Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=SSO-Open-ID-Connect

OpenID Connect als Identitätsanbieter verwenden

Bei OpenID Connect (OIDC)-Identitätsanbietern können Sie vom Service Provider initiierten Single Sign-On einrichten.

Voraussetzungen

Sie müssen Super-Admin sein.

Warnung

Wenn Sie die Verbundanmeldung als Anmeldeoption verwenden möchten, müssen Sie sicherstellen, dass alle Administratoren und Benutzer einer Domäne zugewiesen sind und über einen Identitätsanbieter verfügen.

Sie müssen zuerst eine Domäne verifizieren. Siehe Verbunddomäne verifizieren.

Wenn Sie OpenID Connect als Identitätsanbieter hinzufügen möchten, müssen Sie wie folgt vorgehen:

  • Konfigurieren Sie Ihren Identitätsanbieter so, dass Sophos Central-Benutzer und -Administratoren überprüft werden können.

  • Stellen Sie sicher, dass Ihr Identitätsanbieter Autorisierungsanforderungen von Sophos Central akzeptiert.

  • Teilen Sie uns die Informationen mit, die wir für die Kommunikation mit Ihrem Identitätsanbieter benötigen. Wir benötigen folgende Informationen:

    • Client-ID
    • Aussteller
    • Autorisierungs-Endpoint
    • JWKS-URL

Authentifizierungsanfragen

Wir senden zur Flow-Anfragen zur impliziten Genehmigung an einen OIDC-Identitätsanbieter. Wir fordern keine Zugriffscodes mit implizitem Flow an. Ihre App-Integrationseinstellungen für Ihren Identitätsanbieter müssen die folgenden OAUTH-Anfragen mit einem Callback an https://federation.sophos.com/login/callback akzeptieren.

GET …/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Okta als Identitätsanbieter einrichten

Wenn Sie Okta als Identitätsanbieter hinzufügen möchten, müssen Sie wie folgt vorgehen:

  • Richten Sie eine implizite OIDC-Anwendung (OpenID Connect) ein, die mit Sophos Central verwendet werden soll.
  • Rufen Sie die Informationen ab, die wir für die Kommunikation mit Okta benötigen.

Anwendungsintegration für Sophos Central einrichten

Wir empfehlen Ihnen, die Okta-Dokumentation zu lesen, um weitere Informationen zur Konfiguration von Okta-Anwendungsintegrationen zu erhalten. Siehe Okta-Hilfe, Benutzer bei Ihrer Webanwendung anmelden.

Hinweis

Diese Anweisungen geben einen Überblick darüber, wie eine Anwendungsintegration für Sophos Central in Okta eingerichtet wird.

Verfahren Sie zur Einrichtung einer Anwendungsintegration wie folgt:

  1. Melden Sie sich bei Ihrem Okta-Konto an.
  2. Gehen Sie zu Applications.

  3. Klicken Sie auf Create App Integration.

    Erstellen einer Anwendungsintegration.

  4. Klicken Sie auf OIDC – OpenID Connect.

    OpenID Connect.

  5. Klicken Sie Auf Single-Page Application.

    Erstellen einer Anwendungsintegration.

  6. Klicken Sie auf Weiter.

  7. Geben Sie unter App integration name einen eindeutigen Namen ein. Zum Beispiel: Sophos Central SSO 1.

  8. Gehen Sie unter Grant type wie folgt vor:

    1. Deaktivieren Sie unter Core grants die Option Authorization Code.
    2. Klappen Sie Advanced auf.
    3. Wählen Sie unter Other grants die Option Implicit (hybrid) aus.

  9. Geben Sie unter Sign-in redirect URIs einhttps://federation.sophos.com/login/callback.

    Dadurch werden Authentifizierungsanfragen von Sophos Central autorisiert.

    Callback-URL.

  10. Entfernen Sie in Sign-out redirect URIs alle vorhandenen URIs.

  11. Wählen Sie unter Assignments die Option Allow everyone in your organization to access.
  12. Klicken Sie auf Speichern.

Abrufen der Informationen, die Sie benötigen, um Okta als Ihren Identitätsanbieter hinzuzufügen

Verfahren Sie zum Abrufen der Informationen wie folgt:

  1. Sie müssen Ihre Okta-Autorisierungsdomäne kennen. Sie finden diese wie folgt:

    1. Gehen Sie in Ihrer Okta-Admin-Konsole zu Customizations und klicken Sie auf Brands.

    2. Unter Custom Domain wird Ihre benutzerdefinierte Domäne angezeigt. Notieren Sie sie sich.

      Sie geben diese Informationen unter Aussteller ein, wenn Sie Okta in Sophos Central einrichten.

      „Benutzerdefinierte Domäne“.

      Dieser Screenshot zeigt login.pennitest.net als Beispiel-Domäne.

      Sie verwenden diese Informationen auch, um die Werte für Autorisierungs-Endpoint und JWKS-URLzu erhalten.

  2. Autorisierungs-Endpoint und JWKS-URL werden von Ihrer Autorisierungsdomäne abgeleitet.

    • Ihr Autorisierungs-Endpoint ist Ihre Autorisierungsdomäne und ein Standardpfad mit der Endung authorize. Der vollständige Pfad folgt diesem Format: https://{$Issuer}/oauth2/v1/authorize. Um Hilfe bei der Suche nach Ihrem Autorisierungs-Endpoint zu erhalten, siehe Authorize.

      Bei der Beispieldomäne ist der Autorisierungs-Endpoint https://login.pennitest.net/oauth2/v1/authorize.

    • Ihre JWKS-URL ist Ihre Autorisierungsdomäne und ein Standardpfad mit der Endung keys. Der vollständige Pfad folgt diesem Format: https://{$Issuer}/oauth2/v1/keys. Um Hilfe bei der Suche nach Ihrer JWKS-URL zu erhalten, siehe Keys.

      Bei der Beispieldomäne lautet die JWKS-URL https://login.pennitest.net/oauth2/v1/keys.

  3. Gehen Sie zu Anwendungen und klicken Sie auf Anwendungen.

  4. Wählen Sie Ihre Sophos Central-Anwendung aus.
  5. Suchen Sie nach Client-Anmeldeinformationen.
  6. Suchen Sie Ihre Mandanten-ID. Notieren Sie sie sich, da Sie sie benötigen, um Okta als Ihren Identitätsanbieter einzurichten.

Sie können Okta jetzt als Identitätsanbieter hinzufügen. Siehe Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).

Google Workspace als Identitätsanbieter verwenden

Wir empfehlen Ihnen, die folgenden Google-Hilfeseiten zu lesen: