IdP の設定
ここでは、IdP を設定します。ZTNA ゲートウェイは、IdP が保持するレコードに基づいてユーザーを認証します。
この手順は、使用するプロバイダによって異なります。
Microsoft Azure AD は、ユーザーの同期に使用でき、さらに IdP としても使用できます。
既に Azure AD ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。
- Sophos Central にサインインします。
-
左側のメニューで、「ZTNA」を選択します。
-
「Zero Trust Network Access」で、次の手順を実行します。
- 左側のメニューで、「IdP」を選択します。
- 「IdP の追加」をクリックします。
-
IdP の設定を次のように入力します。
- 名前と説明を入力します。
- 「プロバイダ」で、Azure AD が選択されていることを確認します。
-
Azure AD 設定の「クライアント ID」、「テナント ID」、および「クライアントシークレット」を入力します。
このガイドの指示に従って Azure AD を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、ディレクトリサービスの設定を参照してください。
-
「接続のテスト」をクリックして、接続が確立されることを確認します。
- 「保存」をクリックします。
Okta を IdP として使用する前に、新しい Okta アプリ統合を作成し、ZTNA との使用に適した設定を行う必要があります。
これには、次の手順を実行します。
- アプリ統合の作成。
- 認証サーバーの追加。
- IdP の ZTNA への追加。
ここでは、Okta にユーザーグループがあることを想定しています。ない場合は、Okta のツールを使用して、ディレクトリサービスから Okta にグループを同期します。また、グループを Sophos Central と同期済みであることも確認してください。
アプリ統合の作成
-
Okta ダッシュボードで、「Applications」を参照します。
-
「Create App Integration」をクリックします。
-
「Create a new app integration」で、次の手順を実行します。
- 「OIDC」を選択します。
- 「Web Application」を選択します。
-
「New web application integration」で、次の手順を実行します。
- 名前を入力します。
- 「Client credentials」を選択します。
- 「Refresh token」を選択します。
-
同じタブの「Sign-in redirect URI」で、Okta が認証応答とトークンを送信するアドレスを入力します。これには、ゲートウェイホスト FQDN の後に /oauth2/callback を指定する必要があります。例:
https://ztna.mycompany.net/oauth2/callback
-
「Assignments」で、「Skip group assignments for now」を選択します。
-
新しいアプリケーションを開きます。「General」タブで、「Client ID」と「Client Secret」をメモします。これは、Sophos Central で Okta を IdP として設定する際に必要になります。
-
「Okta API Scopes」タブで、必要なアクセス許可を設定します。
- okta.groups.read
- okta.idps.read
AD Sync を使用している場合は、okta.idps.read のみ必要です。
-
「Assignments」タブで、「Assign > Assign to groups」をクリックします。既存のユーザーグループを選択します。
認証サーバーの追加
-
Okta ダッシュボードで、「Security > API」を参照します。
-
「Authorization Servers」タブで、「Add Authorization Server」をクリックします。
-
「Add Authorization Server」ダイアログで、名前と説明を入力します。「保存」をクリックします。
-
「Authorization Servers」タブに新しいサーバーが表示されます。「Issuer URI」をメモします。これは、後で必要になります。
-
「Scopes」タブで、「Add Scope」をクリックし、「customScope」というスコープを追加します。他に詳細を入力する必要はありません。このスコープは、後でテストするためのみに使用されます。
-
「Claims」タブで、「Add Claim」をクリックします。クレームによって、ZTNA は認証のためのグループを参照できます。詳細を次のように入力します。
- 「Name」に「groups」 (小文字の g を使用) と入力します。
- 「Token Type」で、「ID Token」と「Userinfo/id_token request」を選択します。
- 「Value type」で、「Expression」を入力します。
-
次の値を入力します。
Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100), Groups.startsWith("active_directory","",100))
-
「アクセスポリシー」タブで、次の手順を実行します。
- 「ポリシーの追加」をクリックします。デフォルトをそのまま使用し、「Create Policy」をクリックします。
- 新しいポリシーの詳細が表示されたら、「Add Rule」をクリックします。デフォルトをそのまま使用し、「Create Rule」をクリックします。
IdP の ZTNA への追加
-
Sophos Central にサインインします。左側のメニューで、「ZTNA」を選択します。
-
「Zero Trust Network Access」ページで、次の手順を実行します。
- 左側のメニューで、「IdP」を選択します。
- 「IdP の追加」をクリックします。
-
IdP の設定を次のように入力します。
- 名前と説明を入力します。
- 「プロバイダ」で、「Okta」を選択します。
-
Okta 設定の「クライアント ID」、「クライアントシークレット」、および「発行者 URI」を入力します。
これらは、先ほどメモした Okta の設定です。
-
「接続のテスト」をクリックして、接続が確立されることを確認します。
- 「保存」をクリックします。
次に、ゲートウェイを設定します。