Configurazione di un provider di identità
Configurare ora un provider di identità. Il gateway ZTNA autentica gli utenti in base ai record in possesso del provider di identità.
I passaggi da seguire dipendono dal provider che si desidera utilizzare.
Microsoft Azure AD può essere utilizzato sia per la sincronizzazione degli utenti, sia come provider di identità.
Assicurarsi di avere già configurato i gruppi di utenti di Azure AD e di averli sincronizzati con Sophos Central.
- Accedere a Sophos Central.
-
Nel menu sulla sinistra, selezionare ZTNA.
-
In Zero Trust Network Access, procedere come segue:
- Nel menu a sinistra, selezionare Provider di identità.
- Cliccare su Aggiungi provider di identità.
-
Immettere le impostazioni del provider di identità nel modo seguente:
- Inserire un nome e una descrizione.
- In Provider, assicurarsi che sia selezionato Azure AD.
-
Immettere le impostazioni di Azure AD per ID client, ID tenant e Segreto client.
Se si configura Azure AD come descritto in questa guida, le impostazioni sono state raccolte al momento della creazione del tenant. Vedere Configurazione di un servizio directory.
-
Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.
- Cliccare su Salva.
Prima di poter utilizzare Okta come provider di identità, occorre creare e configurare una nuova integrazione di app Okta con le impostazioni corrette per l'uso con ZTNA.
Per farlo, procedere come segue:
- Creare un'integrazione di app.
- Aggiungere un server di autorizzazione.
- Aggiungere il provider di identità a ZTNA.
In questa guida si presuppone che ci siano già gruppi di utenti in Okta. Se così non fosse, utilizzare gli strumenti di Okta per sincronizzare i gruppi dal proprio servizio di directory a Okta. Assicurarsi di avere sincronizzato i gruppi anche con Sophos Central.
Creare un'integrazione di app
-
Nella dashboard di Okta, selezionare Applications.
-
Cliccare su Create App Integration.
-
In Create a new app integration, svolgere le seguenti operazioni:
- Selezionare OIDC.
- Selezionare Web Application.
-
In New web application integration, procedere come segue:
- Immettere un nome.
- Selezionare Client credentials.
- Selezionare Refresh token.
-
Nella stessa scheda, in Sign-in redirect URI, immettere l'indirizzo a cui Okta dovrà inviare la risposta e il token di autenticazione. Deve essere l'FQDN dell'host del gateway, seguito da /oauth2/callback. Per esempio:
https://ztna.mycompany.net/oauth2/callback
-
In Assignments, selezionare Skip group assignments for now.
-
Aprire la nuova applicazione. Nella scheda General, prendere nota del Client ID e del Client Secret. Saranno necessari quando si configurerà Okta come provider di identità in Sophos Central.
-
Nella scheda Okta API Scopes, impostare le autorizzazioni necessarie:
- okta.groups.read
- okta.idps.read
Se si utilizza la Sincronizzazione con AD, occorrerà solo okta.idps.read.
-
Nella scheda Assignments, cliccare su Assign > Assign to groups. Selezionare il proprio gruppo di utenti.
Aggiungere un server di autorizzazione
-
Nella dashboard di Okta, selezionare Security > API.
-
Nella scheda Authorization Servers, cliccare su Add Authorization Server.
-
Nella finestra di dialogo Add Authorization Server, immettere un nome e una descrizione. Cliccare su Salva.
-
Nella scheda Authorization Servers verrà visualizzato il nuovo server. Prendere nota dell'URI emittente (Issuer URI). Servirà più tardi.
-
Nella scheda Scopes, cliccare su Add Scope e aggiungere un ambito denominato "customScope". Non occorre aggiungere altri dettagli. Questo ambito verrà utilizzato solo per test futuri.
-
Nella scheda Claims, cliccare su Add Claim. Le attestazioni (claim) consentono a ZTNA di visualizzare i gruppi per l'autenticazione. Immettere i seguenti dettagli:
- In Name, immettere "groups" (con la g minuscola).
- In Token Type, selezionare ID Token e successivamente Userinfo/id_token request.
- In Value type, immettere Expression.
-
Inserire questo valore:
Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100), Groups.startsWith("active_directory","",100))
-
Nella scheda Access Policies:
- Cliccare su Add Policy. Accettare le impostazioni predefinite e cliccare su Create Policy.
- Quando vengono visualizzati i dettagli del nuovo criterio, cliccare su Add Rule. Accettare le impostazioni predefinite e cliccare su Create Rule.
Aggiungere il provider di identità a ZTNA
-
Accedere a Sophos Central. Nel menu sulla sinistra, selezionare ZTNA.
-
Nella pagina Zero Trust Network Access, svolgere le seguenti operazioni:
- Nel menu a sinistra, selezionare Provider di identità.
- Cliccare su Aggiungi provider di identità.
-
Immettere le impostazioni del provider di identità nel modo seguente:
- Inserire un nome e una descrizione.
- In Provider, selezionare Okta.
-
Immettere le impostazioni di Okta per ID client, Segreto client e URI emittente.
Queste sono le impostazioni Okta annotate in precedenza.
-
Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.
- Cliccare su Salva.
Il prossimo passaggio è la configurazione di un gateway.