Usar o Microsoft AD FS como um provedor de identidade
Você pode adicionar o Microsoft AD FS como um provedor de identidade.
Você pode usar o Microsoft AD FS para verificar a identidade de seus administradores e usuários quando fizerem login nos produtos Sophos Central. Você precisa adicionar o Microsoft AD FS como um provedor de identidade para fazer isso.
Requisitos
Você precisa ser um Super Admin.
Alerta
Se você quiser usar o início de sessão federado como a sua opção de login, certifique-se de que todos os seus administradores e usuários estejam atribuídos a um domínio e tenham um provedor de identidade.
Você deve verificar um domínio primeiro. Consulte Verificar um domínio federado.
O AD FS é um serviço fornecido pela Microsoft no Windows Server. Ele permite que você se autentique usando credenciais existentes do Active Directory.
Se você quiser usar o AD FS como um provedor de identidade, faça o seguinte:
- Confirme que você tem um servidor AD FS.
- Certifique-se de que seus administradores e usuários do Sophos Central estejam na floresta do Active Directory que você deseja usar para autenticação.
- Confirme que os e-mails na floresta correspondem aos atribuídos a seus administradores e usuários no Sophos Central.
- Obtenha o consentimento e autorização do seu administrador do AD para usar o AD da sua organização com o Sophos Central.
- Localize a URL de metadados do Microsoft AD FS.
URL de metadados do Microsoft AD FS
Você precisa saber a sua URL de metadados do Microsoft AD FS antes de adicionar o Microsoft AD FS como um provedor de identidade. Para localizá-la, siga este procedimento:
- Acesse Federation Metadata Explorer.
- Siga as instruções na tela para obter seus metadados AD FS.
- Anote a URL dos metadados do seu Microsoft AD FS, pois será necessário para configurar o AD FS como um provedor de identidade.
Agora você pode adicionar o AD FS como um provedor de identidade. Consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).
Para obter ajuda geral sobre o Microsoft AD FS, consulte o AD FS Help.
Adicionar o Sophos Central como um objeto de confiança de terceira parte confiável no Microsoft AD FS
No AD FS, você pode adicionar o Sophos Central como um objeto de confiança de terceira parte confiável para que o AD FS possa aceitar reivindicações do Sophos Central.
Antes de começar, verifique se você configurou um início de sessão federado no Sophos Central. Consulte Configurar o início de sessão federado.
Para adicionar o Sophos Central como um objeto de confiança de terceira parte confiável, faça o seguinte:
- No Microsoft AD FS, abra o Server Manager.
- Clique em Tools e selecione AD FS Management.
- Em Actions, clique em Add Relying Party Trust.
- Em Welcome, selecione Claims Aware.
- Em Select Data Source, selecione Enter data about the relying party manually e clique em Next.
- Em Specify Display Name, insira um nome e clique em Next.
- Em Choose Profile, selecione AD FS profile e clique em Next.
- Em Configure Certificate, clique em Next.
-
Em Configure URL, faça o seguinte:
- Selecione Enable support for the WS-Federation Passive protocol.
-
Insira a URL de callback do Sophos Central em Relying party WS-Federation Passive protocol URL.
Para encontrar a URL de callback, siga este procedimento:
- No Sophos Central, vá para Configurações globais > Provedores de identidade federados.
- Selecione seu provedor de identidade e copie a URL em URL de callback.
-
Clique em Avançar.
-
Em Configure Identifiers, insira seu ID da entidade em Relying party trust identifier, clique em Add e clique em Next.
Para encontrar o ID da entidade, siga este procedimento:
- Em Sophos Central, vá para Meus produtos > Configurações gerais e clique em Provedores de identidade federados.
- Selecione seu provedor de identidade e copie o ID em ID da entidade.
-
(Opcional) Em Configure Multi-factor Authentication Now?, configure a autenticação multifator, se necessário.
- Em Choose Issuance Authorization Rules, selecione Permit all users to access this relying party e clique em Next.
- Em Ready to add trust, mantenha as configurações padrão e clique em Next.
-
Em Finish, selecione Open the Edit Claim Rules dialog for this claims provider trust when the wizard closes e clique em Close.
A caixa de diálogo Edit Claim Rules é exibida.
-
Em Edit Claim Rules, em Issuance Transform Rules, clique em Add rule.
O Add Transform Claim Rule Wizard é aberto.
-
Em Choose Rule Type, em Claim rule template, selecione Send LDAP Attributes as Claims e clique em Next.
-
Em Configure Claim Rule, faça o seguinte:
- Em Claim rule name, digite um nome para a regra.
- Em Attribute store, selecione Active Directory.
-
Em Mapping LDAP attributes to outgoing claim types, mapeie os atributos conforme mostrado na tabela a seguir:
Atributo LDAP Tipo de declaração de saída E-mail-Addresses Name ID Given-Name Name Surname Surname E-mail-Addresses E-mail Address -
Clique em Finish.
Agora você pode adicionar o Microsoft AD FS como um provedor de identidade. Consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).