Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=SSO-Azure-AD

Utilizar Microsoft Entra ID como proveedor de identidad

Puede utilizar su instancia de Microsoft Entra ID para comprobar las identidades de sus administradores y usuarios cuando inicien sesión en productos de Sophos Central. Para ello, debe añadir Microsoft Entra ID como proveedor de identidad.

Si desea utilizar Microsoft Entra ID como proveedor de identidad, busque su ID de inquilino para la instancia de Microsoft Entra ID. Necesitamos esto para verificar a sus usuarios y administradores.

Requisitos

Primero debe verificar un dominio. Consulte Verificar un dominio federado.

Usted debe ser un superadministrador.

Aviso

Si desea utilizar el inicio de sesión federado como opción de inicio de sesión, debe asegurarse de que todos los administradores y los usuarios estén asignados a un dominio y tengan un proveedor de identidad.

Debe hacer lo siguiente para poder añadir Microsoft Entra ID como proveedor de identidad:

  • Asegurarse de tener una cuenta de Microsoft Entra ID con Microsoft. Microsoft Entra ID es el servicio de gestión de acceso e identidad basado en la nube de Microsoft.
  • Obtenga el consentimiento y la autorización de su administrador de Microsoft Entra ID para usar Microsoft Entra ID de su organización con Sophos Central.
  • Asegurarse de tener una cuenta de Sophos Central que coincida con su cuenta de Microsoft Entra ID (los correos electrónicos deben coincidir).

Configurar Microsoft Entra ID en el portal de Azure

Para configurar Microsoft Entra ID en el portal de Azure, debe hacer lo siguiente:

  1. Crear una aplicación de Azure.
  2. Configurar la autenticación para la aplicación.
  3. Configurar el token.
  4. Asignar los permisos de aplicaciones.

Crear una aplicación de Azure

Para crear una aplicación de Azure, haga lo siguiente:

  1. Inicie sesión en el portal de Azure.
  2. Busque App registrations.

  3. En el panel de la izquierda, haga clic en Registros de aplicaciones.

    Ruta a Registros de aplicaciones.

  4. En el panel derecho, haga clic en Nuevo registro.

    Opción Nuevo registro.

  5. Introduzca el nombre de la aplicación.

  6. En Tipos de cuentas compatibles, seleccione Solo las cuentas de este directorio organizativo (Solo directorio predeterminado - Inquilino único).

    Tipos de cuenta admitidos.

  7. En URI de redirección (opcional), seleccione Aplicación de página única (SPA) e introduzca https://federation.sophos.com/login/callback.

    Opción URI de redirección.

  8. Haga clic en Registrar.

Configurar la autenticación para la aplicación

Para configurar la autenticación para la aplicación, haga lo siguiente:

  1. En la aplicación que ha creado, haga clic en Autenticación.
  2. En Flujos híbridos y de concesión implícita, seleccione Tokens de id. (para flujos híbridos e implícitos).
  3. En Tipos de cuentas compatibles, seleccione Solo las cuentas de este directorio organizativo (Solo directorio predeterminado - Inquilino único).

  4. Haga clic en Guardar.

    Flujos híbridos y de concesión implícita.

Configurar el token

Para configurar el token, haga lo siguiente:

  1. En la aplicación que ha creado, haga clic en Configuración del token.
  2. En Notificaciones opcionales, haga clic en Agregar notificación opcional.

  3. En Tipo de token, seleccione Id. y, a continuación, Correo electrónico.

    Opciones del tipo de token.

  4. Haga clic en Añadir.

  5. En el mensaje emergente, haga clic en Activar el permiso de correo electrónico de Microsoft Graph.

    Permiso de correo electrónico.

  6. Haga clic en Añadir.

Asignar los permisos de aplicaciones

Para asignar permisos de aplicaciones, haga lo siguiente:

  1. En la aplicación que ha creado, haga clic en Permisos de API.

  2. En Permisos configurados, haga clic en Conceder consentimiento del administrador para <account>.

    Permisos de aplicaciones.

  3. Haga clic en .

Consentimiento para Microsoft Entra ID

Un administrador de Microsoft Entra ID debe dar su consentimiento (permiso) para usar las credenciales almacenadas en el inquilino de Microsoft Entra ID de su organización para iniciar sesión en Sophos Central.

Este consentimiento se aplica a todos los productos de Sophos Central.

Cuando un administrador de Microsoft Entra ID da su consentimiento, significa que su inquilino de Microsoft Entra ID confía en Sophos Central y que puede añadir Microsoft Entra ID como proveedor de identidad.

