Configurar um provedor de identidade

Você pode usar o Microsoft Entra ID (Azure AD) para sincronização de usuários e como provedor de identidade.

Confirme que você já configurou os grupos de usuários do Microsoft Entra ID (Azure AD) e os sincronizou com o Sophos Central.

1. Faça login no Sophos Central.
2. Vá para Meus produtos > ZTNA > Provedores de identidade.

3. Clique em Adicionar provedor de identidade.

   

4. Insira as configurações do provedor de identidade da seguinte forma:

   1. Insira um nome e uma descrição.
   2. Certifique-se de que o Microsoft Entra ID (Azure AD) esteja selecionado em Provedor.

   3. Insira as configurações do Microsoft Entra ID (Azure AD) para ID do cliente, ID do locatário e Segredo do cliente.

      Se você configurou o Microsoft Entra ID (Azure AD) conforme descrito neste guia, você coletou essas configurações quando criou o locatário. Consulte Configurar serviço de diretório.

   4. Clique em Testar conexão e verifique se a conexão foi estabelecida.

   5. Clique em Salvar.

   

Antes de usar o Okta como seu provedor de identidade, você deve criar e configurar uma nova integração do aplicativo Okta com as configurações corretas para usar com o ZTNA.

Para isso, siga este procedimento:

• Crie uma integração de aplicativo.
• Adicione o provedor de identidade ao ZTNA.

Presumimos aqui que você tem grupos de usuários no Okta. Se não tiver, use as ferramentas do Okta para sincronizar grupos do seu serviço de diretório com o Okta. Confirme que você também sincronizou seus grupos com o Sophos Central.

Criar uma integração de aplicativo

1. No painel de controle do Okta, vá para Applications.

   

2. Clique em Create App Integration.

   

3. Em Create a new app integration, faça o seguinte:

   1. Selecione OIDC.
   2. Selecione Web Application.

   

4. Em New Web App Integration, faça o seguinte:

   1. Insira um nome.
   2. Selecione Client Credentials.
   3. Selecione Refresh Token.

   

5. Na mesma guia, em Sign-in redirect URIs, digite o endereço para onde o Okta enviará a resposta de autenticação e o token, que deve ser o FQDN do host do gateway seguido de /oauth2/callback. Por exemplo:

   https://ztna.mycompany.net/oauth2/callback

   

6. Em Assignments, selecione Skip group assignment for now.

   

7. Abra o seu novo aplicativo. Na guia General, anote o Client ID e o Client Secret. Você precisará deles quando configurar o Okta como seu provedor de identidade no Sophos Central.

   

8. Na guia Okta API Scopes, defina as permissões necessárias:

   • okta.groups.read
   • okta.idps.read

   Você só precisa do okta.idps.read se estiver usando o AD Sync.

   

9. Na guia Assignments, clique em Assign > Assign to Groups. Selecione o seu grupo de usuários existente.

   

10. Na guia Sign On, vá para OpenID Connect ID Token e faça o seguinte:

    1. Clique em Editar.
    2. Adicione uma expressão em Groups claim expression.
    3. Clique em Salvar.

    

Adicione o provedor de identidade ao ZTNA

1. Faça login no Sophos Central.
2. Vá para Meus produtos > ZTNA > Provedores de identidade.

3. Clique em Adicionar provedor de identidade.

   

4. Insira as configurações do provedor de identidade da seguinte forma:

   1. Insira um nome e uma descrição.
   2. Em Provider, selecione Okta.

   3. Insira as configurações do Okta em Client ID, Client secret e Issuer URI.

      Estas são as configurações Okta que você anotou anteriormente.

   4. Clique em Testar conexão e verifique se a conexão foi estabelecida.

   5. Clique em Salvar.