Configurazione di un provider di identità

È possibile utilizzare Microsoft Entra ID (Azure AD) sia per la sincronizzazione degli utenti, sia come provider di identità.

Assicurarsi di avere già configurato i gruppi di utenti di Microsoft Entra ID (Azure AD) e di averli sincronizzati con Sophos Central.

1. Accedere a Sophos Central.
2. Selezionare Prodotti > ZTNA > Provider di identità.

3. Cliccare su Aggiungi provider di identità.

   

4. Immettere le impostazioni del provider di identità nel modo seguente:

   1. Inserire un nome e una descrizione.
   2. In Provider, assicurarsi che sia selezionato Microsoft Entra ID (Azure AD).

   3. Immettere le impostazioni di Microsoft Entra ID (Azure AD) per ID client, ID tenant e Segreto client.

      Se si configura Microsoft Entra ID (Azure AD) come descritto in questa guida, le impostazioni sono state ottenute al momento della creazione del tenant. Vedere Configurazione di un servizio directory.

   4. Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.

   5. Cliccare su Salva.

   

Prima di poter utilizzare Okta come provider di identità, occorre creare e configurare una nuova integrazione di app Okta con le impostazioni corrette per l'uso con ZTNA.

Per farlo, procedere come segue:

• Creare un'integrazione di app.
• Aggiungere il provider di identità a ZTNA.

In questa guida si presuppone che ci siano già gruppi di utenti in Okta. Se così non fosse, utilizzare gli strumenti di Okta per sincronizzare i gruppi dal proprio servizio di directory a Okta. Assicurarsi di avere sincronizzato i gruppi anche con Sophos Central.

Creare un'integrazione di app

1. Nella dashboard di Okta, selezionare Applications.

   

2. Cliccare su Create App Integration.

   

3. In Create a new app integration, svolgere le seguenti operazioni:

   1. Selezionare OIDC.
   2. Selezionare Web Application.

   

4. In New Web App Integration, procedere come segue:

   1. Immettere un nome.
   2. Selezionare Client Credentials.
   3. Selezionare Refresh Token.

   

5. Nella stessa scheda, in Sign-in redirect URIs, immettere l'indirizzo a cui Okta dovrà inviare la risposta e il token di autenticazione. Deve essere l'FQDN dell'host del gateway, seguito da /oauth2/callback. Per esempio:

   https://ztna.mycompany.net/oauth2/callback

   

6. In Assignments, selezionare Skip group assignment for now.

   

7. Aprire la nuova applicazione. Nella scheda General, prendere nota del Client ID e del Client Secret. Saranno necessari quando si configurerà Okta come provider di identità in Sophos Central.

   

8. Nella scheda Okta API Scopes, impostare le autorizzazioni necessarie:

   • okta.groups.read
   • okta.idps.read

   Se si utilizza la Sincronizzazione con AD, occorrerà solo okta.idps.read.

   

9. Nella scheda Assignments, cliccare su Assign > Assign to Groups. Selezionare il proprio gruppo di utenti.

   

10. Nella scheda Sign On, selezionare *OpenID Connect ID Token* e procedere come segue:

    1. Cliccare su Edit.
    2. Aggiungere una Groups claim expression.
    3. Cliccare su Save (Salva).

    

Aggiungere il provider di identità a ZTNA

1. Accedere a Sophos Central.
2. Selezionare Prodotti > ZTNA > Provider di identità.

3. Cliccare su Aggiungi provider di identità.

   

4. Immettere le impostazioni del provider di identità nel modo seguente:

   1. Inserire un nome e una descrizione.
   2. In Provider, selezionare Okta.

   3. Immettere le impostazioni di Okta per ID client, Segreto client e URI emittente.

      Queste sono le impostazioni Okta annotate in precedenza.

   4. Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.

   5. Cliccare su Salva.