콘텐츠로 이동

ID 공급자 설정

이제 ID 공급자를 설정합니다. ZTNA 게이트웨이는 ID 공급자가 보유한 레코드를 기반으로 사용자를 인증합니다.

단계는 사용하려는 공급자에 따라 다릅니다.

Microsoft Azure AD를 사용자 동기화를 위해 그리고 ID 공급자로 사용할 수 있습니다.

이미 Azure AD 사용자 그룹을 설정하고 Sophos Central과 동기화했는지 확인하십시오.

  1. Sophos Central에 로그인합니다.
  2. 왼쪽 메뉴에서 ZTNA를 선택합니다.

    Sophos Central의 ZTNA 메뉴 스크린샷

  3. Zero Trust Network Access에서 다음과 같이 하십시오.

    1. 왼쪽 메뉴에서 ID 공급자를 선택합니다.
    2. ID 공급자 추가를 클릭합니다.

    Sophos Central의 ID 공급자 페이지 스크린샷

  4. 다음과 같이 ID 공급자 설정을 입력합니다.

    1. 이름 및 설명을 입력합니다.
    2. 공급자에서 Azure AD가 선택되어 있는지 확인합니다.
    3. 클라이언트 ID, 테넌트 ID클라이언트 암호에 대한 Azure AD 설정을 입력합니다.

      이 가이드에 설명된 대로 Azure AD를 설정했으면 테넌트를 만들 때 이러한 설정을 수집한 것입니다. 디렉터리 서비스 설정을 참조하십시오.

    4. 연결 테스트를 클릭하고 연결이 되었는지 확인합니다.

    5. 저장을 클릭합니다.

    ID 공급자 추가 페이지 스크린샷

Okta를 ID 공급자로 사용하기 전에, ZTNA와 함께 사용하기에 적절한 설정으로 새 Okta 앱 통합을 생성하고 구성해야 합니다.

이렇게 하려면 다음과 같이 하십시오.

  • 앱 통합을 만듭니다.
  • 인증 서버를 추가합니다.
  • ZTNA에 ID 공급자를 추가합니다.

여기에서는 Okta에 사용자 그룹이 있다고 가정합니다. 그렇지 않은 경우에는 Okta의 도구를 사용하여 디렉터리 서비스에서 Okta로 그룹을 동기화하십시오. 그룹을 Sophos Central과 동기화했는지도 확인하십시오.

앱 통합 만들기

  1. Okta 대시보드에서 응용 프로그램으로 이동합니다.

    Okta 대시보드 메뉴

  2. 앱 통합 만들기를 클릭합니다.

    Okta 응용 프로그램 페이지

  3. 새 앱 통합 만들기에서 다음과 같이 하십시오.

    1. OIDC를 선택합니다.
    2. 웹 응용 프로그램을 선택합니다.

    Okta 새 응용 프로그램

  4. 새 웹 응용 프로그램 통합에서 다음과 같이 하십시오.

    1. 이름을 입력하십시오.
    2. 클라이언트 자격 증명을 선택합니다.
    3. 토큰 새로 고침을 선택합니다.

    Okta 새 앱 통합

  5. 동일한 탭의 로그인 리디렉션 URI에 Okta가 인증 응답과 토큰을 보낼 주소를 입력합니다. 게이트웨이 호스트 FQDN 뒤에 /oauth2/callback이 와야 합니다. 예:

    https://ztna.mycompany.net/oauth2/callback

    Okta 리디렉션 URI

  6. 할당에서 지금은 그룹 할당 건너뛰기를 선택합니다.

    Okta 할당

  7. 새 응용 프로그램을 엽니다. 일반 탭에서 클라이언트 ID클라이언트 암호를 기록해 둡니다. 이 정보는 Sophos Central에서 Okta를 ID 공급자로 설정할 때 필요합니다.

    ZTNA 앱 세부 정보

  8. Okta API 범위 탭에서 필요한 권한을 설정합니다.

    • okta.groups.read
    • okta.idps.read

    AD Sync를 사용하는 경우에만 okta.idps.read가 필요합니다.

    Okta API 범위 탭

  9. 할당 탭에서 할당 > 그룹에 할당을 클릭합니다. 기존 사용자 그룹을 선택합니다.

    Okta 할당 탭

인증 서버 추가

  1. Okta 대시보드에서 보안 > API로 이동합니다.

    보안 메뉴

  2. 인증 서버 탭에서 인증 서버 추가를 클릭합니다.

    Okta 인증 서버 탭

  3. 인증 서버 추가 대화 상자에서 이름과 설명을 입력합니다. 저장을 클릭합니다.

    Okta 인증 서버 추가 대화 상자

  4. 인증 서버 탭에 새 서버가 표시됩니다. 발급자 URI를 기록해 둡니다. 이 정보는 나중에 필요합니다.

    인증 서버 발급자 URI

  5. 범위 탭에서 범위 추가를 클릭하고 "customScope"라는 범위를 추가합니다. 다른 세부 정보는 추가할 필요가 없습니다. 이 범위는 나중에 테스트할 때만 사용됩니다.

    인증 서버 범위 탭

  6. 클레임 탭에서 클레임 추가를 클릭합니다. 클레임을 통해 ZTNA는 인증을 위해 그룹을 볼 수 있습니다. 다음과 같이 세부 정보를 입력합니다.

    1. 이름에 "groups"(소문자 g 사용)를 입력합니다.
    2. 토큰 유형에서 ID 토큰을 선택한 후 Userinfo/id_token 요청을 선택합니다.
    3. 값 유형을 입력합니다.
    4. 이 값을 입력하십시오.

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Okta 클레임 추가 대화 상자

  7. 액세스 정책 탭에서 다음을 수행합니다.

    1. 정책 추가를 클릭합니다. 기본값을 수락하고 정책 만들기를 클릭합니다.
    2. 새 정책 세부 정보가 표시되면 규칙 추가를 클릭합니다. 기본값을 수락하고 규칙 만들기를 클릭합니다.

ZTNA에 ID 공급자 추가

  1. Sophos Central에 로그인합니다. 왼쪽 메뉴에서 ZTNA를 선택합니다.

    Sophos Central의 ZTNA 메뉴

  2. Zero Trust Network Access 페이지에서 다음과 같이 하십시오.

    1. 왼쪽 메뉴에서 ID 공급자를 선택합니다.
    2. ID 공급자 추가를 클릭합니다.

    Sophos Central의 ID 공급자 페이지

  3. 다음과 같이 ID 공급자 설정을 입력합니다.

    1. 이름 및 설명을 입력합니다.
    2. 공급자에서 Okta를 선택합니다.
    3. 클라이언트 ID, 클라이언트 암호발급자 URI에 대한 Okta 설정을 입력합니다.

      이는 이전에 언급한 Okta 설정입니다.

    4. 연결 테스트를 클릭하고 연결이 되었는지 확인합니다.

    5. 저장을 클릭합니다.

    ID 공급자 추가 페이지 스크린샷

다음으로, 게이트웨이를 설정합니다.