Vai al contenuto
Ultimo aggiornamento: 2022-06-09

Configurazione di un provider di identità

Configurare ora un provider di identità. Il gateway ZTNA autentica gli utenti in base ai record in possesso del provider di identità.

I passaggi da seguire dipendono dal provider che si desidera utilizzare.

Microsoft Azure AD può essere utilizzato sia per la sincronizzazione degli utenti, sia come provider di identità.

Assicurarsi di avere già configurato i gruppi di utenti di Azure AD e di averli sincronizzati con Sophos Central.

  1. Accedere a Sophos Central.
  2. Nel menu sulla sinistra, selezionare ZTNA.

    Screenshot del menu ZTNA in Sophos Central

  3. In Zero Trust Network Access, procedere come segue:

    1. Nel menu a sinistra, selezionare Provider di identità.
    2. Cliccare su Aggiungi provider di identità.

    Screenshot della pagina Provider di identità in Sophos Central

  4. Immettere le impostazioni del provider di identità nel modo seguente:

    1. Inserire un nome e una descrizione.
    2. In Provider, assicurarsi che sia selezionato Azure AD.
    3. Immettere le impostazioni di Azure AD per ID client, ID tenant e Segreto client.

      Se si configura Azure AD come descritto in questa guida, le impostazioni sono state raccolte al momento della creazione del tenant. Vedere Configurazione di un servizio directory.

    4. Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.

    5. Cliccare su Salva.

    Screenshot della pagina Aggiungi provider di identità

Prima di poter utilizzare Okta come provider di identità, occorre creare e configurare una nuova integrazione di app Okta con le impostazioni corrette per l'uso con ZTNA.

Per farlo, procedere come segue:

  • Creare un'integrazione di app.
  • Aggiungere un server di autorizzazione.
  • Aggiungere il provider di identità a ZTNA.

In questa guida si presuppone che ci siano già gruppi di utenti in Okta. Se così non fosse, utilizzare gli strumenti di Okta per sincronizzare i gruppi dal proprio servizio di directory a Okta. Assicurarsi di avere sincronizzato i gruppi anche con Sophos Central.

Creare un'integrazione di app

  1. Nella dashboard di Okta, selezionare Applications.

    Menu della dashboard di Okta

  2. Cliccare su Create App Integration.

    Pagina Applications in Okta

  3. In Create a new app integration, svolgere le seguenti operazioni:

    1. Selezionare OIDC.
    2. Selezionare Web Application.

    Nuova applicazione in Okta

  4. In New web application integration, procedere come segue:

    1. Immettere un nome.
    2. Selezionare Client credentials.
    3. Selezionare Refresh token.

    Integrazione di nuove app in Okta

  5. Nella stessa scheda, in Sign-in redirect URI, immettere l'indirizzo a cui Okta dovrà inviare la risposta e il token di autenticazione. Deve essere l'FQDN dell'host del gateway, seguito da /oauth2/callback. Per esempio:

    https://ztna.mycompany.net/oauth2/callback

    URI di reindirizzamento di Okta

  6. In Assignments, selezionare Skip group assignments for now.

    Sezione Assignments in Okta

  7. Aprire la nuova applicazione. Nella scheda General, prendere nota del Client ID e del Client Secret. Saranno necessari quando si configurerà Okta come provider di identità in Sophos Central.

    Dettagli dell'app ZTNA

  8. Nella scheda Okta API Scopes, impostare le autorizzazioni necessarie:

    • okta.groups.read
    • okta.idps.read

    Se si utilizza la Sincronizzazione con AD, occorrerà solo okta.idps.read.

    Scheda API Scopes in Okta

  9. Nella scheda Assignments, cliccare su Assign > Assign to groups. Selezionare il proprio gruppo di utenti.

    Scheda Assignments in Okta

Aggiungere un server di autorizzazione

  1. Nella dashboard di Okta, selezionare Security > API.

    Menu Security

  2. Nella scheda Authorization Servers, cliccare su Add Authorization Server.

    Scheda Authorization Servers in Okta

  3. Nella finestra di dialogo Add Authorization Server, immettere un nome e una descrizione. Cliccare su Salva.

    Finestra di dialogo Add Authorization Server in Okta

  4. Nella scheda Authorization Servers verrà visualizzato il nuovo server. Prendere nota dell'URI emittente (Issuer URI). Servirà più tardi.

    URI emittente del server di autorizzazione

  5. Nella scheda Scopes, cliccare su Add Scope e aggiungere un ambito denominato "customScope". Non occorre aggiungere altri dettagli. Questo ambito verrà utilizzato solo per test futuri.

    Scheda Scopes del server di autorizzazione

  6. Nella scheda Claims, cliccare su Add Claim. Le attestazioni (claim) consentono a ZTNA di visualizzare i gruppi per l'autenticazione. Immettere i seguenti dettagli:

    1. In Name, immettere "groups" (con la g minuscola).
    2. In Token Type, selezionare ID Token e successivamente Userinfo/id_token request.
    3. In Value type, immettere Expression.
    4. Inserire questo valore:

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Finestra di dialogo Add Claim in Okta

  7. Nella scheda Access Policies:

    1. Cliccare su Add Policy. Accettare le impostazioni predefinite e cliccare su Create Policy.
    2. Quando vengono visualizzati i dettagli del nuovo criterio, cliccare su Add Rule. Accettare le impostazioni predefinite e cliccare su Create Rule.

Aggiungere il provider di identità a ZTNA

  1. Accedere a Sophos Central. Nel menu sulla sinistra, selezionare ZTNA.

    Menu di ZTNA in Sophos Central

  2. Nella pagina Zero Trust Network Access, svolgere le seguenti operazioni:

    1. Nel menu a sinistra, selezionare Provider di identità.
    2. Cliccare su Aggiungi provider di identità.

    Pagina Provider di identità in Sophos Central

  3. Immettere le impostazioni del provider di identità nel modo seguente:

    1. Inserire un nome e una descrizione.
    2. In Provider, selezionare Okta.
    3. Immettere le impostazioni di Okta per ID client, Segreto client e URI emittente.

      Queste sono le impostazioni Okta annotate in precedenza.

    4. Cliccare su Prova connessione e verificare che la connessione sia stata stabilita.

    5. Cliccare su Salva.

    Screenshot della pagina Aggiungi provider di identità

Il prossimo passaggio è la configurazione di un gateway.