IdP の設定

![IdP ページ。](../images/IdentityProviders.png)

1。 プライマリ AD サーバーのホストとポートの詳細を入力します。必要に応じて、セカンダリサーバーの詳細を入力できます。

    !!! note "注"

        セカンダリサーバーは、プライマリサーバーと同じドメインに属している必要があります。プライマリサーバーが使用できない場合は、セカンダリサーバーが冗長性を提供します。

1。 任意:TLS と SSL の設定を行います。

    以下のいずれかのオプションを選択できます。

    -   **TLS 有効**:TLS を使用して、LDAP サーバーへのログインに使用されるユーザー名とパスワードの情報を保護します。
    -   **開始 TLS**:LDAP サーバーが暗号化されていないポート (通常は 389) で LDAP 接続をリッスンし、TLS に切り替えることを許可します。

    「**SSL証明書の検証**」を選択した場合、LDAP サーバーの SSL 証明書を`.pem`、`.crt`、または`.cer` のいずれかの形式でアップロードする必要があります。証明書の最大サイズは 10KB です。

    ![TLS と SSL の設定。](../images/ZTNAIDPADTLSSSL.png)

![ユーザーベース DN のデフォルトの詳細設定。](../images/ZTNAIDPADDefaultSettings.png)

1.  **SMTP サーバーホスト**:SMTP サーバーの IP アドレスまたはホスト名。
1.  **SMTP ポート番号**:SMTP サーバーにアクセスするポート番号。
1.  **SMTP メール**:バウンスバック メッセージが送信されるデフォルトのメールアドレス。
1.  **メールの件名**:ワンタイム パスワード (OTP) を含むメールの件名。
1。 SMTP サーバーがメールをリレーするために認証情報を必要とする場合は、**SMTP ログイン**と **SMTP パスワード**を入力する必要があります。
1。 任意:TLS と SSL の設定を行います。

    以下のいずれかのオプションを選択できます。

    -   **TLS 有効**:TLS を使用して SMTP サーバーとクライアント間の通信を保護します
    -   **開始 TLS**:SMTP サーバーとクライアント間のネゴシエーションを開始し、暗号化方式を選択します。

    上記のオプションのいずれかを選択すると、「**SSL 証明書の確認**」オプションが表示されます。「**SSL証明書の検証**」を選択した場合、SMTP サーバーの SSL 証明書を `.pem`、`.crt`、または`cer` のいずれかの形式でアップロードする必要があります。証明書の最大サイズは 10KB です。

1。 IdP をゲートウェイに割り当てます。これを行うには、「**ゲートウェイ**ページに移動し、ゲートウェイの名前をクリックして、「**編集**」をクリックします。「**IdP**」で、先ほど作成した IｄP を選択します。

    ![IDP をゲートウェイに割り当てます。](../images/ZTNAIDPADEditGateway.png)

    !!! note "注"

        ゲートウェイをまだ作成していない場合は、ゲートウェイを作成して IｄP に割り当てた後で接続をテストします。

1。 「**IｄP**」に戻り、新しい IｄP の名前をクリックします。
1。 「**接続のテスト**」で、ゲートウェイ名を選択し、必要に応じてユーザー名を入力します。
1。 「**接続のテスト**をクリックして、接続が確立されることを確認します。

    ユーザー名を入力すると、そのユーザーが属しているグループが表示されます。

![IdP ページ。](../images/IdentityProviders.png)

1。 名前と説明を入力します。
1。 「**プロバイダ**」で、Microsoft Entra ID (Azure AD) が選択されていることを確認します。
1。 Microsoft Entra ID (Azure AD) 設定の「**クライアント ID**」、「**テナント ID**」、および「**クライアントシークレット**」を入力します。

    このガイドの指示に従って Microsoft Entra ID (Azure AD) を設定した場合、テナントの作成時に、これらの設定内容をメモしたはずです。詳細は、[ディレクトリサービスの設定](../setup/SetUpDirService.md)を参照してください。

1。 「**接続のテスト**をクリックして、接続が確立されることを確認します。
1。 「保存」をクリックします。

![「IdP の追加」ページ。](../images/AddIdentityProvider.png)

![Okta ダッシュボードメニュー。](../images/okta-menu.png){ width="250" }

![Okta 「アプリケーション」ページ。](../images/okta-create-app.png)

1。 「**OIDC**」を選択します。
1。 「**Web Application**」を選択します。

![Okta 新しいアプリケーション。](../images/okta-new-app.png)

1。 名前を入力します。
1。 「**Client Credentials**」を選択します。
1。 「**Refresh Token**」を選択します。

![Okta 新しいアプリ統合。](../images/okta-web-app.png)

```
https://ztna.mycompany.net/oauth2/callback
```

![Okta リダイレクト URI。](../images/okta-redirect-uri.png)

!!! note "注"

    Sophos Firewall にゲートウェイを設定する場合、次の形式で新しいリダイレクト URI を追加する必要があります。`https://<ゲートウェイの外部 FQDN>/ztna-oauth2/callback`

![Okta 割り当て。](../images/okta-app-assignments.png)

![ZTNA アプリの詳細。](../images/okta-ztna-app.png)

-   okta.groups.read
-   okta.idps.read

AD Sync を使用している場合は、okta.idps.read のみ必要です。

![「Okta API のスコープ」タブ。](../images/okta-api-scopes.png)

![Okta 「割り当て」タブ。](../images/okta-app-assign-groups.png)

1。 「**編集**」をクリックします。
1。 次の式をコピーして、「**Groups claim expression**」に貼り付けます。

    ```
    Arrays.isEmpty(Arrays.toCsvString(Groups.startsWith("active_directory","",100))) ?
    Groups.startsWith("OKTA","",100) :
    Arrays.flatten(Groups.startsWith("OKTA","",100),Groups.startsWith("active_directory","",100))
    ```

    詳細については、[カスタムグループクレームの追加](https://developer.okta.com/docs/guides/customize-tokens-groups-claim/main/) を参照してください。

1。 「保存」をクリックします。

![OpenID Connect ID トークン。](../images/OktaOpenIDConnectIDToken.png)

![Sophos Central の「IdP」ページ。](../images/IdentityProviders.png)

1。 名前と説明を入力します。
1。 「**プロバイダ**」で、「Okta」を選択します。
1。 Okta 設定の「**クライアント ID**」、「**クライアントシークレット**」、および「**発行者 URI**」を入力します。

    これらは、先ほどメモした Okta の設定です。

1。 「**接続のテスト**をクリックして、接続が確立されることを確認します。
1。 「保存」をクリックします。

![IdP Azure の詳細。](../images/okta-add-idp.png)