Configurazione di un servizio directory
Per gestire utenti e gruppi occorre un servizio directory.
È possibile utilizzare Microsoft Azure AD o Active Directory. Per decidere quale utilizzare, considerare quanto segue:
-
Se si utilizza Azure AD, quest'ultimo potrà svolgere anche la funzione di provider di identità.
-
Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.
Nelle nostre istruzioni viene indicato come configurare Microsoft Azure AD.
Per utilizzare Azure AD per gestire gli utenti, occorre creare un tenant di Azure AD, registrare l'applicazione ZTNA e configurare gruppi di utenti.
Bisogna già avere un account Azure AD.
Nota
Si consiglia di consultare le pagine della documentazione di Microsoft relative ad Azure AD per le indicazioni più aggiornate.
Creare un tenant di Azure AD
- Accedere al portale Azure.
-
Selezionare Azure Active Directory.
-
Nella Panoramica di Azure AD, cliccare su Crea un tenant.
-
Nella scheda Informazioni di base, selezionare Azure Active Directory. Cliccare su Avanti: Configurazione.
-
Nella scheda Configurazione, immettere i dettagli dell'organizzazione e del nome di dominio. Cliccare su Avanti: Rivedi e crea.
-
Nella pagina successiva, rivedere le impostazioni e cliccare su Crea.
Registrare l’app ZTNA
-
Selezionare Gestisci > Registrazioni app e cliccare su Nuova registrazione.
-
Nella pagina Registrazione di un'applicazione, procedere come segue:
- Immettere un nome.
- Accettare il tipo di account supportato predefinito.
-
Impostare un URI di reindirizzamento. Si tratta dell'indirizzo a cui vengono inviate le risposte di autenticazione. Deve includere il nome di dominio (FQDN) del gateway ZTNA. Ecco un esempio di URI: gw.nomeazienda.net/oauth2/callback
È possibile aggiungere più FQDN del gateway. È anche possibile aggiungere ulteriori FQDN in qualsiasi momento.
-
Cliccare su Registra.
-
Selezionare Gestisci > Autorizzazioni API. Cliccare su Aggiungi un'autorizzazione.
-
In Richiedi autorizzazioni API, assegnare a Sophos Central le autorizzazioni necessarie per leggere i gruppi di utenti. Occorre aggiungere autorizzazioni API Microsoft Graph, procedendo come indicato di seguito.
Selezionare Autorizzazioni delegate e aggiungere:
- Directory.Read.All
- Group.Read.All
- openID
- profile (profile si trova nel set di autorizzazioni openID)
- User.Read
- User.Read.All
Selezionare Autorizzazioni dell’applicazione e aggiungere:
- Directory.Read.All
Le autorizzazioni delegate sono per le app che si eseguono con un utente che ha effettuato l'accesso. Le autorizzazioni delle applicazioni permettono ai servizi di eseguirsi senza l'accesso di un utente.
-
Al momento è necessaria anche un’autorizzazione API di Azure AD Graph, che è disponibile in un’altra pagina. Per trovare e aggiungere questa autorizzazione, procedere come segue:
- In Selezionare un’API, aprire API usate dall’organizzazione.
-
Cercare Windows Azure Active Directory.
-
Cliccare sul risultato della ricerca per visualizzare l’elenco delle autorizzazioni di *Azure Active Directory Graph*.
- Selezionare Autorizzazioni dell’applicazione.
- Cliccare su Aggiungi un’autorizzazione e aggiungere Directory.ReadWrite.All.
Questa autorizzazione è necessaria fino a quando Sophos Central non avrà completato il passaggio alle API Microsoft Graph.
-
Nella pagina Autorizzazioni API, è ora possibile visualizzare le autorizzazioni che sono state aggiunte. Cliccare su Concedi il consenso dell'amministratore per fornire il consenso necessario per le autorizzazioni.
-
Nella pagina Panoramica dell'app, annotare i seguenti dettagli. Serviranno più tardi.
- ID client
- ID tenant
-
Cliccare su Certificati e segreti. Creare un Segreto client, prendere nota del Valore del segreto client e conservarlo in un luogo sicuro.
Avviso
Il segreto client non verrà visualizzato un'altra volta. Non sarà possibile recuperarlo in un secondo momento.
Creare un gruppo di utenti di Azure AD
Nota
In questa sezione si presuppone che si debba creare un nuovo gruppo di utenti. È possibile utilizzare un gruppo già esistente, ma occorre che abbia la protezione attivata. La protezione è attivata automaticamente per i gruppi creati in Azure AD, ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.
Per creare un gruppo di utenti in Azure AD, procedere come segue.
- Accedere al Portale di Azure utilizzando un account Amministratore globale per la directory.
- Selezionare Azure Active Directory.
-
Nella pagina Active Directory, selezionare Gruppi. Cliccare su Nuovo gruppo.
-
Nella finestra di dialogo Nuovo gruppo, compilare i seguenti campi:
- Selezionare un Tipo di gruppo. In questo esempio, Microsoft 365.
- Inserire un Nome gruppo.
- Immettere un Indirizzo di posta elettronica di gruppo o accettare l'indirizzo predefinito visualizzato.
- Selezionare il Tipo di appartenenza. Utilizzare Assegnato, che consente di scegliere utenti specifici e di assegnare loro autorizzazioni univoche.
-
Cliccare su Crea.
Verrà creato il gruppo.
-
Nella pagina del nuovo gruppo, cliccare su Membri. Quindi procedere come segue:
- Cliccare su Aggiungi membri.
- Cercare gli utenti desiderati e cliccarvi sopra.
- Una volta terminata questa operazione, cliccare su Seleziona.
A questo punto, passare a Sophos Central per sincronizzare i gruppi di utenti con Azure AD.