コンテンツにスキップ

OpenID Connect を IdP として使用する方法

OpenID Connect (OIDC) IdP を使用して、サービスプロバイダーによって開始されるシングルサインオンを設定できます。

要件

エンタープライズスーパー管理者である必要があります。

警告

フェデレーション サインインをサインインのオプションとして使用する場合は、すべての管理者がドメインに割り当てられており、IdP があることを確認する必要があります。

まず、ドメインを検証する必要があります。詳細は、フェデレーションドメインの検証を参照してください。

OpenID Connect を IdP として追加する場合は、次の手順を実行する必要があります。

  • Sophos Central が管理者を検証できるように IdP を設定します。
  • Sophos Central からの承認のリクエストを、IdP が受け入れることを確認します。
  • IdP との通信に必要な情報を提供します。次の情報が必要です。

    • クライアント ID
    • 発行者
    • 承認済みエンドポイント
    • JWKS URL

認証のリクエスト

ソフォスは OIDC IdP に対して、暗黙的な許可フローの認証のリクエストを行います。暗黙的なフローを使用して、アクセスコードをリクエストすることはありません。使用しているアプリの IdP の統合設定は、https://federation.sophos.com/login/callback へのコールバックのある、次の OAuth リクエストを受け入れる必要があります。

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Okta を IdP として設定する方法

Okta を IdP として追加する場合は、次の手順を実行する必要があります。

  • Sophos Central で使用する OIDC (OpenID Connect) 暗黙的アプリケーションを設定します。
  • Okta との通信に必要な情報を入手します。

Sophos Central のアプリ統合の設定

Okta アプリケーション統合の設定方法の詳細は、Okta ドキュメントを参照することを推奨します。詳細は、Okta のヘルプのユーザーのサインインの概要を参照してください。

ここでは、Okta で Sophos Central のアプリ統合を設定する方法の概要について説明しています。

アプリ統合を設定するには、次の手順を実行します。

  1. Okta アカウントにサインインします。
  2. Applications」を参照します。
  3. Create App Integration」をクリックします。

    アプリ統合の作成。

  4. OIDC – OpenID Connect」をクリックします。

    OpenID Connect。

  5. Single-Page Application」をクリックします。

    アプリ統合の作成。

  6. 次へ」をクリックします。

  7. アプリ統合の名前を入力します。

    一意の名前を入力する必要があります。例: "Sophos Central SSO 1"

  8. Grant type」で、「Implicit hybrid」を選択します。

  9. Sign-in redirect URIs」で、次のように入力します。https://federation.sophos.com/login/callback

    これによって、Sophos Central からの認証リクエストが承認されます。

    コールバック URL。

  10. Save」をクリックします。

  11. Sophos Central アプリケーションを選択し、「General Settings」をクリックします。

    • Allow ID Token with implicit grant type」をオンにします。

      ID トークン。

Okta を IdP として追加するために必要な情報の取得

情報を取得するには、次の手順を実行します。

  1. Okta の承認ドメインを把握する必要があります。これを参照するには、次の手順を実行します。

    1. Customizations」を参照して、「Domain」をクリックします。
    2. Custom URL Domain」を探します。
    3. Configured Custom Domain」を探して、メモします。

      この情報は、Sophos Central Enterprise で Okta を設定する際に、「発行者」に入力します。

      設定済みカスタムドメイン。

      このスクリーンショットは、ドメインの例を示しています: login.pennitest.net

      この情報は、「Authz endpoint」と「JWKS URL」の値を取得するためにも使用します。

  2. Authz endpoint」と「JWKS URL」は、承認ドメインから生成されます。

    • Authz endpoint」は、承認ドメインおよび末尾が authorize の標準パスです。フルパスの形式は次のとおりです。https://{$Issuer}/oauth2/v1/authorize。「承認済みエンドポイント」を参照する方法の詳細は、authorizeを参照してください。

      先ほどのドメインの例を使用すると、「Authz endpoint」は次のようになります: https://login.pennitest.net/oauth2/v1/authorize

    • JWKS URL」は、承認ドメインおよび末尾が keys の標準パスです。フルパスの形式は次のとおりです。https://{$Issuer}/oauth2/v1/keys。「JWKS URL」を参照する方法の詳細は、keysを参照してください。

      先ほどのドメインの例を使用すると、「JWKS URL」は次のようになります: https://login.pennitest.net/oauth2/v1/keys

  3. Applications」を参照し、「Applications」をクリックします。

  4. Sophos Central アプリケーションを選択します。
  5. Client Credentials」を探します。

    1. Client ID」を探します。これは、Okta を IdP として設定するために必要となるのでメモします。

これで、Okta を IdP として追加できます。詳細は、IdP の追加を参照してください。

Google Workspace を IdP として使用する方法

次の Google ヘルプページを参照することを推奨します。