Configurazione di un servizio directory
Per gestire i propri gruppi di utenti occorre un servizio directory.
È possibile utilizzare Microsoft Entra ID (Azure AD) o Active Directory. Per decidere quale utilizzare, considerare quanto segue:
-
Se si utilizza Microsoft Entra ID (Azure AD), quest’ultimo potrà svolgere anche la funzione di provider di identità.
-
Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.
Nelle nostre istruzioni viene indicato come configurare Microsoft Entra ID (Azure AD).
Per utilizzare Microsoft Entra ID (Azure AD) per gestire gli utenti, occorre creare un tenant di Microsoft Entra ID (Azure AD), registrare l’applicazione ZTNA e configurare gruppi di utenti.
Occorre avere già un account Microsoft Entra ID (Azure AD).
Nota
Si consiglia di controllare la documentazione più recente di Microsoft. Vedere la Documentazione di Microsoft Entra ID (Azure AD).
Creazione di un tenant di Microsoft Entra ID (Azure AD)
- Accedere al portale Azure.
-
Selezionare Azure Active Directory.
-
Nella Panoramica di Microsoft Entra ID (Azure AD), cliccare su Crea un tenant.
-
Nella scheda Informazioni di base, selezionare Azure Active Directory. Cliccare su Avanti: Configurazione.
-
Nella scheda Configurazione, immettere i dettagli dell'organizzazione e del nome di dominio. Cliccare su Avanti: Rivedi e crea.
-
Nella pagina successiva, rivedere le impostazioni e cliccare su Crea.
Registrare l’app ZTNA
-
Selezionare Gestisci > Registrazioni app e cliccare su Nuova registrazione.
-
Nella pagina Registrazione di un'applicazione, procedere come segue:
- Immettere un nome.
- Accettare il tipo di account supportato predefinito.
-
Impostare un URI di reindirizzamento. Si tratta dell'indirizzo a cui vengono inviate le risposte di autenticazione. Deve includere il nome di dominio (FQDN) del gateway ZTNA. Ecco un esempio di URI:
gw.mycompany.net/oauth2/callback
Nota
Se si configura un gateway su Sophos Firewall, occorre aggiungere un nuovo URI di reindirizzamento, utilizzando il seguente formato:
https://<gateway’s external FQDN>/ztna-oauth2/callback
.È possibile aggiungere più FQDN del gateway. È anche possibile aggiungere ulteriori FQDN in qualsiasi momento.
-
Cliccare su Registra.
-
Selezionare Gestisci > Autorizzazioni API. Cliccare su Aggiungi un'autorizzazione.
-
In Richiedi autorizzazioni API, assegnare a Sophos Central le autorizzazioni necessarie per leggere i gruppi di utenti. Occorre aggiungere autorizzazioni API Microsoft Graph, procedendo come indicato di seguito.
Selezionare Autorizzazioni delegate e aggiungere:
- Directory.Read.All
- Group.Read.All
- openID
- profile (profile si trova nel set di autorizzazioni openID)
- User.Read
- User.Read.All
Selezionare Autorizzazioni dell’applicazione e aggiungere:
- Directory.Read.All
Le autorizzazioni delegate sono per le app che si eseguono con un utente che ha effettuato l'accesso. Le autorizzazioni delle applicazioni permettono ai servizi di eseguirsi senza l'accesso di un utente.
-
Nella pagina Autorizzazioni API, è ora possibile visualizzare le autorizzazioni che sono state aggiunte. Cliccare su Concedi il consenso dell'amministratore per fornire il consenso necessario per le autorizzazioni.
-
Nella pagina Panoramica dell'app, annotare i seguenti dettagli. Serviranno più tardi.
- ID client
- ID tenant
-
Cliccare su Certificati e segreti. Creare un Segreto client, prendere nota del Valore del segreto client e conservarlo in un luogo sicuro.
Avviso
Il segreto client non verrà visualizzato un'altra volta. Non sarà possibile recuperarlo in un secondo momento.
Creazione di un gruppo di utenti di Microsoft Entra ID (Azure AD)
Avviso
In questa sezione si presuppone che si debba creare un nuovo gruppo di utenti. Se si importano gruppi di utenti dal portale Microsoft O365, è necessario assicurarsi che in questi gruppi sia abilitata la sicurezza. Per i gruppi creati in Microsoft Entra ID (Azure AD), la sicurezza è abilitata automaticamente.
Per creare un gruppo di utenti in Microsoft Entra ID (Azure AD), procedere come segue.
- Accedere al Portale di Azure utilizzando un account Amministratore globale per la directory.
- Selezionare Azure Active Directory.
-
Nella pagina Active Directory, selezionare Gruppi. Cliccare su Nuovo gruppo.
-
Nella finestra di dialogo Nuovo gruppo, compilare i seguenti campi:
- Selezionare un Tipo di gruppo. In questo esempio, Microsoft 365.
- Inserire un Nome gruppo.
- Immettere un Indirizzo di posta elettronica di gruppo o accettare l'indirizzo predefinito visualizzato.
- Selezionare il Tipo di appartenenza. Utilizzare Assegnato, che consente di scegliere utenti specifici e di assegnare loro autorizzazioni univoche.
-
Cliccare su Crea.
Verrà creato il gruppo.
-
Per verificare che il gruppo di utenti creato abbia la sicurezza abilitata, procedere come segue:
- Aprire Manage view (Gestisci vista) > Edit columns (Modifica colonne).
-
Sotto Columns (Colonne), selezionare Security enabled (Sicurezza abilitata) e cliccare su Save (Salva).
-
Nella colonna Security enabled, lo stato dovrebbe essere visualizzato come Yes (Sì).
-
Nella pagina del nuovo gruppo, cliccare su Membri. Quindi procedere come segue:
- Cliccare su Aggiungi membri.
- Cercare gli utenti desiderati e cliccarvi sopra.
- Una volta terminata questa operazione, cliccare su Seleziona.
A questo punto, passare a Sophos Central per sincronizzare i gruppi di utenti con Microsoft Entra ID (Azure AD).