Configurar um provedor de identidade
Agora, configure um provedor de identidade. O ZTNA gateway autentica os usuários com base em registros mantidos pelo provedor de identidade.
As etapas dependem de qual provedor você deseja usar.
Se você estiver configurando o Okta como um provedor de identidade, seu gateway ZTNA deve ser da versão 1.1 ou superior.
Você pode usar o Microsoft Azure AD para a sincronização do usuário e como um provedor de identidade.
Confirme que você já configurou os grupos de usuários do Azure AD e os sincronizou com o Sophos Central.
- Faça login no Sophos Central.
-
No menu à esquerda, selecione ZTNA.
-
No Zero Trust Network Access, faça o seguinte:
- No menu à esquerda, selecione Provedores de identidade.
- Clique em Adicionar provedor de identidade.
-
Insira as configurações do provedor de identidade da seguinte forma:
- Insira um nome e uma descrição.
- Em Provedor, certifique-se de que Azure AD esteja selecionado.
-
Insira as configurações do Azure AD para ID do cliente, ID do locatário e Segredo do cliente.
Se configurou o Azure AD conforme descrito neste guia, você coletou essas configurações quando criou o locatário. Consulte Configurar serviço de diretório.
-
Clique em Testar conexão e verifique se a conexão foi estabelecida.
- Clique em Salvar.
Antes de usar o Okta como seu provedor de identidade, você deve criar e configurar uma nova integração do aplicativo Okta com as configurações corretas para usar com o ZTNA.
Para isso, siga este procedimento:
- Crie uma integração de aplicativo.
- Adicione o provedor de identidade ao ZTNA.
Presumimos aqui que você tem grupos de usuários no Okta. Se não tiver, use as ferramentas do Okta para sincronizar grupos do seu serviço de diretório com o Okta. Confirme que você também sincronizou seus grupos com o Sophos Central.
Criar uma integração de aplicativo
-
No painel de controle do Okta, vá para Applications.
-
Clique em Create App Integration.
-
Em Create a new app integration, faça o seguinte:
- Selecione OIDC.
- Selecione Web Application.
-
Em New web application integration, faça o seguinte:
- Insira um nome.
- Selecione Client credentials.
- Selecione Refresh token.
-
Na mesma guia, em Sign-in redirect URI, digite o endereço para onde o Okta enviará a resposta de autenticação e o token, que deve ser o FQDN do host do gateway seguido de /oauth2/callback. Por exemplo:
https://ztna.mycompany.net/oauth2/callback
-
Em Assignments, selecione Skip group assignments for now.
-
Abra o seu novo aplicativo. Na guia General, anote o Client ID e o Client Secret. Você precisará deles quando configurar o Okta como seu provedor de identidade no Sophos Central.
-
Na guia Okta API Scopes, defina as permissões necessárias:
- okta.groups.read
- okta.idps.read
Você só precisa do okta.idps.read se estiver usando o AD Sync.
-
Na guia Assignments, clique em Assign > Assign to groups. Selecione o seu grupo de usuários existente.
Adicione o provedor de identidade ao ZTNA
-
Faça login no Sophos Central. No menu à esquerda, selecione ZTNA.
-
Na página Zero Trust Network Access, faça o seguinte:
- No menu à esquerda, selecione Provedores de identidade.
- Clique em Adicionar provedor de identidade.
-
Insira as configurações do provedor de identidade da seguinte forma:
- Insira um nome e uma descrição.
- Em Provider, selecione Okta.
-
Insira as configurações do Okta em Client ID, Client secret e Issuer URI.
Estas são as configurações Okta que você anotou anteriormente.
-
Clique em Testar conexão e verifique se a conexão foi estabelecida.
- Clique em Salvar.
Em seguida, você configura um gateway.