設定身分識別提供者
現在,請設定身分識別提供者。ZTNA 閘道驗證使用者會根據身分識別提供者所持有的記錄來驗證使用者。
這些步驟取決於您要使用的提供者。
如果您將 Okta 設定為識別提供者,則您的 ZTNA 閘道必須為 1.1 版或更新版本。
您可以使用 Microsoft Entra ID (Azure AD) 進行使用者同步並將其用作身分識別提供者。
請確保您已設定 Microsoft Entra ID (Azure AD) 使用者群組,並將其與 Sophos Central 同步。
- 登入 Sophos Central。
- 前往 我的產品 > ZTNA > 識別提供者。
-
按一下新增身分識別提供者。
-
輸入身分識別提供者設定,如下所示:
- 輸入名稱和說明。
- 在提供者中,確保選中了 Microsoft Entra ID (Azure AD)。
-
輸入 Microsoft Entra ID (Azure AD) 的用戶端 ID、租用戶 ID 和用戶端密碼設定。
如果您依照本指南所述內容設定 Microsoft Entra ID (Azure AD),則可在建立租用戶時收集到這些設定。請參閱設定目錄服務。
-
按一下測試連線並確保已建立連線。
- 按一下儲存。
在將 Okta 用作身分識別提供者之前,您必須先建立並設定整合有適當設定的新 Okta 應用程式,以搭配 ZTNA 使用。
若要如此,請執行以下操作:
- 建立應用程式整合。
- 將身分識別提供者新增至 ZTNA。
我們假設您在 Okta 有使用者群組。如果沒有,請使用 Okta 工具將群組從目錄服務同步處理至 Okta。請確認您已將群組與 Sophos Central 同步。
建立應用程式整合
-
在 Okta 儀表板中,前往應用程式。
-
按一下Create App Integration。
-
在Create a new app integration中,請執行以下操作:
- 選擇 OIDC。
- 選擇 Web Application。
-
在New Web App Integration中,請執行以下操作:
- 輸入名稱。
- 選擇Client Credentials。
- 選擇Refresh Token (重新整理權杖)。
-
在同一標籤的Sign-in redirect URIs (登入重新導向 URI) 中,輸入 Okta 將傳送驗證回應和權杖的位址。必須先是閘道主機 FQDN,然後是 /oauth2/callback。例如:
https://ztna.mycompany.net/oauth2/callback
-
在Assignments (指派中),選擇Skip group assignment for now (立即跳過群組指派)。
-
開啟新應用程式。在一般標籤上,記下用戶端 ID 和*用戶端密碼*。當您在 Sophos Central 中將 Okta 設定為身分識別提供者時,您將需要這些資訊。
-
在 Okta API 範圍標籤上,設定所需權限:
- okta.groups.read
- okta.idps.read
如果您使用 AD Sync,則只需要 okta.idps.read。
-
在Assignments (指派中) 標籤上,按一下Assign (指派) > Assign to Groups (指派給群組)。選取使用者現有的群組。
-
在登入索引標籤上,移至 OpenID Connect ID 權杖並執行以下動作:
- 按一下 編輯。
- 新增群組聲明運算式。
- 按一下儲存。
將身分識別提供者新增到 ZTNA
接下來,您將設定閘道。