コンテンツにスキップ

IdP の設定

ここでは、IdP を設定します。ZTNA ゲートウェイは、IdP が保持するレコードに基づいてユーザーを認証します。

各 IdP に追加できるエントリは 1つだけです。

この手順は、使用するプロバイダによって異なります。

Microsoft AD (オンプレミス) は、ユーザーの同期に使用でき、さらに IdP としても使用できます。

オンプレミスの Microsoft AD を IdP として設定し、ESXi サーバーまたは Microsoft Hyper-V サーバーでゲートウェイをホストする場合は、ZTNA ゲートウェイはバージョン 2.1 以降である必要があります。

オンプレミスの Microsoft AD を IdP として設定し、Sophos Firewall でゲートウェイをホストする場合は、ファイアウォールがバージョン 19.5 MR3 以降である必要があります。

既に Microsoft AD (オンプレミス) ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。詳細は、Active Directory との同期の設定を参照してください。

プライマリ ユーザー グループは Active Directory から同期されないため、これらのグループに属するユーザーはリソースにアクセスできません。ユーザーが他の AD グループのメンバーでもあることを確認する必要があります。

ZTNA では、1つのドメインのみをサポートしています。1つのフォレストシナリオ内で複数の子ドメインをサポートすることはできません。

  1. Sophos Central にサインインします。
  2. マイプロダクト > ZTNA > IdP」に移動します。

  3. IdP の追加」をクリックします。

    IdP ページ。

IdP の設定

IdP の設定を次のように入力します。

  1. 名前と説明を入力します。
  2. プロバイダ」で、「Microsoft AD (オンプレミス)」が選択されていることを確認します。

Active Directory (AD) の設定

  1. 次の設定を行います。

    1. プライマリ AD サーバーのホストとポートの詳細を入力します。必要に応じて、セカンダリサーバーの詳細を入力できます。

      セカンダリサーバーは、プライマリサーバーと同じドメインに属している必要があります。プライマリサーバーが使用できない場合は、セカンダリサーバーが冗長性を提供します。

    2. 任意: TLS と SSL の設定を行います。

      以下のいずれかのオプションを選択できます。

      • TLS 有効: TLS を使用して、LDAP サーバーへのログインに使用されるユーザー名とパスワードの情報を保護します。
      • 開始 TLS: LDAP サーバーが暗号化されていないポート (通常は 389) で LDAP 接続をリッスンし、TLS に切り替えることを許可します。

      SSL 証明書の確認」を選択した場合は、LDAP サーバーの SSL 証明書を次のいずれかの形式でアップロードする必要があります。.pem.crt、または .cer。証明書の最大サイズは 10KB です。

      TLS と SSL の設定。

アカウントとパスワード

バインド DN」で、ドメインコントローラの詳細と「バインドパスワード」を入力します。

詳細については、AD サーバーでバインドおよびベース識別名を検索するを参照してください。

Active Directory 検索

  1. ユーザー」の下の「ベース DN」に AD サーバーの詳細を入力します。詳細設定はデフォルトに設定されていますが、必要に応じて変更できます。

    ユーザーベース DN のデフォルトの詳細設定。

  2. ユーザーグループ」の下で、「ベース DN」に AD ユーザーの詳細を入力します。詳細設定はデフォルトに設定されていますが、必要に応じて変更できます。

セキュリティの詳細設定

  1. 任意: 「Captcha」をオンにし て、安全なサインインを確保します。 これにより、ディレクトリに対するブルートフォース攻撃のリスクが軽減されます。

  2. 任意: 「メールベースのワンタイムパスワード」をオンに して、多要素認証 (MFA) でユーザーを認証できるようにします。次の SMTP 設定を入力します。

    1. SMTP サーバーホスト: SMTP サーバーの IP アドレスまたはホスト名。
    2. SMTP ポート番号: SMTP サーバーにアクセスするポート番号。
    3. SMTP メール: バウンスバック メッセージが送信されるデフォルトのメールアドレス。
    4. メールの件名: ワンタイム パスワード (OTP) を含むメールの件名。
    5. SMTP サーバーがメールをリレーするために認証情報を必要とする場合は、SMTP ログインSMTP パスワードを入力する必要があります。

    6. 任意: TLS と SSL の設定を行います。

      以下のいずれかのオプションを選択できます。

      • TLS 有効: TLS を使用して SMTP サーバーとクライアント間の通信を保護します
      • 開始 TLS: SMTP サーバーとクライアント間のネゴシエーションを開始し、暗号化方式を選択します。

      上記のオプションのいずれかを選択すると、「SSL 証明書の確認」オプションが表示されます。「SSL 証明書の確認」を選択した場合は、SMTP サーバーの SSL 証明書を次のいずれかの形式でアップロードする必要があります。.pem.crt、または cer。証明書の最大サイズは 10KB です。

接続のテスト

必要に応じて、接続をテストできます。

接続をテストする前に、プライマリ AD サーバー上のユーザーのメールフィールドに有効なメールアドレスが含まれているかどうかを確認します。ユーザーに対して入力されたメールアドレスが空白または無効な場合、テスト接続は失敗します。

