跳至內容
最後更新: 2022-06-09

設定身分識別提供者

現在,請設定身分識別提供者。ZTNA 閘道驗證使用者會根據身分識別提供者所持有的記錄來驗證使用者。

這些步驟取決於您要使用的提供者。

您可以使用 Microsoft Azure AD 進行使用者同步處理,並作為身分識別提供者。

確定您已設定 Azure AD 使用者群組,並將其與 Sophos Central 同步。

  1. 登入 Sophos Central。
  2. 在左側功能表中,選擇 ZTNA

    Sophos Central 中 ZTNA 功能表的螢幕擷取畫面

  3. Zero Trust Network Access中,請執行以下操作:

    1. 在左側功能表中,選擇身分認證提供者
    2. 按一下新增身分識別提供者

    Sophos Central 中身分識別提供者頁面的螢幕擷取畫面

  4. 輸入身分識別提供者設定,如下所示:

    1. 輸入名稱和說明。
    2. 提供者中,確保已選擇 Azure AD。
    3. 輸入用戶端 ID租用戶 ID*用戶端*密碼的 Azure AD 設定。

      如果您依照本指南所述內容設定 Azure AD,則可在建立租用戶時收集到這些設定。請參閱設定目錄服務。

    4. 按一下測試連線並確保已建立連線。

    5. 按一下儲存

    新增身分識別提供者頁面的螢幕擷取畫面

在將 Okta 用作身分識別提供者之前,您必須先建立並設定整合有適當設定的新 Okta 應用程式,以搭配 ZTNA 使用。

若要如此,請執行以下操作:

  • 建立應用程式整合。
  • 新增驗證伺服器。
  • 將身分識別提供者新增至 ZTNA。

我們假設您在 Okta 有使用者群組。如果沒有,請使用 Okta 工具將群組從目錄服務同步處理至 Okta。請確認您已將群組與 Sophos Central 同步。

建立應用程式整合

  1. 在 Okta 儀表板中,前往應用程式

    Okta 儀表板功能表

  2. 按一下建立應用程式整合

    Okta 應用程式頁面

  3. 建立新應用程式整合中,請執行以下操作:

    1. 選擇 OIDC
    2. 選擇 Web 應用**程式

    Okta 新應用程式

  4. *新 Web 應用程式整合***中,請執行以下操作:

    1. 輸入名稱。
    2. 選擇用戶端憑證
    3. 選擇重新整理權杖

    Okta 新應用程式整合

  5. 在同一標籤的登入重新導向 URI 中,輸入 Okta 將傳送驗證回應和權杖的位址。必須先是閘道主機 FQDN,然後是 /oauth2/callback。例如:

    https://ztna.mycompany.net/oauth2/callback

    Okta 重新導向 URI

  6. 指派中,選擇立即跳過群組指派

    Okta 指派

  7. 開啟新應用程式。在一般標籤上,記下用戶端 ID*用戶端密碼*。當您在 Sophos Central 中將 Okta 設定為身分識別提供者時,您將需要這些資訊。

    ZTNA 應用程式詳細資料

  8. Okta API 範圍標籤上,設定所需權限:

    • okta.groups.read
    • okta.idps.read

    如果您使用 AD Sync,則只需要 okta.idps.read。

    Okta API 範圍標籤

  9. 指派標籤上,按一下指派 > 指派給群組。選取使用者現有的群組。

    Okta 指派標籤

新增授權伺服器

  1. 在 Okta 儀表板上,轉至安全 > API

    安全性功能表

  2. 授權伺服器標籤上,按一下新增授權伺服器

    Okta 授權伺服器標籤

  3. 新增授權伺服器對話方塊中,輸入名稱和描述。按一下儲存

    Okta 新增授權伺服器對話方塊

  4. 授權伺服器索引標籤上,您會看到新的伺服器。記下簽發者 URI。您稍後會需要它。

    授權伺服器簽發者 URI

  5. 範圍標籤上按一下新增範圍,然後新增名為 customScope 的範圍。您不需要新增任何其他詳細資料。此範圍僅用於稍後的測試。

    授權伺服器範圍標籤

  6. 請在宣告標籤內,按一下新增宣告。宣告可讓 ZTNA 查看驗證群組。按以下方式輸入詳細資料:

    1. 名稱中,輸入「群組」(帶小寫 g)。
    2. 權杖類型中,選擇 ID 權杖,然後選擇 Userinfo/id_token 請求
    3. 值類型中,輸入運算式
    4. 輸入此值:

      Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
      Groups.startsWith("OKTA","",100) :
      Arrays.flatten(Groups.startsWith("OKTA","",100),
      Groups.startsWith("active_directory","",100))
      

    Okta 新增宣告對話方塊

  7. 存取原則標籤上:

    1. 按一下新增原則。接受預設設定,然後按一下建立原則
    2. 當您看到新原則詳細資料時,按一下新增規則。接受預設設定,然後按一下建立規則

將身分識別提供者新增到 ZTNA

  1. 登入 Sophos Central。在左側功能表中,選擇 ZTNA

    Sophos Central 中的 ZTNA 選單

  2. Zero Trust Network Access 頁面上,請執行以下操作:

    1. 在左側功能表中,選擇身分認證提供者
    2. 按一下新增身分識別提供者

    Sophos Central 中的身分識別提供者頁面

  3. 輸入身分識別提供者設定,如下所示:

    1. 輸入名稱和說明。
    2. 提供者中,選擇 Okta。
    3. 輸入用戶端 ID用戶端密碼簽發者 URI 的 Okta 設定。

      這些是前面提到的 Okta 設定。

    4. 按一下測試連線並確保已建立連線。

    5. 按一下儲存

    新增身分識別提供者頁面的螢幕擷取畫面

接下來,您將設定閘道。