IdP の設定
ここでは、IdP を設定します。ZTNA ゲートウェイは、IdP が保持するレコードに基づいてユーザーを認証します。
この手順は、使用するプロバイダによって異なります。
Okta を IdP として設定する場合、ZTNA ゲートウェイはバージョン 1.1 以降である必要があります。
Microsoft Azure AD (Azure AD) は、ユーザーの同期に使用でき、さらに IdP としても使用できます。
既に Microsoft Entra ID (Azure AD) ユーザーグループが設定されており、Sophos Central と同期済みであることを確認します。
- Sophos Central にサインインします。
-
左側のメニューで、「ZTNA」を選択します。
-
「Zero Trust Network Access」で、次の手順を実行します。
- 左側のメニューで、「IdP」を選択します。
- 「IdP の追加」をクリックします。
-
IdP の設定を次のように入力します。
- 名前と説明を入力します。
- 「プロバイダ」で、Microsoft Entra ID (Azure AD) が選択されていることを確認します。
-
Microsoft Entra ID (Azure AD) 設定の「クライアント ID」、「テナント ID」、および「クライアントシークレット」を入力します。
このガイドの指示に従って Microsoft Entra ID (Azure AD) を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、ディレクトリサービスの設定を参照してください。
-
「接続のテスト」をクリックして、接続が確立されることを確認します。
- 「保存」をクリックします。
Okta を IdP として使用する前に、新しい Okta アプリ統合を作成し、ZTNA との使用に適した設定を行う必要があります。
これには、次の手順を実行します。
- アプリ統合の作成。
- IdP の ZTNA への追加。
ここでは、Okta にユーザーグループがあることを想定しています。ない場合は、Okta のツールを使用して、ディレクトリサービスから Okta にグループを同期します。また、グループを Sophos Central と同期済みであることも確認してください。
アプリ統合の作成
-
Okta ダッシュボードで、「Applications」を参照します。
-
「Create App Integration」をクリックします。
-
「Create a new app integration」で、次の手順を実行します。
- 「OIDC」を選択します。
- 「Web Application」を選択します。
-
「OpenID Connect ID Token」で、次の手順を実行します。
- 「Edit」をクリックします。
- 「Groups claim expression」を追加します。
- 「Save」をクリックします。
-
「New web application integration」で、次の手順を実行します。
- 名前を入力します。
- 「Client credentials」を選択します。
- 「Refresh token」を選択します。
-
同じタブの「Sign-in redirect URI」で、Okta が認証応答とトークンを送信するアドレスを入力します。これには、ゲートウェイホスト FQDN の後に /oauth2/callback を指定する必要があります。例:
https://ztna.mycompany.net/oauth2/callback
-
「Assignments」で、「Skip group assignments for now」を選択します。
-
新しいアプリケーションを開きます。「General」タブで、「Client ID」と「Client Secret」をメモします。これは、Sophos Central で Okta を IdP として設定する際に必要になります。
-
「Okta API Scopes」タブで、必要なアクセス許可を設定します。
- okta.groups.read
- okta.idps.read
AD Sync を使用している場合は、okta.idps.read のみ必要です。
-
「Assignments」タブで、「Assign > Assign to groups」をクリックします。既存のユーザーグループを選択します。
IdP の ZTNA への追加
-
Sophos Central にサインインします。左側のメニューで、「ZTNA」を選択します。
-
「Zero Trust Network Access」ページで、次の手順を実行します。
- 左側のメニューで、「IdP」を選択します。
- 「IdP の追加」をクリックします。
-
IdP の設定を次のように入力します。
- 名前と説明を入力します。
- 「プロバイダ」で、「Okta」を選択します。
-
Okta 設定の「クライアント ID」、「クライアントシークレット」、および「発行者 URI」を入力します。
これらは、先ほどメモした Okta の設定です。
-
「接続のテスト」をクリックして、接続が確立されることを確認します。
- 「保存」をクリックします。
次に、ゲートウェイを設定します。