorsa.

    Pagine delle risorse.

  2. In Aggiungi risorsa, procedere come segue:

    1. Inserire un nome e una descrizione per la risorsa.
    2. Verificare che l’opzione Mostra risorsa nel portale utenti sia selezionata.

    Finestra di dialogo Aggiungi risorsa.

  3. Specificare il tipo di accesso e i dettagli della risorsa come segue:

    1. Seleziona un Gateway.
    2. In Metodo di accesso, selezionare Agente per accedere alla risorsa con l'agente ZTNA o Senza agente per accedere alla risorsa senza. Selezionare anche il Criterio da applicare.
    3. Selezionare il Tipo di risorsa (ad esempio Applicazione web).

      Tipi di risorse per ZTNA.

    4. Immettere l’FQDN esterno e l’Indirizzo FQDN/IP interno della risorsa.

      Avviso

      Se è stato selezionato l'accesso senza agente, l'FQDN esterno deve essere disponibile pubblicamente. Se è stato selezionato l’accesso con agente, l’FQDN esterno non deve essere disponibile pubblicamente.

    5. Fornire il tipo e il numero di porta (ad esempio, HTTPS e la porta 443 per un’app web).

      Per concedere l’accesso a una risorsa, si possono utilizzare fino a 20 porte TCP e UDP. È possibile aggiungere un intervallo di porte separato da virgole. Esempio: TCP 26-27, 20-24.

  4. In Assegna gruppi di utenti, selezionare i gruppi disponibili che richiedono accesso alla risorsa. Spostarli in Gruppi di utenti assegnati e selezionarli.

    Impostazioni per i gruppi di utenti.

    Nota

    Se in un secondo momento si dovesse modificare il nome di un gruppo di utenti di Microsoft Entra ID (Azure AD) assegnato, l’elenco non verrà aggiornato. Gli utenti non potranno accedere all'app e si dovrà assegnare nuovamente il gruppo.

  5. Cliccare su Salva.

    Verrà visualizzata una finestra popup Risorsa aggiunta, che indica il Dominio dell’alias.

  6. Verificare che il Dominio dell’alias sia uguale a quello generato durante la configurazione del gateway.

    Nota

    Se il Metodo di accesso è Agente, il dominio alias non verrà generato.

  7. Verificare di poter accedere all’app aggiunta.

    È possibile verificare il certificato SSL e assicurarsi che sia lo stesso certificato con caratteri jolly che è stato caricato sul gateway.

  8. Ripetere i passaggi precedenti per tutte le risorse alle quali questa risorsa potrebbe reindirizzare l’utente.

Voci DNS

Le risorse senza agente e quelle basate su agente richiedono voci DNS diverse.

Risorse basate su agente

  • Quando si aggiunge un FQDN per il Sophos Cloud Gateway, verrà generato un dominio dell’alias per il gateway. Dovrà essere aggiunto come record CNAME sul proprio server DNS pubblico.

  • Quando si aggiunge un FQDN per la risorsa, verrà generato un dominio dell’alias per la risorsa. Dovrà essere aggiunto come record CNAME sul proprio server DNS pubblico.

Quando si accede a una risorsa tramite il rispettivo FQDN, si verrà reindirizzati sul dominio dell’alias.

Risorse basate su agente

  • Quando si aggiunge un FQDN per il Sophos Cloud Gateway, verrà generato un dominio dell’alias per il gateway. Dovrà essere aggiunto come record CNAME sul proprio server DNS pubblico.

  • Non verrà generato un dominio dell’alias per le risorse basate su agente. Pertanto, non bisogna aggiungere record CNAME per le risorse.

  • Evitare di aggiungere voci DNS con caratteri jolly.

Accesso basato su IP

Se un utente prova ad accedere a una risorsa interna digitandone l’indirizzo IP nel browser, l’utente raggiungerà direttamente la risorsa, senza passare attraverso ZTNA. Per assicurarsi che gli utenti aprano la risorsa interna tramite FQDN, è possibile aggiungere delle regole firewall.