ID 공급자 설정
이제 ID 공급자를 설정합니다. ZTNA 게이트웨이는 ID 공급자가 보유한 레코드를 기반으로 사용자를 인증합니다.
단계는 사용하려는 공급자에 따라 다릅니다.
Microsoft Azure AD를 사용자 동기화를 위해 그리고 ID 공급자로 사용할 수 있습니다.
이미 Azure AD 사용자 그룹을 설정하고 Sophos Central과 동기화했는지 확인하십시오.
- Sophos Central에 로그인합니다.
-
왼쪽 메뉴에서 ZTNA를 선택합니다.
-
Zero Trust Network Access에서 다음과 같이 하십시오.
- 왼쪽 메뉴에서 ID 공급자를 선택합니다.
- ID 공급자 추가를 클릭합니다.
-
다음과 같이 ID 공급자 설정을 입력합니다.
- 이름 및 설명을 입력합니다.
- 공급자에서 Azure AD가 선택되어 있는지 확인합니다.
-
클라이언트 ID, 테넌트 ID 및 클라이언트 암호에 대한 Azure AD 설정을 입력합니다.
이 가이드에 설명된 대로 Azure AD를 설정했으면 테넌트를 만들 때 이러한 설정을 수집한 것입니다. 디렉터리 서비스 설정을 참조하십시오.
-
연결 테스트를 클릭하고 연결이 되었는지 확인합니다.
- 저장을 클릭합니다.
Okta를 ID 공급자로 사용하기 전에, ZTNA와 함께 사용하기에 적절한 설정으로 새 Okta 앱 통합을 생성하고 구성해야 합니다.
이렇게 하려면 다음과 같이 하십시오.
- 앱 통합을 만듭니다.
- 인증 서버를 추가합니다.
- ZTNA에 ID 공급자를 추가합니다.
여기에서는 Okta에 사용자 그룹이 있다고 가정합니다. 그렇지 않은 경우에는 Okta의 도구를 사용하여 디렉터리 서비스에서 Okta로 그룹을 동기화하십시오. 그룹을 Sophos Central과 동기화했는지도 확인하십시오.
앱 통합 만들기
-
Okta 대시보드에서 응용 프로그램으로 이동합니다.
-
앱 통합 만들기를 클릭합니다.
-
새 앱 통합 만들기에서 다음과 같이 하십시오.
- OIDC를 선택합니다.
- 웹 응용 프로그램을 선택합니다.
-
새 웹 응용 프로그램 통합에서 다음과 같이 하십시오.
- 이름을 입력하십시오.
- 클라이언트 자격 증명을 선택합니다.
- 토큰 새로 고침을 선택합니다.
-
동일한 탭의 로그인 리디렉션 URI에 Okta가 인증 응답과 토큰을 보낼 주소를 입력합니다. 게이트웨이 호스트 FQDN 뒤에 /oauth2/callback이 와야 합니다. 예:
https://ztna.mycompany.net/oauth2/callback
-
할당에서 지금은 그룹 할당 건너뛰기를 선택합니다.
-
새 응용 프로그램을 엽니다. 일반 탭에서 클라이언트 ID와 클라이언트 암호를 기록해 둡니다. 이 정보는 Sophos Central에서 Okta를 ID 공급자로 설정할 때 필요합니다.
-
Okta API 범위 탭에서 필요한 권한을 설정합니다.
- okta.groups.read
- okta.idps.read
AD Sync를 사용하는 경우에만 okta.idps.read가 필요합니다.
-
할당 탭에서 할당 > 그룹에 할당을 클릭합니다. 기존 사용자 그룹을 선택합니다.
인증 서버 추가
-
Okta 대시보드에서 보안 > API로 이동합니다.
-
인증 서버 탭에서 인증 서버 추가를 클릭합니다.
-
인증 서버 추가 대화 상자에서 이름과 설명을 입력합니다. 저장을 클릭합니다.
-
인증 서버 탭에 새 서버가 표시됩니다. 발급자 URI를 기록해 둡니다. 이 정보는 나중에 필요합니다.
-
범위 탭에서 범위 추가를 클릭하고 "customScope"라는 범위를 추가합니다. 다른 세부 정보는 추가할 필요가 없습니다. 이 범위는 나중에 테스트할 때만 사용됩니다.
-
클레임 탭에서 클레임 추가를 클릭합니다. 클레임을 통해 ZTNA는 인증을 위해 그룹을 볼 수 있습니다. 다음과 같이 세부 정보를 입력합니다.
- 이름에 "groups"(소문자 g 사용)를 입력합니다.
- 토큰 유형에서 ID 토큰을 선택한 후 Userinfo/id_token 요청을 선택합니다.
- 값 유형에 식을 입력합니다.
-
이 값을 입력하십시오.
Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100), Groups.startsWith("active_directory","",100))
-
액세스 정책 탭에서 다음을 수행합니다.
- 정책 추가를 클릭합니다. 기본값을 수락하고 정책 만들기를 클릭합니다.
- 새 정책 세부 정보가 표시되면 규칙 추가를 클릭합니다. 기본값을 수락하고 규칙 만들기를 클릭합니다.
ZTNA에 ID 공급자 추가
-
Sophos Central에 로그인합니다. 왼쪽 메뉴에서 ZTNA를 선택합니다.
-
Zero Trust Network Access 페이지에서 다음과 같이 하십시오.
- 왼쪽 메뉴에서 ID 공급자를 선택합니다.
- ID 공급자 추가를 클릭합니다.
-
다음과 같이 ID 공급자 설정을 입력합니다.
- 이름 및 설명을 입력합니다.
- 공급자에서 Okta를 선택합니다.
-
클라이언트 ID, 클라이언트 암호 및 발급자 URI에 대한 Okta 설정을 입력합니다.
이는 이전에 언급한 Okta 설정입니다.
-
연결 테스트를 클릭하고 연결이 되었는지 확인합니다.
- 저장을 클릭합니다.
다음으로, 게이트웨이를 설정합니다.