Saltar al contenido

Utilizar OpenID Connect como un proveedor de identidad

Puede configurar el inicio de sesión único iniciado por el proveedor de servicios con proveedores de identidad de OpenID Connect (OIDC).

Requisitos

Usted debe ser un superadministrador de la empresa.

Aviso

Si desea utilizar el inicio de sesión federado como opción de inicio de sesión, debe asegurarse de que todos los administradores estén asignados a un dominio y tengan un proveedor de identidad.

Primero debe verificar un dominio. Consulte Verificar un dominio federado.

Si desea añadir OpenID Connect como un proveedor de identidad, debe hacer lo siguiente:

  • Configure su proveedor de identidad para que Sophos Central pueda verificar a administradores.
  • Asegúrese de que su proveedor de identidad acepta las solicitudes de autorización de Sophos Central.
  • Proporciónenos la información que necesitamos para comunicarnos con su proveedor de identidad. La información necesaria es la siguiente:

    • ID de cliente
    • Emisor
    • Estación de trabajo de autorización
    • URL de JWKS

Solicitudes de autenticación

Realizamos solicitudes de autenticación de flujo de concesión implícito a un proveedor de identidad de OIDC. No solicitamos códigos de acceso mediante flujo implícito. La configuración de integración de aplicaciones para su proveedor de identidad debe aceptar las siguientes solicitudes OAUTH con una devolución de llamada a https://federation.sophos.com/login/callback.

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Configurar Okta como un proveedor de identidad

Si desea añadir Okta como su proveedor de identidad, debe hacer lo siguiente:

  • Configure una aplicación de flujo implícito de OIDC (OpenID Connect) para utilizarla con Sophos Central.
  • Obtenga la información que necesitamos para comunicarnos con Okta.

Configurar una integración de aplicaciones para Sophos Central

Le recomendamos que lea la documentación de Okta para obtener más información sobre cómo configurar las integraciones de aplicaciones de Okta. Consulte la ayuda de Okta: Resumen del registro de usuarios.

Nota

Estas instrucciones ofrecen una descripción general de cómo configurar una integración de aplicaciones para Sophos Central en Okta.

Para configurar una integración de aplicaciones, haga lo siguiente:

  1. Inicie sesión en su cuenta de Okta.
  2. Vaya a Applications.
  3. Haga clic en Create App Integration.

    Crear una integración de aplicaciones.

  4. Haga clic en OIDC – OpenID Connect.

    OpenID Connect.

  5. Haga clic en Single-Page Application.

    Crear una integración de aplicaciones.

  6. Haga clic en Next.

  7. Dé un nombre a la integración de aplicaciones.

    Debe darle un nombre único. Por ejemplo, "Sophos Central SSO 1".

  8. En Grant type, elija Implicit hybrid.

  9. En Sign-in redirect URIs, introduzca https://federation.sophos.com/login/callback.

    Esto autoriza las solicitudes de autenticación de Sophos Central.

    URL de devolución de llamada.

  10. Haga clic en Save.

  11. Seleccione la aplicación Sophos Central y haga clic en General Settings.

    • Active Allow ID Token with implicit grant type.

      Token ID.

Obtener la información que necesita para añadir Okta como su proveedor de identidad

Para obtener la información, haga lo siguiente:

  1. Necesita saber su dominio de autorización de Okta. Haga lo siguiente para averiguarla:

    1. Vaya a Customizations y haga clic en Domain.
    2. Busque Custom URL Domain.
    3. Busque Configured Custom Domain y tome nota del mismo.

      Esta información se introduce en Issuer cuando se configura Okta en Sophos Central Enterprise.

      Dominio personalizado configurado.

      Esta captura de pantalla muestra un dominio de ejemplo. login.pennitest.net.

      También puede utilizar esta información para obtener los valores de Authz endpoint y JWKS URL.

  2. Authz endpoint y JWKS URL se derivan del dominio de autorización.

    • Authz endpoint es el dominio de autorización y una ruta estándar que termina en authorize. La ruta completa sigue este formato: https://{$Issuer}/oauth2/v1/authorize. Para obtener ayuda sobre cómo encontrar su Authz endpoint, vea authorize.

      Utilizando el dominio de ejemplo, Authz endpoint es https://login.pennitest.net/oauth2/v1/authorize.

    • JWKS URL es el dominio de autorización y una ruta estándar que termina en keys. La ruta completa sigue este formato: https://{$Issuer}/oauth2/v1/keys. Para obtener ayuda para encontrar su URL JWKS, consulte keys.

      Utilizando el dominio de ejemplo, JWKS URL es https://login.pennitest.net/oauth2/v1/keys.

  3. Vaya a Applications y haga clic en Applications.

  4. Seleccione su aplicación Sophos Central.
  5. Busque Client Credentials.

    1. Averigüe el Client ID. Anótelo ya que lo necesita para configurar Okta como su proveedor de identidad.

Ahora puede añadir Okta como un proveedor de identidad. Consulte Añadir un proveedor de identidad.

Utilizar Google Workspace como un proveedor de identidad

Le recomendamos que lea las siguientes páginas de ayuda de Google: