跳至內容

新增身分識別提供者 (Entra ID/Open IDC/ADFS)

如果您要使用同盟登入,則需要設定身分識別提供者。

需求

您必須是超級管理員才能使用此功能。

  • 您必須先驗證網域。如果尚未驗證網域,則無法設定身分識別提供者。請參閱驗證同盟網域

  • 檢查您是否有設定身分識別提供者所需的資訊。

警告

如果您要使用同盟登入做為登入選項,您必須確保所有管理員和使用者都已指派到網域,並且擁有身分識別提供者。

您可以選取 Microsoft Entra ID、OpenID Connect 或 Microsoft AD FS 作為身分識別提供者,以在管理員登入時驗證其身分。有關設定所選身分識別提供者的說明,請參閱以下各節。

將 Microsoft Entra ID 新增為身分識別提供者

您可以將 Microsoft Entra ID 新增為身分識別提供者。

具體方法

將 Microsoft Entra ID 新增為身分識別提供者之前,您必須遵循 將 Microsoft Entra ID 用作身分識別提供者 中的指示。

您必須擁有 Microsoft Entra ID 執行個體的租用戶 ID 記錄。

如需新增 Microsoft Entra ID,請執行以下步驟:

  1. 移至我的產品 > 一般設定 > 同盟身分識別提供者
  2. 按一下新增身分識別提供者
  3. 輸入名稱和說明。
  4. 按一下類型並選取 Microsoft Entra ID
  5. 按一下廠商並選取 Microsoft Entra ID
  6. 設定 Entra ID 設定中,輸入您的租用戶 ID。
  7. 設定網域中,按一下選取網域並選取您的網域。

    您可以新增多個網域,但每個使用者只能與一個網域關聯。

  8. 確認身分識別提供者 MFA 強制執行中,選取以下選項之一:

    • IdP 強制的 MFA:Sophos Central 允許身分識別提供者 (IdP) 強制執行多重要素驗證 (MFA)。
    • 無 IdP 強制的 MFA:Sophos Central 在 IdP 驗證成功後強制執行 MFA。
  9. 按一下儲存

    將 Microsoft Entra ID 設定為身分識別提供者。

  10. 同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟

    注意

    如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。

現在您可以設定登入設定。請參閱Sophos 登入設定

將 Open ID Connect 新增為身分識別提供者

您可以將 Open ID Connect 新增為身分識別提供者。

具體方法

在將 Open ID Connect 新增爲身分識別提供者之前,必須遵循 使用 OpenID Connect 作爲身分識別提供者 中的相應說明。

我們在這些指示中的影像裡使用 Okta 作為 Open ID Connect 提供者的範例。

若要新增 Open ID Connect,請依照以下步驟操作:

  1. 移至我的產品 > 一般設定 > 同盟身分識別提供者
  2. 按一下新增身分識別提供者
  3. 輸入名稱和說明。
  4. 按一下類型並選取 Open ID Connect
  5. 按一下廠商並選取您的廠商。例如 Okta
  6. 設定 OpenID Connect 設定中,輸入以下資訊:

    • 用戶端 ID:這是 Okta 中 Sophos Central 應用程式的用戶端 ID
    • 簽發者:這是您在 Okta 中設定的自訂網域。它是 https://${DOMAIN}.okta.com
    • Authz 端點:這是 https://$Issuer}/oauth2/v1/authorize
    • JWKS URL:這是 https://${Issuer}/oauth2/v1/keys
  7. 設定網域中,按一下選取網域並選取您的網域。

    您可以新增多個網域,但每個使用者只能與一個網域關聯。

  8. 確認身分識別提供者 MFA 強制執行中,選取以下選項之一:

    • IdP 強制的 MFA:Sophos Central 允許身分識別提供者 (IdP) 強制執行多重要素驗證 (MFA)。
    • 無 IdP 強制的 MFA:Sophos Central 在 IdP 驗證成功後強制執行 MFA。
  9. 按一下儲存

    將 OpenID Connect 設定為身分識別提供者。

  10. 同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟

    注意

    如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。

現在您可以設定登入設定。請參閱Sophos 登入設定

將 Microsoft AD FS 新增為身分識別提供者

您可以將 Microsoft AD FS 新增為身分識別提供者。

具體方法

將 Microsoft AD FS 新增為身分識別提供者之前,您必須遵循 使用 Microsoft AD FS 做為身分識別提供者 中的指示。

您必須知道您的 AD FS 中繼資料 URL。

如需新增 Microsoft AD FS,請執行以下步驟:

  1. 移至我的產品 > 一般設定 > 同盟身分識別提供者
  2. 輸入名稱和說明。
  3. 按一下類型並選取 Microsoft AD FS
  4. 按一下廠商並選取您的廠商。
  5. AD FS 元資料 URL 中,輸入 AD FS 元資料 URL。
  6. 設定網域中,按一下選取網域並選取您的網域。

    您可以新增多個網域,但每個使用者只能與一個網域關聯。

  7. 確認身分識別提供者 MFA 強制執行中,選取以下選項之一:

    • IdP 強制的 MFA:Sophos Central 允許身分識別提供者 (IdP) 強制執行多重要素驗證 (MFA)。
    • 無 IdP 強制的 MFA:Sophos Central 在 IdP 驗證成功後強制執行 MFA。
  8. 按一下儲存

    將 Microsoft AD FS 設定為身分識別提供者。

  9. 同盟身分識別提供者中,選擇您的身分識別提供者,然後請注意以下操作:

    • 實體 ID
    • 回撥 URL
  10. 新增您的實體 ID回撥 URL 至 AD FS 設定。

  11. 同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟

    注意

    如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。

現在您可以設定登入設定。請參閱Sophos 登入設定