設定身分識別提供者
現在,請設定身分識別提供者。ZTNA 閘道驗證使用者會根據身分識別提供者所持有的記錄來驗證使用者。
這些步驟取決於您要使用的提供者。
您可以使用 Microsoft Azure AD 進行使用者同步處理,並作為身分識別提供者。
確定您已設定 Azure AD 使用者群組,並將其與 Sophos Central 同步。
- 登入 Sophos Central。
-
在左側功能表中,選擇 ZTNA。
-
在 Zero Trust Network Access中,請執行以下操作:
- 在左側功能表中,選擇身分認證提供者。
- 按一下新增身分識別提供者。
-
輸入身分識別提供者設定,如下所示:
- 輸入名稱和說明。
- 在提供者中,確保已選擇 Azure AD。
-
輸入用戶端 ID、租用戶 ID 和*用戶端*密碼的 Azure AD 設定。
如果您依照本指南所述內容設定 Azure AD,則可在建立租用戶時收集到這些設定。請參閱設定目錄服務。
-
按一下測試連線並確保已建立連線。
- 按一下儲存。
在將 Okta 用作身分識別提供者之前,您必須先建立並設定整合有適當設定的新 Okta 應用程式,以搭配 ZTNA 使用。
若要如此,請執行以下操作:
- 建立應用程式整合。
- 新增驗證伺服器。
- 將身分識別提供者新增至 ZTNA。
我們假設您在 Okta 有使用者群組。如果沒有,請使用 Okta 工具將群組從目錄服務同步處理至 Okta。請確認您已將群組與 Sophos Central 同步。
建立應用程式整合
-
在 Okta 儀表板中,前往應用程式。
-
按一下建立應用程式整合。
-
在建立新應用程式整合中,請執行以下操作:
- 選擇 OIDC。
- 選擇 Web 應用**程式。
-
在*新 Web 應用程式整合***中,請執行以下操作:
- 輸入名稱。
- 選擇用戶端憑證。
- 選擇重新整理權杖。
-
在同一標籤的登入重新導向 URI 中,輸入 Okta 將傳送驗證回應和權杖的位址。必須先是閘道主機 FQDN,然後是 /oauth2/callback。例如:
https://ztna.mycompany.net/oauth2/callback
-
在指派中,選擇立即跳過群組指派。
-
開啟新應用程式。在一般標籤上,記下用戶端 ID 和*用戶端密碼*。當您在 Sophos Central 中將 Okta 設定為身分識別提供者時,您將需要這些資訊。
-
在 Okta API 範圍標籤上,設定所需權限:
- okta.groups.read
- okta.idps.read
如果您使用 AD Sync,則只需要 okta.idps.read。
-
在指派標籤上,按一下指派 > 指派給群組。選取使用者現有的群組。
新增授權伺服器
-
在 Okta 儀表板上,轉至安全 > API。
-
在授權伺服器標籤上,按一下新增授權伺服器。
-
在新增授權伺服器對話方塊中,輸入名稱和描述。按一下儲存。
-
在授權伺服器索引標籤上,您會看到新的伺服器。記下簽發者 URI。您稍後會需要它。
-
在範圍標籤上按一下新增範圍,然後新增名為 customScope 的範圍。您不需要新增任何其他詳細資料。此範圍僅用於稍後的測試。
-
請在宣告標籤內,按一下新增宣告。宣告可讓 ZTNA 查看驗證群組。按以下方式輸入詳細資料:
- 在名稱中,輸入「群組」(帶小寫 g)。
- 在權杖類型中,選擇 ID 權杖,然後選擇 Userinfo/id_token 請求。
- 在值類型中,輸入運算式。
-
輸入此值:
Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ? Groups.startsWith("OKTA","",100) : Arrays.flatten(Groups.startsWith("OKTA","",100), Groups.startsWith("active_directory","",100))
-
在存取原則標籤上:
- 按一下新增原則。接受預設設定,然後按一下建立原則。
- 當您看到新原則詳細資料時,按一下新增規則。接受預設設定,然後按一下建立規則。
將身分識別提供者新增到 ZTNA
-
登入 Sophos Central。在左側功能表中,選擇 ZTNA。
-
在 Zero Trust Network Access 頁面上,請執行以下操作:
- 在左側功能表中,選擇身分認證提供者。
- 按一下新增身分識別提供者。
-
輸入身分識別提供者設定,如下所示:
- 輸入名稱和說明。
- 在提供者中,選擇 Okta。
-
輸入用戶端 ID、用戶端密碼和簽發者 URI 的 Okta 設定。
這些是前面提到的 Okta 設定。
-
按一下測試連線並確保已建立連線。
- 按一下儲存。
接下來,您將設定閘道。