Pular para o conteúdo

Configurar um provedor de identidade

Agora, configure um provedor de identidade. O ZTNA gateway autentica os usuários com base em registros mantidos pelo provedor de identidade.

As etapas dependem de qual provedor você deseja usar.

Você pode usar o Microsoft Azure AD para a sincronização do usuário e como um provedor de identidade.

Confirme que você já configurou os grupos de usuários do Azure AD e os sincronizou com o Sophos Central.

  1. Faça login no Sophos Central.
  2. No menu à esquerda, selecione ZTNA.

    Captura de tela do menu ZTNA no Sophos Central

  3. No Zero Trust Network Access, faça o seguinte:

    1. No menu à esquerda, selecione Provedores de identidade.
    2. Clique em Adicionar provedor de identidade.

    Captura de tela da página Provedores de identidade no Sophos Central

  4. Insira as configurações do provedor de identidade da seguinte forma:

    1. Insira um nome e uma descrição.
    2. Em Provedor, certifique-se de que Azure AD esteja selecionado.
    3. Insira as configurações do Azure AD para ID do cliente, ID do locatário e Segredo do cliente.

      Se configurou o Azure AD conforme descrito neste guia, você coletou essas configurações quando criou o locatário. Consulte Configurar serviço de diretório.

    4. Clique em Testar conexão e verifique se a conexão foi estabelecida.

    5. Clique em Salvar.

    Captura de tela da página Adicionar provedor de identidade

Antes de usar o Okta como seu provedor de identidade, você deve criar e configurar uma nova integração do aplicativo Okta com as configurações corretas para usar com o ZTNA.

Para isso, siga este procedimento:

  • Crie uma integração de aplicativo.
  • Adicione um servidor de autorização.
  • Adicione o provedor de identidade ao ZTNA.

Presumimos aqui que você tem grupos de usuários no Okta. Se não tiver, use as ferramentas do Okta para sincronizar grupos do seu serviço de diretório com o Okta. Confirme que você também sincronizou seus grupos com o Sophos Central.

Criar uma integração de aplicativo

  1. No painel de controle do Okta, vá para Applications.

    Menu Dashboard do Okta

  2. Clique em Create App Integration.

    Página Applications do Okta

  3. Em Create a new app integration, faça o seguinte:

    1. Selecione OIDC.
    2. Selecione Web Application.

    Novo aplicativo do Okta

  4. Em New web application integration, faça o seguinte:

    1. Insira um nome.
    2. Selecione Client credentials.
    3. Selecione Refresh token.

    Nova integração de aplicativo do Okta

  5. Na mesma guia, em Sign-in redirect URI, digite o endereço para onde o Okta enviará a resposta de autenticação e o token, que deve ser o FQDN do host do gateway seguido de /oauth2/callback. Por exemplo:

    https://ztna.mycompany.net/oauth2/callback

    URI de redirecionamento do Okta

  6. Em Assignments, selecione Skip group assignments for now.

    Atribuições do Okta

  7. Abra o seu novo aplicativo. Na guia General, anote o Client ID e o Client Secret. Você precisará deles quando configurar o Okta como seu provedor de identidade no Sophos Central.

    Detalhes do aplicativo ZTNA

  8. Na guia Okta API Scopes, defina as permissões necessárias:

    • okta.groups.read
    • okta.idps.read

    Você só precisa do okta.idps.read se estiver usando o AD Sync.

    Guia Okta API Scopes

  9. Na guia Assignments, clique em Assign > Assign to groups. Selecione o seu grupo de usuários existente.

    Guia Assignments do Okta

Adicionar um servidor de autorização

  1. No painel de controle do Okta, vá para Security > API.

    Menu Security

  2. Na guia Authorization Servers, clique em Add Authorization Server.

    Guia Authorization Servers do Okta

  3. Na caixa de diálogo Add Authorization Server, insira um nome e uma descrição. Clique em Salvar.

    Caixa de diálogo Add Authorization Server do Okta

  4. Na guia Authorization Servers, você verá o novo servidor. Anote o valor em Issuer URI. Você precisará dele mais tarde.

    URI do emissor do servidor de autorização

  5. Na guia Scopes, clique em Add Scope e adicione um escopo chamado "customScope". Você não precisa adicionar nenhum outro detalhe. Esse escopo é usado somente para testes posteriores.

    Guia Scopes do servidor de autorização

  6. Na guia Claims, clique em Add Claim. Uma solicitação permite que o ZTNA veja os grupos para autenticação. Insira os detalhes da seguinte forma:

    1. Em Name, insira "groups" (com o g minúsculo).
    2. Em Token Type, selecione ID Token e depois Userinfo/id_token request.
    3. Em Value type, digite Expression.
    4. Insira este valor:

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Caixa de diálogo Add Claim do Okta

  7. Na guia Access Policies, faça o seguinte:

    1. Clique em Add Policy. Aceite os padrões e clique em Create Policy.
    2. Quando você vir os detalhes da nova política, clique em Add Rule. Aceite os padrões e clique em Create Rule.

Adicione o provedor de identidade ao ZTNA

  1. Faça login no Sophos Central. No menu à esquerda, selecione ZTNA.

    Menu ZTNA no Sophos Central

  2. Na página Zero Trust Network Access, faça o seguinte:

    1. No menu à esquerda, selecione Provedores de identidade.
    2. Clique em Adicionar provedor de identidade.

    Página Provedores de identidade no Sophos Central

  3. Insira as configurações do provedor de identidade da seguinte forma:

    1. Insira um nome e uma descrição.
    2. Em Provider, selecione Okta.
    3. Insira as configurações do Okta em Client ID, Client secret e Issuer URI.

      Estas são as configurações Okta que você anotou anteriormente.

    4. Clique em Testar conexão e verifique se a conexão foi estabelecida.

    5. Clique em Salvar.

    Captura de tela da página Adicionar provedor de identidade

Em seguida, você configura um gateway.