Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=SSO-Microsoft-ADFS

Usar o Microsoft AD FS como um provedor de identidade

Você pode adicionar o Microsoft AD FS como um provedor de identidade.

Você pode usar o Microsoft AD FS para verificar a identidade de seus administradores e usuários quando fizerem login nos produtos Sophos Central. Você precisa adicionar o Microsoft AD FS como um provedor de identidade para fazer isso.

Requisitos

Você precisa ser um Super Admin.

Alerta

Se você quiser usar o início de sessão federado como a sua opção de login, certifique-se de que todos os seus administradores e usuários estejam atribuídos a um domínio e tenham um provedor de identidade.

Você deve verificar um domínio primeiro. Consulte Verificar um domínio federado.

O AD FS é um serviço fornecido pela Microsoft no Windows Server. Ele permite que você se autentique usando credenciais existentes do Active Directory.

Se você quiser usar o AD FS como um provedor de identidade, faça o seguinte:

  • Confirme que você tem um servidor AD FS.
  • Certifique-se de que seus administradores e usuários do Sophos Central estejam na floresta do Active Directory que você deseja usar para autenticação.
  • Confirme que os e-mails na floresta correspondem aos atribuídos a seus administradores e usuários no Sophos Central.
  • Obtenha o consentimento e autorização do seu administrador do AD para usar o AD da sua organização com o Sophos Central.
  • Localize a URL de metadados do Microsoft AD FS.

URL de metadados do Microsoft AD FS

Você precisa saber a sua URL de metadados do Microsoft AD FS antes de adicionar o Microsoft AD FS como um provedor de identidade. Para localizá-la, siga este procedimento:

  1. Acesse Federation Metadata Explorer.
  2. Siga as instruções na tela para obter seus metadados AD FS.
  3. Anote a URL dos metadados do seu Microsoft AD FS, pois será necessário para configurar o AD FS como um provedor de identidade.

Agora você pode adicionar o AD FS como um provedor de identidade. Consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).

Para obter ajuda geral sobre o Microsoft AD FS, consulte o AD FS Help.

Adicionar o Sophos Central como um objeto de confiança de terceira parte confiável no Microsoft AD FS

No AD FS, você pode adicionar o Sophos Central como um objeto de confiança de terceira parte confiável para que o AD FS possa aceitar reivindicações do Sophos Central.

Antes de começar, verifique se você configurou um início de sessão federado no Sophos Central. Consulte Configurar o início de sessão federado.

Para adicionar o Sophos Central como um objeto de confiança de terceira parte confiável, faça o seguinte:

  1. No Microsoft AD FS, abra o Server Manager.
  2. Clique em Tools e selecione AD FS Management.
  3. Em Actions, clique em Add Relying Party Trust.
  4. Em Welcome, selecione Claims Aware.
  5. Em Select Data Source, selecione Enter data about the relying party manually e clique em Next.
  6. Em Specify Display Name, insira um nome e clique em Next.
  7. Em Choose Profile, selecione AD FS profile e clique em Next.
  8. Em Configure Certificate, clique em Next.

  9. Em Configure URL, faça o seguinte:

    1. Selecione Enable support for the WS-Federation Passive protocol.

    2. Insira a URL de callback do Sophos Central em Relying party WS-Federation Passive protocol URL.

      Para encontrar a URL de callback, siga este procedimento:

      1. No Sophos Central, vá para Configurações globais > Provedores de identidade federados.
      2. Selecione seu provedor de identidade e copie a URL em URL de callback.

    3. Clique em Avançar.

  10. Em Configure Identifiers, insira seu ID da entidade em Relying party trust identifier, clique em Add e clique em Next.

    Para encontrar o ID da entidade, siga este procedimento:

    1. Em Sophos Central, vá para Meus produtos > Configurações gerais e clique em Provedores de identidade federados.
    2. Selecione seu provedor de identidade e copie o ID em ID da entidade.

  11. (Opcional) Em Configure Multi-factor Authentication Now?, configure a autenticação multifator, se necessário.

  12. Em Choose Issuance Authorization Rules, selecione Permit all users to access this relying party e clique em Next.
  13. Em Ready to add trust, mantenha as configurações padrão e clique em Next.

  14. Em Finish, selecione Open the Edit Claim Rules dialog for this claims provider trust when the wizard closes e clique em Close.

    A caixa de diálogo Edit Claim Rules é exibida.

  15. Em Edit Claim Rules, em Issuance Transform Rules, clique em Add rule.

    O Add Transform Claim Rule Wizard é aberto.

  16. Em Choose Rule Type, em Claim rule template, selecione Send LDAP Attributes as Claims e clique em Next.

  17. Em Configure Claim Rule, faça o seguinte:

    1. Em Claim rule name, digite um nome para a regra.
    2. Em Attribute store, selecione Active Directory.

    3. Em Mapping LDAP attributes to outgoing claim types, mapeie os atributos conforme mostrado na tabela a seguir:

      Atributo LDAP Tipo de declaração de saída
      E-mail-Addresses Name ID
      Given-Name Name
      Surname Surname
      E-mail-Addresses E-mail Address

    4. Clique em Finish.

Agora você pode adicionar o Microsoft AD FS como um provedor de identidade. Consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).