Para obtener ayuda sobre la concesión del consentimiento en Microsoft Entra ID, consulte Experiencia de consentimiento para aplicaciones en Microsoft Entra ID.

Averiguar el ID de inquilino

Debe conocer el ID de inquilino para poder añadir Microsoft Entra ID como proveedor de identidad.

Para localizar el ID de inquilino, haga lo siguiente:

  1. En el menú del portal Microsoft Azure, seleccione Microsoft Entra ID. Aparece la página Información general.

  2. En la sección Información básica, busque su ID de inquilino. Este es el ID del dominio de inquilino.

    Deberá introducirlo cuando configure Microsoft Entra ID como proveedor de identidad.

Para añadir Microsoft Entra ID como proveedor de identidad, consulte estos temas:

Configurar Microsoft Entra ID como proveedor de identidad en Sophos

Ahora puede utilizar Microsoft Entra ID como proveedor de identidad.

Para ello, haga lo siguiente:

  1. En Sophos Central, vaya a Configuración global > Proveedores de identidad federados.

    Ruta de Proveedores de identidad federados.

  2. Haga clic en Añadir proveedor de identidad.

  3. Especifique un Nombre y una Descripción.
  4. Haga clic en Tipo y seleccione OpenID Connect.
  5. Haga clic en Proveedor y seleccione Microsoft Entra ID.
  6. Omita el Paso A: Configurar OpenID Connect porque ya ha configurado Microsoft Entra ID en el portal de Azure.

  7. Para el Paso B: Configurar los ajustes de OpenID Connect, haga lo siguiente:

    1. En Id. de cliente, introduzca el ID de cliente de la aplicación que creó en Azure.

      Haga lo siguiente para averiguarlo:

      1. En el portal de Azure, vaya a Registros de aplicaciones.
      2. Seleccione la aplicación que ha creado.
      3. Copie el ID en Id. de aplicación (cliente) y péguelo en ID de cliente en Sophos Central.

    2. En Emisor, introduzca la siguiente dirección URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Reemplace <tenantId> por el ID de inquilino de su instancia Azure.

      Haga lo siguiente para averiguarlo:

      1. En el portal de Azure, vaya a Registros de aplicaciones.
      2. Seleccione la aplicación que ha creado.
      3. Copie el ID en Id. de directorio (inquilino) y sustituya <tenantId> por él en la URL.

    3. Para Punto de conexión de autorización, introduzca la siguiente dirección URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Sustituya <tenantId> por el ID de inquilino que copió en el paso b.

    4. Para URL de JWKS, introduzca la siguiente URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Sustituya <tenantId> por el ID de inquilino que copió en el paso b.

    Paso B: Configurar las opciones de OpenID Connect.

  8. Haga clic en Seleccionar un dominio y elija su dominio.

    Puede añadir más de un dominio. Solamente puede asociar un usuario a un dominio.

  9. Seleccione si desea activar la MFA aplicada por el IDP. Seleccione una de estas opciones:

    • El proveedor de identidad ha aplicado la autenticación multifactor
    • El proveedor de identidad no aplica la autenticación multifactor

  10. Haga clic en Guardar.

Ahora puede añadir Microsoft Entra ID como proveedor de identidad. Consulte Añadir el proveedor de identidad (Entra ID/Open IDC/ADFS).

Configurar Microsoft Entra ID para permitir a los usuarios iniciar sesión con su UPN

Puede configurar Microsoft Entra ID para permitir que los usuarios inicien sesión con su nombre principal de usuario (UPN) si es diferente de su dirección de correo electrónico.

Para iniciar sesión con su UPN, haga lo siguiente:

  1. Los usuarios y administradores inician sesión con su dirección de correo electrónico asociada en Sophos Central.

    Pantalla de inicio de sesión de Sophos.

  2. Verán una pantalla en función de las opciones seleccionadas en Configuración de inicio de sesión de Sophos.

    • Si seleccionó Credenciales federadas o de Sophos Central Admin en Mis productos > Configuración general > Configuración de inicio de sesión de Sophos, los usuarios y administradores pueden iniciar sesión con cualquiera de las opciones.

      Inicio de sesión con correo electrónico y contraseña de Sophos Admin o SSO.

      Para iniciar sesión con UPN, deben hacer lo siguiente:

      1. Hacer clic en Iniciar sesión con SSO.

        Se muestra la página de inicio de sesión de Microsoft Azure.

      2. Indicar el nombre de usuario y la contraseña.

    • Si ha seleccionado Solo credenciales federadas en Mis productos > Configuración general > Configuración de inicio de sesión de Sophos, se mostrará la página de inicio de sesión de Microsoft Azure, donde pueden introducir el UPN y la contraseña.