コンテンツにスキップ

IdP の設定

ここでは、IdP を設定します。ZTNA ゲートウェイは、IdP が保持するレコードに基づいてユーザーを認証します。

この手順は、使用するプロバイダによって異なります。

Microsoft Azure AD は、ユーザーの同期に使用でき、さらに IdP としても使用できます。

既に Azure AD ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。

  1. Sophos Central にサインインします。
  2. 左側のメニューで、「ZTNA」を選択します。

    Sophos Central の「ZTNA」メニューのスクリーンショット

  3. Zero Trust Network Access」で、次の手順を実行します。

    1. 左側のメニューで、「IdP」を選択します。
    2. IdP の追加」をクリックします。

    Sophos Central の「IdP」ページのスクリーンショット

  4. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、Azure AD が選択されていることを確認します。
    3. Azure AD 設定の「クライアント ID」、「テナント ID」、および「クライアントシークレット」を入力します。

      このガイドの指示に従って Azure AD を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、ディレクトリサービスの設定を参照してください。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    「IdP の追加」ページのスクリーンショット

Okta を IdP として使用する前に、新しい Okta アプリ統合を作成し、ZTNA との使用に適した設定を行う必要があります。

これには、次の手順を実行します。

  • アプリ統合の作成。
  • 認証サーバーの追加。
  • IdP の ZTNA への追加。

ここでは、Okta にユーザーグループがあることを想定しています。ない場合は、Okta のツールを使用して、ディレクトリサービスから Okta にグループを同期します。また、グループを Sophos Central と同期済みであることも確認してください。

アプリ統合の作成

  1. Okta ダッシュボードで、「Applications」を参照します。

    Okta ダッシュボードメニュー

  2. Create App Integration」をクリックします。

    Okta 「アプリケーション」ページ

  3. Create a new app integration」で、次の手順を実行します。

    1. OIDC」を選択します。
    2. Web Application」を選択します。

    Okta 新しいアプリケーション

  4. New web application integration」で、次の手順を実行します。

    1. 名前を入力します。
    2. Client credentials」を選択します。
    3. Refresh token」を選択します。

    Okta 新しいアプリ統合

  5. 同じタブの「Sign-in redirect URI」で、Okta が認証応答とトークンを送信するアドレスを入力します。これには、ゲートウェイホスト FQDN の後に /oauth2/callback を指定する必要があります。例:

    https://ztna.mycompany.net/oauth2/callback

    Okta リダイレクト URI

  6. Assignments」で、「Skip group assignments for now」を選択します。

    Okta 割り当て

  7. 新しいアプリケーションを開きます。「General」タブで、「Client ID」と「Client Secret」をメモします。これは、Sophos Central で Okta を IdP として設定する際に必要になります。

    ZTNA アプリの詳細

  8. Okta API Scopes」タブで、必要なアクセス許可を設定します。

    • okta.groups.read
    • okta.idps.read

    AD Sync を使用している場合は、okta.idps.read のみ必要です。

    「Okta API のスコープ」タブ

  9. Assignments」タブで、「Assign > Assign to groups」をクリックします。既存のユーザーグループを選択します。

    Okta 「割り当て」タブ

認証サーバーの追加

  1. Okta ダッシュボードで、「Security > API」を参照します。

    「セキュリティ」メニュー

  2. Authorization Servers」タブで、「Add Authorization Server」をクリックします。

    Okta 「認証サーバー」タブ

  3. Add Authorization Server」ダイアログで、名前と説明を入力します。「保存」をクリックします。

    Okta 「認証サーバーの追加」ダイアログ

  4. Authorization Servers」タブに新しいサーバーが表示されます。「Issuer URI」をメモします。これは、後で必要になります。

    認証サーバーの発行者 URI

  5. Scopes」タブで、「Add Scope」をクリックし、「customScope」というスコープを追加します。他に詳細を入力する必要はありません。このスコープは、後でテストするためのみに使用されます。

    認証サーバーの「スコープ」タブ

  6. Claims」タブで、「Add Claim」をクリックします。クレームによって、ZTNA は認証のためのグループを参照できます。詳細を次のように入力します。

    1. Name」に「groups」 (小文字の g を使用) と入力します。
    2. Token Type」で、「ID Token」と「Userinfo/id_token request」を選択します。
    3. Value type」で、「Expression」を入力します。
    4. 次の値を入力します。

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Okta 「クレームの追加」ダイアログ

  7. アクセスポリシー」タブで、次の手順を実行します。

    1. ポリシーの追加」をクリックします。デフォルトをそのまま使用し、「Create Policy」をクリックします。
    2. 新しいポリシーの詳細が表示されたら、「Add Rule」をクリックします。デフォルトをそのまま使用し、「Create Rule」をクリックします。

IdP の ZTNA への追加

  1. Sophos Central にサインインします。左側のメニューで、「ZTNA」を選択します。

    Sophos Central の「ZTNA」メニュー

  2. Zero Trust Network Access」ページで、次の手順を実行します。

    1. 左側のメニューで、「IdP」を選択します。
    2. IdP の追加」をクリックします。

    Sophos Central の「IdP」ページ

  3. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、「Okta」を選択します。
    3. Okta 設定の「クライアント ID」、「クライアントシークレット」、および「発行者 URI」を入力します。

      これらは、先ほどメモした Okta の設定です。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    「IdP の追加」ページのスクリーンショット

次に、ゲートウェイを設定します。