設定身分識別提供者

您可以使用 Microsoft AD (內部部署) 進行使用者同步並將其用作身分識別提供者。

確定您已設定 Active Directory 使用者群組，並將其與 Sophos Central 同步。請參閱設定與 Active Directory 同步。

1. 登入 Sophos Central。
2. 前往 我的產品 > ZTNA > 識別提供者。

3. 按一下新增身分識別提供者。

   

身分識別提供者設定

輸入身分識別提供者設定，如下所示：

1. 輸入名稱和說明。
2. 在提供者中，確保選中 Microsoft AD (內部部署)。

設定 Active Directory (AD) 設定

1. 設定以下設定：

   1. 輸入主要 AD 伺服器的主機和連接埠詳細資料。如果需要，您可以輸入次要伺服器的詳細資料。

      注意

      次要伺服器必須與主要伺服器屬於同一網域。如果主要伺服器不可用，次要伺服器將提供冗餘。

   2. 可選：設定 TLS 和 SSL 設定。

      您可以選取以下選項之一：

      • TLS 已啟用：使用 TLS 保護用於登入 LDAP 伺服器的使用者名稱和密碼資訊
      • 啟動 TLS：允許 LDAP 伺服器在未加密連接埠 (通常為 389) 上偵聽 LDAP 連線，然後切換到 TLS

      如果選取驗證 SSL 認證，則必須以下列格式之一上載 LDAP 伺服器的 SSL 認證：.pem、.crt 或 .cer。認證大小上限為 10 KB。

      

帳戶和密碼

在綁定 DN 中，輸入網域控制器詳細資料和綁定密碼。

對於更多資訊，請參閱在 AD 伺服器上查找綁定和基準辨別名稱。

Active Directory 搜尋

1. 在使用者下的基本 DN 中輸入 AD 伺服器詳細資料。進階設定設為預設值，但您可以根據需要進行變更。

   

2. 在使用者群組下的基本 DN 中輸入 AD 使用者詳細資料。進階設定設為預設值，但您可以根據需要進行變更。

進階安全設定

1. 可選：開啟 Captcha 以確保安全登入。這樣可以降低目錄遭受暴力攻擊的風險。

2. 可選：開啟基於電子郵件的一次性密碼，以便您可以使用多重要素身分驗證 (MFA) 來驗證使用者。輸入以下 SMTP 設定：

   1. SMTP 伺服器主機：SMTP 伺服器的 IP 位址或主機名。
   2. SMTP 連接埠號：您存取 SMTP 伺服器的連接埠號。
   3. SMTP 電子郵件：退回郵件將傳送到的預設電子郵件地址。
   4. 電子郵件主旨：包含一次性密碼 (OTP) 之電子郵件的主旨行。
   5. 如果 SMTP 伺服器需要憑證來轉送電子郵件，則必須輸入 SMTP 登入和 SMTP 密碼。

   6. 可選：設定 TLS 和 SSL 設定。

      您可以選取以下選項之一：

      • TLS 已啟用：使用 TLS 保護 SMTP 伺服器和用戶端之間的通訊
      • 啟動 TLS：啟動 SMTP 伺服器與用戶端之間的協商以選擇加密方法。

      如果選取上述選項之一，將看到驗證 SSL 認證選項。如果選取驗證 SSL 認證，則必須以下列格式之一上載 SMTP 伺服器的 SSL 認證：.pem、.crt 或 cer。認證大小上限為 10 KB。

連接測試

或者，您也可以測試連線。

1. 如需測試連線，請執行以下操作：

   1. 將身分識別提供者指派給閘道。要執行此操作，請移至閘道頁面，按一下閘道的名稱，然後按一下編輯。在身分識別提供者中，選取剛剛建立的身分識別提供者。

      

      注意

      如果尚未建立閘道，請在建立閘道並將其指派給身分識別提供者之後測試連線。

   2. 返回身分識別提供者，然後按一下新身分識別提供者的名稱。

   3. 在測試連線下，選取閘道名稱，然後根據需要輸入使用者名稱。

   4. 按一下測試連線並確保已建立連線。

      如果您輸入了使用者名稱，您將看到該使用者所屬的群組。

2. 按一下儲存。

現在，當您的使用者存取閘道後的資源時，他們將能夠透過 AD 伺服器進行身分驗證。

您可以使用 Microsoft Entra ID (Azure AD) 進行使用者同步並將其用作身分識別提供者。

請確保您已設定 Microsoft Entra ID (Azure AD) 使用者群組，並將其與 Sophos Central 同步。

1. 登入 Sophos Central。
2. 前往 我的產品 > ZTNA > 識別提供者。

3. 按一下新增身分識別提供者。

   

4. 輸入身分識別提供者設定，如下所示：

   1. 輸入名稱和說明。
   2. 在提供者中，確保選中了 Microsoft Entra ID (Azure AD)。

   3. 輸入 Microsoft Entra ID (Azure AD) 的用戶端 ID、租用戶 ID 和用戶端密碼設定。

      如果您依照本指南所述內容設定 Microsoft Entra ID (Azure AD)，則可在建立租用戶時收集到這些設定。請參閱設定目錄服務。

   4. 按一下測試連線並確保已建立連線。

   5. 按一下儲存。

   

在將 Okta 用作身分識別提供者之前，您必須先建立並設定整合有適當設定的新 Okta 應用程式，以搭配 ZTNA 使用。

若要如此，請執行以下操作：

• 建立應用程式整合。
• 將身分識別提供者新增至 ZTNA。

我們假設您在 Okta 有使用者群組。如果沒有，請使用 Okta 工具將群組從目錄服務同步處理至 Okta。請確認您已將群組與 Sophos Central 同步。

建立應用程式整合

1. 在 Okta 儀表板中，前往應用程式。

   

2. 按一下Create App Integration。

   

3. 在Create a new app integration中，請執行以下操作：

   1. 選擇 OIDC。
   2. 選擇 Web Application。

   

4. 在New Web App Integration中，請執行以下操作：

   1. 輸入名稱。
   2. 選擇Client Credentials。
   3. 選擇Refresh Token (重新整理權杖)。

   

5. 在同一標籤的Sign-in redirect URIs (登入重新導向 URI) 中，輸入 Okta 將傳送驗證回應和權杖的位址。必須先是閘道主機 FQDN，然後是 /oauth2/callback。例如：

   https://ztna.mycompany.net/oauth2/callback

   

   注意

   如果在 Sophos Firewall 上設定閘道，則必須以以下格式新增新的重新導向 URL：https://<gateway's external FQDN>/ztna-oauth2/callback。

6. 在Assignments (指派中)，選擇Skip group assignment for now (立即跳過群組指派)。

   

7. 開啟新應用程式。在一般標籤上，記下用戶端 ID 和*用戶端密碼*。當您在 Sophos Central 中將 Okta 設定為身分識別提供者時，您將需要這些資訊。

   

8. 在 Okta API 範圍標籤上，設定所需權限：

   • okta.groups.read
   • okta.idps.read

   如果您使用 AD Sync，則只需要 okta.idps.read。

   

9. 在Assignments (指派中) 標籤上，按一下Assign (指派) > Assign to Groups (指派給群組)。選取使用者現有的群組。

   

10. 在登入索引標籤上，移至 OpenID Connect ID 權杖並執行以下動作：

    1. 按一下 編輯。
    2. 新增群組聲明運算式。如需更多資訊，請參閱新增自訂群組宣告。
    3. 按一下儲存。

    

將身分識別提供者新增到 ZTNA

1. 登入 Sophos Central。
2. 前往 我的產品 > ZTNA > 識別提供者。

3. 按一下新增身分識別提供者。

   

4. 輸入身分識別提供者設定，如下所示：

   1. 輸入名稱和說明。
   2. 在提供者中，選擇 Okta。

   3. 輸入用戶端 ID、用戶端密碼和簽發者 URI 的 Okta 設定。

      這些是前面提到的 Okta 設定。

   4. 按一下測試連線並確保已建立連線。

   5. 按一下儲存。