跳至內容

設定身分識別提供者

現在,請設定身分識別提供者。ZTNA 閘道驗證使用者會根據身分識別提供者所持有的記錄來驗證使用者。

這些步驟取決於您要使用的提供者。

如果您將 Okta 設定為識別提供者,則您的 ZTNA 閘道必須為 1.1 版或更新版本。

您可以使用 Microsoft Entra ID (Azure AD) 進行使用者同步並將其用作身分識別提供者。

請確保您已設定 Microsoft Entra ID (Azure AD) 使用者群組,並將其與 Sophos Central 同步。

  1. 登入 Sophos Central。
  2. 前往 我的產品 > ZTNA > 識別提供者
  3. 按一下新增身分識別提供者

    身分識別提供者頁面。

  4. 輸入身分識別提供者設定,如下所示:

    1. 輸入名稱和說明。
    2. 提供者中,確保選中了 Microsoft Entra ID (Azure AD)。
    3. 輸入 Microsoft Entra ID (Azure AD) 的用戶端 ID租用戶 ID用戶端密碼設定。

      如果您依照本指南所述內容設定 Microsoft Entra ID (Azure AD),則可在建立租用戶時收集到這些設定。請參閱設定目錄服務。

    4. 按一下測試連線並確保已建立連線。

    5. 按一下儲存

    新增身分識別提供者頁面。

在將 Okta 用作身分識別提供者之前,您必須先建立並設定整合有適當設定的新 Okta 應用程式,以搭配 ZTNA 使用。

若要如此,請執行以下操作:

  • 建立應用程式整合。
  • 將身分識別提供者新增至 ZTNA。

我們假設您在 Okta 有使用者群組。如果沒有,請使用 Okta 工具將群組從目錄服務同步處理至 Okta。請確認您已將群組與 Sophos Central 同步。

建立應用程式整合

  1. 在 Okta 儀表板中,前往應用程式

    Okta 儀表板功能表。

  2. 按一下Create App Integration

    Okta 應用程式頁面。

  3. Create a new app integration中,請執行以下操作:

    1. 選擇 OIDC
    2. 選擇 Web Application

    Okta 新應用程式。

  4. New Web App Integration中,請執行以下操作:

    1. 輸入名稱。
    2. 選擇Client Credentials
    3. 選擇Refresh Token (重新整理權杖)。

    Okta 新應用程式整合。

  5. 在同一標籤的Sign-in redirect URIs (登入重新導向 URI) 中,輸入 Okta 將傳送驗證回應和權杖的位址。必須先是閘道主機 FQDN,然後是 /oauth2/callback。例如:

    https://ztna.mycompany.net/oauth2/callback

    Okta 重新導向 URI。

  6. Assignments (指派中),選擇Skip group assignment for now (立即跳過群組指派)。

    Okta 指派。

  7. 開啟新應用程式。在一般標籤上,記下用戶端 ID*用戶端密碼*。當您在 Sophos Central 中將 Okta 設定為身分識別提供者時,您將需要這些資訊。

    ZTNA 應用程式詳細資料。

  8. Okta API 範圍標籤上,設定所需權限:

    • okta.groups.read
    • okta.idps.read

    如果您使用 AD Sync,則只需要 okta.idps.read。

    Okta API 範圍標籤。

  9. Assignments (指派中) 標籤上,按一下Assign (指派) > Assign to Groups (指派給群組)。選取使用者現有的群組。

    Okta 指派標籤。

  10. 登入索引標籤上,移至 OpenID Connect ID 權杖並執行以下動作:

    1. 按一下 編輯
    2. 新增群組聲明運算式
    3. 按一下儲存

    OpenID Connect ID 權杖。

將身分識別提供者新增到 ZTNA

  1. 登入 Sophos Central。
  2. 前往 我的產品 > ZTNA > 識別提供者
  3. 按一下新增身分識別提供者

    Sophos Central 中的身分識別提供者頁面。

  4. 輸入身分識別提供者設定,如下所示:

    1. 輸入名稱和說明。
    2. 提供者中,選擇 Okta。
    3. 輸入用戶端 ID用戶端密碼簽發者 URI 的 Okta 設定。

      這些是前面提到的 Okta 設定。

    4. 按一下測試連線並確保已建立連線。

    5. 按一下儲存

    新增身分識別提供者頁面。

接下來,您將設定閘道。