跳至內容

使用 OpenID Connect 作爲身分識別提供者

此選項可能尚未面向所有客戶提供。

您可以使用 OpenID Connect (OIDC) 身分識別提供者設定服務提供者起始之單一登入。

要求

您必須是超級系統管理員身分。

則警告

如果您想要使用同盟登入做為登入選項,必須確定所有管理員和使用者都已指派給網域,且擁有身分識別提供者。

您必須先驗證網域。請參閱驗證同盟網域

如果要將 Open ID Connect 新增爲身分識別提供者,則必須執行以下操作:

  • 設定身分識別提供者以允許 Sophos Central 驗證使用者和管理員。

  • 確保您的身分識別提供者接受來自 Sophos Central 的授權請求。

  • 提供我們與您的身分識別提供者通訊所需的資訊。我們需要以下資訊:

    • Client ID
    • 簽發者
    • Authz 端點
    • JWKS URL

驗證請求

我們向 OIDC 身分識別提供者發出隱含授與流程驗證請求。我們不使用隱含流程請求存取程式碼。您的身分識別提供者的應用程式整合設定必須接受以下 OAUTH 請求並回呼 https://federation.sophos.com/login/callback

GET …/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

將 Okta 設定為身分識別提供者

如果要將 Okta 新增爲身分識別提供者,則必須執行以下操作:

  • 設定 OIDC (OpenID Connect) 隱含應用程式以與 Sophos Central 配合使用。
  • 取得與 Okta 通訊所需的資訊。

為 Sophos Central 設定應用程式整合

我們建議您閱讀 Okta 文件,瞭解有關如何設定 Okta 應用程式整合的更多資訊。請參閱 Okta 說明,讓使用者登入您的 Web 應用程式

注意

這些說明概述了如何在 Okta 中為 Sophos Central 設定應用程式整合。

若要設定應用程式整合,請執行以下動作:

  1. 登入您的 Okta 帳戶:
  2. 轉至應用程式
  3. 按一下建立應用程式整合

    建立應用程式整合

  4. 按一下OIDC – OpenID Connect

    OpenID Connect

  5. 按一下Single-Page Application

    建立應用程式整合

  6. 按一下 下一步

  7. 為應用程式整合命名。

    您必須提供一個唯一的名稱。例如 "Sophos Central SSO 1”。

  8. 授與類型中選擇隱含混合

  9. 登入重新導向 URI中輸入 https://federation.sophos.com/login/callback

    這會授權來自 Sophos Central 的驗證請求。

    回撥 URL

  10. 按一下儲存

  11. 選取您的 Sophos Central 應用程式,然後按一下一般設定

    • 打開允許具有隱含授與類型的 ID 權杖

      ID 權杖

獲取將 Okta 新增為身分識別提供者所需的資訊

若要獲取資訊,請依照以下動作執行:

  1. 您需要知道 Okta 授權網域。若要找到它,請依照以下步驟操作:

    1. 轉至自訂,然後按一下網域
    2. 查找自訂 URL 網域
    3. 尋找已設定的自訂網域並記下該網域。

      當您在 Sophos Central 中設定 Okta 時,請在簽發者中輸入此資訊。

      已設定的自訂網域

      此螢幕擷取畫面顯示範例網域。login.pennitest.net

      您還可以使用此資訊獲取 Authz 端點JWKS URL 的值。

  2. Authz 端點JWKS URL 衍生自您的授權網域。

    • 您的 Authz 端點是您的授權網域,也是以 authorize 結尾的標準路徑。完整路徑遵循此格式:https://{$Issuer}/oauth2/v1/authorize。要獲得有關查找 Authz 端點的說明,請參閱授權

      使用範例網域 Authz 端點https://login.pennitest.net/oauth2/v1/authorize

    • 您的 JWKS URL 是您的授權網域,也是以 keys 結尾的標準路徑。完整路徑遵循此格式:https://{$Issuer}/oauth2/v1/keys。要獲得有關查找 JWKS URL 的說明,請參閱金鑰

      使用範例網域 JWKS URLhttps://login.pennitest.net/oauth2/v1/keys

  3. 前往應用程式並按一下應用程式

  4. 選擇您的 Sophos Central 應用程序。
  5. 查找客戶端憑證
    1. 尋找您的用戶端 ID。請記下您需要的資訊,以將 Okta 設定為您的身分識別提供者。

您現在可將 Okta 新增為識別提供者。請參閱新增身分識別提供者

使用 Google Workspace 作為身分識別提供者

我們建議您閱讀以下 Google 說明頁面:

回到頁首