設定 Microsoft Entra ID 以允許使用者使用 UPN 登入
此頁面提供了配置Azure IDP的替代方法。如果您要求最終用戶使用不同於其主要電子郵件地址的用戶主體名稱(UPN)進行身份驗證,則必須按照本頁上的說明進行操作。
如果用戶的電子郵件地址與其UPN相同,請參閱 添加身份提供者(Entra ID/Open IDC/ADFS)。
主要步驟描述如下:
- 在 Azure 入口網站中設定 Microsoft Entra ID。
- 在 Sophos Central 中將 Microsoft Entra ID 新增為身分識別提供者。
在 Azure 入口網站中設定 Microsoft Entra ID
要在 Azure 入口網站中設定 Microsoft Entra ID,您必須執行以下操作:
- 建立 Azure 應用程式。
- 為應用程式設定身分驗證。
- 設定權杖設定。
- 指派應用程式權限。
有關詳細資訊,請參閱以下各節。
建立 Azure 應用程式
若要建立 Azure 應用程式,請執行以下操作:
- 登入您的 Azure 入口網站。
-
在 管理 菜單中,單擊 應用程序註冊。
-
在 應用程序註冊 頁面上,單擊 新建註冊。
-
輸入應用程式名稱。
-
在 Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。
-
在 Redirect URI (optional)(重新導向 URL(可選))下,選取 Single-page application (SPA)(單頁應用程式 (SPA))並輸入 。
https://federation.sophos.com/login/callback
。 -
按一下註冊。
為應用程式設定身分驗證
若要設定 Azure 應用程式,請執行以下動作:
- 在建立的應用程式中,按一下 Authentication(身分驗證)。
- 在 Implicit grant and hybrid flows(隱式授與和混合流)下,選取 ID tokens (used for implicit and hybrid flows)(ID 權杖(用於隱式和混合流))。
- 在 Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。
-
按一下儲存。
設定權杖設定
要設定令牌配置,請執行以下操作:
- 在建立的應用程式中,按一下 Token configuration(權杖設定)。
- 在 Optional claims(可選聲明)下,按一下 Add optional claim(新增可選聲明)。
-
在 Token type(權杖類型)下,選取 ID,然後選取 email(電子郵件)。
-
選取 新增。
-
在 Add optional claim (添加可選聲明)中,選擇 Turn on the Microsoft Graph email permission (打開Microsoft ****
指派應用程式權限
要檢查您的權限,請執行以下動作:
- 在您建立的應用程式中,按一下 API permissions(API 權限)。
-
在 Configured permissions(已設定權限)下,按一下 Grant admin consent for <account>(為帳戶授與管理員同意)。
-
按一下是。
在 Sophos Central 中將 Microsoft Entra ID 新增為身分識別提供者
您可以將 Microsoft Entra ID 用作身分識別提供者。
要將 Microsoft Entra ID 新增為身分識別提供者,請參閱以下主題:
- 在 Sophos Central 中,移至全域設定 > 同盟身分識別提供者。
- 按一下新增身分識別提供者。
- 輸入名稱和說明。
- 按一下類型並選擇 OpenID Connect。
- 按一下廠商並選擇 Microsoft Entra ID。
- 如果您已在Azure門戶中設定Microsoft Entra ID,請跳過 步驟A:設定 OpenID Connect。
-
對於步驟 B:設定 OpenID Connect 設定,請執行以下操作:
-
對於 用戶端 ID,輸入您在 Azure 中建立的應用程式的用戶端 ID。
- 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
- 選取您建立的應用程式。
- 複製 應用程式(用戶端) ID 中的 ID,並將其貼到 Sophos Central 的用戶端 ID 中。
-
對於發行者,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/v2.0
將現有租戶ID替換為Azure實例的租戶ID。
若要尋找實體 ID,請依照以下步驟操作:
- 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
- 選取您建立的應用程式。
- 目錄(租戶) ID的值 是您的Azure實例的租戶ID。
-
對於 Authz 端點,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize
將現有租戶ID替換為您先前復制的租戶ID。
-
對於 JWKS URL,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys
將現有租戶ID替換為您先前復制的租戶ID。
-
-
按一下選取網域並選擇您的網域。
您可以添加多個域,但只能將用戶與一個域相關聯。
-
通過選擇以下選項之一選擇是否啟用IDP強制MFA:
- IdP 強制的 MFA
- 無 IdP 強制的 MFA
-
按一下儲存。
使用者如何使用UPN登入
以下過程顯示了在完成上述配置後最終用戶如何登入。
-
使用者和管理員使用其在 Sophos Central 中的關聯電子郵件地址登入。
-
根據您在 Sophos登入設定中的選擇,他們看到的顯示器可能會有所不同。