コンテンツにスキップ

IdP の設定

ここでは、IdP を設定します。ZTNA ゲートウェイは、IdP が保持するレコードに基づいてユーザーを認証します。

この手順は、使用するプロバイダによって異なります。

Okta を IdP として設定する場合、ZTNA ゲートウェイはバージョン 1.1 以降である必要があります。

Microsoft Azure AD (Azure AD) は、ユーザーの同期に使用でき、さらに IdP としても使用できます。

既に Microsoft Entra ID (Azure AD) ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。

  1. Sophos Central にサインインします。
  2. 左側のメニューで、「ZTNA」を選択します。

    Sophos Central の「ZTNA」メニューのスクリーンショット

  3. Zero Trust Network Access」で、次の手順を実行します。

    1. 左側のメニューで、「IdP」を選択します。
    2. IdP の追加」をクリックします。

    Sophos Central の「IdP」ページのスクリーンショット

  4. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、Microsoft Entra ID (Azure AD) が選択されていることを確認します。
    3. Microsoft Entra ID (Azure AD) 設定の「クライアント ID」、「テナント ID」、および「クライアントシークレット」を入力します。

      このガイドの指示に従って Microsoft Entra ID (Azure AD) を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、ディレクトリサービスの設定を参照してください。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    「IdP の追加」ページのスクリーンショット

Okta を IdP として使用する前に、新しい Okta アプリ統合を作成し、ZTNA との使用に適した設定を行う必要があります。

これには、次の手順を実行します。

  • アプリ統合の作成。
  • IdP の ZTNA への追加。

ここでは、Okta にユーザーグループがあることを想定しています。ない場合は、Okta のツールを使用して、ディレクトリサービスから Okta にグループを同期します。また、グループを Sophos Central と同期済みであることも確認してください。

アプリ統合の作成

  1. Okta ダッシュボードで、「Applications」を参照します。

    Okta ダッシュボードメニュー

  2. Create App Integration」をクリックします。

    Okta 「アプリケーション」ページ

  3. Create a new app integration」で、次の手順を実行します。

    1. OIDC」を選択します。
    2. Web Application」を選択します。

    Okta 新しいアプリケーション

  4. OpenID Connect ID Token」で、次の手順を実行します。

    1. Edit」をクリックします。
    2. Groups claim expression」を追加します。
    3. Save」をクリックします。

  5. New web application integration」で、次の手順を実行します。

    1. 名前を入力します。
    2. Client credentials」を選択します。
    3. Refresh token」を選択します。

    Okta 新しいアプリ統合

  6. 同じタブの「Sign-in redirect URI」で、Okta が認証応答とトークンを送信するアドレスを入力します。これには、ゲートウェイホスト FQDN の後に /oauth2/callback を指定する必要があります。例:

    https://ztna.mycompany.net/oauth2/callback

    Okta リダイレクト URI

  7. Assignments」で、「Skip group assignments for now」を選択します。

    Okta 割り当て

  8. 新しいアプリケーションを開きます。「General」タブで、「Client ID」と「Client Secret」をメモします。これは、Sophos Central で Okta を IdP として設定する際に必要になります。

    ZTNA アプリの詳細

  9. Okta API Scopes」タブで、必要なアクセス許可を設定します。

    • okta.groups.read
    • okta.idps.read

    AD Sync を使用している場合は、okta.idps.read のみ必要です。

    「Okta API のスコープ」タブ

  10. Assignments」タブで、「Assign > Assign to groups」をクリックします。既存のユーザーグループを選択します。

    Okta 「割り当て」タブ

IdP の ZTNA への追加

  1. Sophos Central にサインインします。左側のメニューで、「ZTNA」を選択します。

    Sophos Central の「ZTNA」メニュー

  2. Zero Trust Network Access」ページで、次の手順を実行します。

    1. 左側のメニューで、「IdP」を選択します。
    2. IdP の追加」をクリックします。

    Sophos Central の「IdP」ページ

  3. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、「Okta」を選択します。
    3. Okta 設定の「クライアント ID」、「クライアントシークレット」、および「発行者 URI」を入力します。

      これらは、先ほどメモした Okta の設定です。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    「IdP の追加」ページのスクリーンショット

次に、ゲートウェイを設定します。