  1. 接続をテストするには、以下の手順に従います。

    1. IdP をゲートウェイに割り当てます。これを行うには、「ゲートウェイ」ページに移動し、ゲートウェイの名前をクリックして、「編集」をクリックします。「IdP」で、先ほど作成した IdP を選択します。

      IDP をゲートウェイに割り当てます。

      ゲートウェイをまだ作成していない場合は、ゲートウェイを作成して IdP に割り当てた後で接続をテストします。

    2. IdP」に戻り、新しい IdP の名前をクリックします。

    3. 接続のテスト」で、ゲートウェイ名を選択し、必要に応じてユーザー名を入力します。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

      ユーザー名を入力すると、そのユーザーが属しているグループが表示されます。

  2. 保存」をクリックします。

これで、ユーザーは、ゲートウェイの背後にあるリソースにアクセスする際に、AD サーバーを介して認証できるようになります。

Microsoft AD (オンプレミス) を IdP として使用し、異なる ZTNA ゲートウェイの背後にホストされているリソースにアクセスすると、リソースに初めてアクセスする際に各ゲートウェイで認証するように求められます。他の IdP を使用している場合、ZTNA ゲートウェイで認証した後は、異なるゲートウェイの背後にホストされているリソースにアクセスしても、再度認証を求めるプロンプトは表示されません。

Microsoft Azure AD (Azure AD) は、ユーザーの同期に使用でき、さらに IdP としても使用できます。

既に Microsoft Entra ID (Azure AD) ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。

  1. Sophos Central にサインインします。
  2. マイプロダクト > ZTNA > IdP」に移動します。

  3. IdP の追加」をクリックします。

    IdP ページ。

  4. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、Microsoft Entra ID (Azure AD) が選択されていることを確認します。

    3. Microsoft Entra ID (Azure AD) 設定の「クライアント ID」、「テナント ID」、および「クライアントシークレット」を入力します。

      このガイドの指示に従って Microsoft Entra ID (Azure AD) を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、ディレクトリサービスの設定を参照してください。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    「IdP の追加」ページ。

Okta を IdP として設定する場合、ZTNA ゲートウェイはバージョン 1.1 以降である必要があります。

Okta を IdP として使用する前に、新しい Okta アプリ統合を作成し、ZTNA との使用に適した設定を行う必要があります。

これには、次の手順を実行します。

  • アプリ統合の作成。
  • IdP の ZTNA への追加。

ここでは、Okta にユーザーグループがあることを想定しています。ない場合は、Okta のツールを使用して、ディレクトリサービスから Okta にグループを同期します。また、グループを Sophos Central と同期済みであることも確認してください。

アプリ統合の作成

  1. Okta ダッシュボードで、「Applications」を参照します。

    Okta ダッシュボードメニュー。

  2. Create App Integration」をクリックします。

    Okta 「アプリケーション」ページ。

  3. Create a new app integration」で、次の手順を実行します。

    1. OIDC」を選択します。
    2. Web Application」を選択します。

    Okta 新しいアプリケーション。

  4. New Web App Integration」で、次の手順を実行します。

    1. 名前を入力します。
    2. Client Credentials」を選択します。
    3. Refresh Token」を選択します。

    Okta 新しいアプリ統合。

  5. 同じタブの「Sign-in redirect URIs」で、Okta が認証応答とトークンを送信するアドレスを入力します。これには、ゲートウェイホスト FQDN の後に /oauth2/callback を指定する必要があります。例:

    https://ztna.mycompany.net/oauth2/callback

    Okta リダイレクト URI。

    Sophos Firewall でゲートウェイを設定する場合は、次の形式で新しいリダイレクト URI を追加する必要があります。https://<gateway's external FQDN>/ztna-oauth2/callback

  6. Assignments」で、「Skip group assignments for now」を選択します。

    Okta 割り当て。

  7. 新しいアプリケーションを開きます。「General」タブで、「Client ID」と「Client Secret」をメモします。これは、Sophos Central で Okta を IdP として設定する際に必要になります。

    ZTNA アプリの詳細。

  8. Okta API Scopes」タブで、必要なアクセス許可を設定します。

    • okta.groups.read
    • okta.idps.read

    AD Sync を使用している場合は、okta.idps.read のみ必要です。

    「Okta API のスコープ」タブ。

  9. Assignments」タブで、「Assign > Assign to groups」をクリックします。既存のユーザーグループを選択します。

    Okta 「割り当て」タブ。

  10. Sign On」タブで、 「OpenID Connect ID Token」に移動し 、次の手順を実行します。

    1. Edit」をクリックします。
    2. Groups claim expression」を追加します。詳しくは、Add a custom groups claim を参照してください。
    3. Save」をクリックします。

    OpenID Connect ID トークン。

IdP の ZTNA への追加

  1. Sophos Central にサインインします。
  2. マイプロダクト > ZTNA > IdP」に移動します。

  3. IdP の追加」をクリックします。

    Sophos Central の「IdP」ページ。

  4. IdP の設定を次のように入力します。

    1. 名前と説明を入力します。
    2. プロバイダ」で、「Okta」を選択します。

    3. Okta 設定の「クライアント ID」、「クライアントシークレット」、および「発行者 URI」を入力します。

      これらは、先ほどメモした Okta の設定です。

    4. 接続のテスト」をクリックして、接続が確立されることを確認します。

    5. 保存」をクリックします。

    IdP Azure の詳細。

次に、ゲートウェイを設定します。