Vai al contenuto

Configurazione di un servizio directory

Per gestire utenti e gruppi occorre un servizio directory.

È possibile utilizzare Microsoft Azure AD o Active Directory. Per decidere quale utilizzare, considerare quanto segue:

  • Se si utilizza Azure AD, quest'ultimo potrà svolgere anche la funzione di provider di identità.

  • Se si utilizza Active Directory, sarà necessario un provider di identità diverso, ad esempio Okta.

Nelle nostre istruzioni viene indicato come configurare Microsoft Azure AD.

Per utilizzare Azure AD per gestire gli utenti, occorre creare un tenant di Azure AD, registrare l'applicazione ZTNA e configurare gruppi di utenti.

Bisogna già avere un account Azure AD.

Nota

Si consiglia di consultare le pagine della documentazione di Microsoft relative ad Azure AD per le indicazioni più aggiornate.

Creare un tenant di Azure AD

  1. Accedere al portale Azure.
  2. Selezionare Azure Active Directory.

    Portale di Azure

  3. Nella Panoramica di Azure AD, cliccare su Crea un tenant.

    Panoramica di Azure AD

  4. Nella scheda Informazioni di base, selezionare Azure Active Directory. Cliccare su Avanti: Configurazione.

    Scheda Informazioni di base del tenant in Azure AD

  5. Nella scheda Configurazione, immettere i dettagli dell'organizzazione e del nome di dominio. Cliccare su Avanti: Rivedi e crea.

    Scheda Configurazione del tenant in Azure AD

  6. Nella pagina successiva, rivedere le impostazioni e cliccare su Crea.

    Schermata finale della creazione di un tenant in Azure AD

Registrare l’app ZTNA

  1. Selezionare Gestisci > Registrazioni app e cliccare su Nuova registrazione.

    Pagina Registrazioni app in Azure AD

  2. Nella pagina Registrazione di un'applicazione, procedere come segue:

    1. Immettere un nome.
    2. Accettare il tipo di account supportato predefinito.
    3. Impostare un URI di reindirizzamento. Si tratta dell'indirizzo a cui vengono inviate le risposte di autenticazione. Deve includere il nome di dominio (FQDN) del gateway ZTNA. Ecco un esempio di URI: gw.nomeazienda.net/oauth2/callback

      È possibile aggiungere più FQDN del gateway. È anche possibile aggiungere ulteriori FQDN in qualsiasi momento.

    4. Cliccare su Registra.

      Pagina di registrazione di un'applicazione in Azure AD

  3. Selezionare Gestisci > Autorizzazioni API. Cliccare su Aggiungi un'autorizzazione.

    Pagina delle autorizzazioni API in Azure AD

  4. In Richiedi autorizzazioni API, assegnare a Sophos Central le autorizzazioni necessarie per leggere i gruppi di utenti. Occorre aggiungere autorizzazioni API Microsoft Graph, procedendo come indicato di seguito.

    Selezionare Autorizzazioni delegate e aggiungere:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (profile si trova nel set di autorizzazioni openID)
    • User.Read
    • User.Read.All

    Selezionare Autorizzazioni dell’applicazione e aggiungere:

    • Directory.Read.All

    Le autorizzazioni delegate sono per le app che si eseguono con un utente che ha effettuato l'accesso. Le autorizzazioni delle applicazioni permettono ai servizi di eseguirsi senza l'accesso di un utente.

    Pagina **Richiedi autorizzazioni API**

  5. Al momento è necessaria anche un’autorizzazione API di Azure AD Graph, che è disponibile in un’altra pagina. Per trovare e aggiungere questa autorizzazione, procedere come segue:

    1. In Selezionare un’API, aprire API usate dall’organizzazione.
    2. Cercare Windows Azure Active Directory.

      Ricerca delle autorizzazioni API

    3. Cliccare sul risultato della ricerca per visualizzare l’elenco delle autorizzazioni di *Azure Active Directory Graph*.

    4. Selezionare Autorizzazioni dell’applicazione.
    5. Cliccare su Aggiungi un’autorizzazione e aggiungere Directory.ReadWrite.All.

    Questa autorizzazione è necessaria fino a quando Sophos Central non avrà completato il passaggio alle API Microsoft Graph.

  6. Nella pagina Autorizzazioni API, è ora possibile visualizzare le autorizzazioni che sono state aggiunte. Cliccare su Concedi il consenso dell'amministratore per fornire il consenso necessario per le autorizzazioni.

    Autorizzazioni API completate

  7. Nella pagina Panoramica dell'app, annotare i seguenti dettagli. Serviranno più tardi.

    • ID client
    • ID tenant

    Dettagli dell'app in Azure AD

  8. Cliccare su Certificati e segreti. Creare un Segreto client, prendere nota del Valore del segreto client e conservarlo in un luogo sicuro.

    Avviso

    Il segreto client non verrà visualizzato un'altra volta. Non sarà possibile recuperarlo in un secondo momento.

    Nuovo segreto client in Azure AD

Creare un gruppo di utenti di Azure AD

Nota

In questa sezione si presuppone che si debba creare un nuovo gruppo di utenti. È possibile utilizzare un gruppo già esistente, ma occorre che abbia la protezione attivata. La protezione è attivata automaticamente per i gruppi creati in Azure AD, ma non per i gruppi creati dal portale Microsoft 365 o importati da AD.

Per creare un gruppo di utenti in Azure AD, procedere come segue.

  1. Accedere al Portale di Azure utilizzando un account Amministratore globale per la directory.
  2. Selezionare Azure Active Directory.
  3. Nella pagina Active Directory, selezionare Gruppi. Cliccare su Nuovo gruppo.

    Screenshot della pagina Gruppi in Azure AD

  4. Nella finestra di dialogo Nuovo gruppo, compilare i seguenti campi:

    1. Selezionare un Tipo di gruppo. In questo esempio, Microsoft 365.
    2. Inserire un Nome gruppo.
    3. Immettere un Indirizzo di posta elettronica di gruppo o accettare l'indirizzo predefinito visualizzato.
    4. Selezionare il Tipo di appartenenza. Utilizzare Assegnato, che consente di scegliere utenti specifici e di assegnare loro autorizzazioni univoche.
    5. Cliccare su Crea.

      Verrà creato il gruppo.

    Screenshot della finestra di dialogo Nuovo gruppo in Azure AD

  5. Nella pagina del nuovo gruppo, cliccare su Membri. Quindi procedere come segue:

    1. Cliccare su Aggiungi membri.
    2. Cercare gli utenti desiderati e cliccarvi sopra.
    3. Una volta terminata questa operazione, cliccare su Seleziona.

    Screenshot della scheda Membri in Azure AD

    A questo punto, passare a Sophos Central per sincronizzare i gruppi di utenti con Azure AD.