Pular para o conteúdo

Usar o OpenID Connect como um provedor de identidade

Você pode configurar o login único iniciado pelo provedor de serviços com provedores de identidade OpenID Connect (OIDC).

Requisitos

Você precisa ser um Partner Super Admin.

Alerta

Se você quiser usar o início de sessão federado como a sua opção de login, certifique-se de que todos os seus administradores estejam atribuídos a um domínio e tenham um provedor de identidade.

Você deve verificar um domínio primeiro. Consulte Verificar um domínio federado.

Se você quiser adicionar o OpenID Connect como um provedor de identidade, faça o seguinte:

  • Configure seu provedor de identidade para permitir que o Sophos Central verifique administradores.
  • Certifique-se de que o seu provedor de identidade aceita solicitações de autorização do Sophos Central.
  • Forneça as informações de que precisamos para nos comunicarmos com o seu provedor de identidade. Precisamos das seguintes informações:

    • ID do cliente
    • Emissor
    • Endpoint autorizado
    • URL de JWKS

Solicitações de autenticação

Fazemos solicitações de autenticação de fluxo de concessão implícito a um provedor de identidade OIDC. Não solicitamos códigos de acesso usando fluxo implícito. Suas configurações de integração de aplicativos para o seu provedor de identidade devem aceitar as seguintes solicitações OAUTH com o callback a https://federation.sophos.com/login/callback.

GET ?/oauth2/v1/authorize

<client_id> xxxxxxxxxxxxxxxxxxxxxxxxxx </client_id>
<scope>openid profile email</scope>
<response_type>id_token</response_type>
<redirect_uri>https://federation.sophos.com/login/callback</redirect_uri>
<login_hint> xxxxxxxxxxxxxxxxxxxxxxxxxx </login_hint>
<response_mode>form_post</response_mode>
<nonce> xxxxxxxxxxxxxxxxxxxxxxxxxx </nonce>
<state>xxxxxxxxxxxxxxxxxxxxxxxxxx</state>"

Configurar o Okta como um provedor de identidade

Se você quiser adicionar o Okta como um provedor de identidade, faça o seguinte:

  • Configure um aplicativo OIDC (OpenID Connect) implícito para usar com o Sophos Central.
  • Obtenha as informações de que precisamos para nos comunicarmos com o Okta.

Configurar a integração de um aplicativo para o Sophos Central

Recomendamos que você leia a documentação do Okta para obter mais informações sobre como configurar integrações de aplicativos Okta. Consulte a ajuda do Okta, Sign users in to your web application.

Nota

Estas instruções fornecem uma visão geral de como configurar a integração de um aplicativo do Sophos Central no Okta.

Para configurar uma integração de aplicativo, siga este procedimento:

  1. Faça login na sua conta do Okta.
  2. Vá para Applications.
  3. Clique em Create App Integration.

    Criar integração de aplicativo.

  4. Clique em OIDC – OpenID Connect.

    OpenID Connect.

  5. Clique em Single-Page Application.

    Criar integração de aplicativo.

  6. Clique em Avançar.

  7. Dê um nome à integração de aplicativo.

    O nome deve ser exclusivo. Por exemplo, "Sophos Central SSO 1".

  8. Em Grant type, escolha Implicit hybrid.

  9. Em Sign-in redirect URIs, insira https://federation.sophos.com/login/callback.

    Isso autoriza solicitações de autenticação do Sophos Central.

    URL de callback.

  10. Clique em Salvar.

  11. Selecione o aplicativo Sophos Central e clique em General Settings.

    • Ative Allow ID Token with implicit grant type.

      Token de ID.

Obter as informações necessárias para adicionar o Okta como seu provedor de identidade

Para obter as informações, faça o seguinte:

  1. Você precisa saber o seu domínio de autorização do Okta. Para localizá-lo, siga este procedimento:

    1. Vá para Customizations e clique em Domain.
    2. Procure Custom URL Domain.
    3. Localize Configured Custom Domain e anote o domínio.

      Essas informações são inseridas no Emissor quando você configura o Issuer do Okta no Sophos Central Partner.

      Domínio personalizado configurado.

      Esta captura de tela mostra um domínio de exemplo. login.pennitest.net.

      Você também usa essas informações para obter os valores Authz endpoint do endpoint autorizado e JWKS URL.

  2. Authz endpoint e JWKS URL são derivados do seu domínio de autorização.

    • Authz endpoint é o seu domínio de autorização e um caminho padrão que termina em authorize. O caminho completo segue este formato: https://{$Issuer}/oauth2/v1/authorize. Para obter ajuda para localizar o seu Authz endpoint, consulte authorize.

      Usando o domínio de exemplo, Authz endpoint é https://login.pennitest.net/oauth2/v1/authorize.

    • JWKS URL é o seu domínio de autorização e um caminho padrão que termina em keys. O caminho completo segue este formato: https://{$Issuer}/oauth2/v1/keys. Para obter ajuda para localizar o seu JWKS URL, consulte keys.

      Usando o domínio de exemplo, JWKS URL é https://login.pennitest.net/oauth2/v1/keys.

  3. Vá para Applications e clique em Applications.

  4. Selecione o seu aplicativo Sophos Central.
  5. Procure por Client Credentials.

    1. Localize o seu Client ID. Anote-o, pois ele será necessário para configurar o Okta como o seu provedor de identidade.

Agora você pode adicionar o Okta como um provedor de identidade. Consulte Adicionar um provedor de identidade.

Usar o Google Workspace como um provedor de identidade

Recomendamos que você leia as seguintes páginas da ajuda do Google: