Configurar Microsoft Entra ID (Azure AD) para permitir a los usuarios iniciar sesión con su UPN

Puede configurar Microsoft Entra ID (Azure AD) para permitir que los usuarios inicien sesión con su nombre principal de usuario (UPN) si es diferente de su dirección de correo electrónico.

Debe hacer lo siguiente:

1. Configurar Microsoft Entra ID (Azure AD) en el portal de Azure.
2. Añadir Microsoft Entra ID (Azure AD) como proveedor de identidad en Sophos Central.

Configurar Microsoft Entra ID (Azure AD) en el portal de Azure

Para configurar Microsoft Entra ID (Azure AD) en el portal de Azure, debe hacer lo siguiente:

1. Crear una aplicación de Azure.
2. Configurar la autenticación para la aplicación.
3. Configurar el token.
4. Asignar los permisos de aplicaciones.

Crear una aplicación de Azure

Haga lo siguiente:

1. Inicie sesión en el portal de Azure.
2. Busque App registrations.

3. En el panel de la izquierda, haga clic en Registros de aplicaciones.

   

4. En el panel derecho, haga clic en Nuevo registro.

   

5. Introduzca el nombre de la aplicación.

6. En Tipos de cuentas compatibles, seleccione Solo las cuentas de este directorio organizativo (Solo directorio predeterminado - Inquilino único).

   

7. En URI de redirección (opcional), seleccione Aplicación de página única (SPA) e introduzca https://federation.sophos.com/login/callback.

   

8. Haga clic en Registrar.

Configurar la autenticación para la aplicación

Haga lo siguiente:

1. En la aplicación que ha creado, haga clic en Autenticación.
2. En Flujos híbridos y de concesión implícita, seleccione Tokens de id. (para flujos híbridos e implícitos).
3. En Tipos de cuentas compatibles, seleccione Solo las cuentas de este directorio organizativo (Solo directorio predeterminado - Inquilino único).

4. Haga clic en Guardar.

   

Configurar el token

Haga lo siguiente:

1. En la aplicación que ha creado, haga clic en Configuración del token.
2. En Notificaciones opcionales, haga clic en Agregar notificación opcional.

3. En Tipo de token, seleccione Id. y, a continuación, Correo electrónico.

   

4. Haga clic en Añadir.

5. En el mensaje emergente, haga clic en Activar el permiso de correo electrónico de Microsoft Graph.

   

6. Haga clic en Añadir.

Asignar los permisos de aplicaciones

Haga lo siguiente:

1. En la aplicación que ha creado, haga clic en Permisos de API.

2. En Permisos configurados, haga clic en Conceder consentimiento del administrador para <account>.

   

3. Haga clic en Sí.

Añadir Microsoft Entra ID (Azure AD) como proveedor de identidad en Sophos

Haga lo siguiente:

1. En Sophos Central, vaya a Configuración global > Proveedores de identidad federados.

   

2. Haga clic en Añadir proveedor de identidad.

3. Especifique un Nombre y una Descripción.
4. Haga clic en Tipo y seleccione OpenID Connect.
5. Haga clic en Proveedor y seleccione Microsoft Entra ID (Azure AD).
6. Omita el Paso A: Configurar OpenID Connect porque ya ha configurado Microsoft Entra ID (Azure AD) en el portal de Azure.

7. Para el Paso B: Configurar los ajustes de OpenID Connect, haga lo siguiente:

   1. En Id. de cliente, introduzca el ID de cliente de la aplicación que creó en Azure.

      Haga lo siguiente para averiguarlo:

      1. En el portal de Azure, vaya a Registros de aplicaciones.
      2. Seleccione la aplicación que ha creado.
      3. Copie el ID en Id. de aplicación (cliente) y péguelo en ID de cliente en Sophos Central.

   2. En Emisor, introduzca la siguiente dirección URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Reemplace <tenantId> por el ID de inquilino de su instancia Azure.

      Haga lo siguiente para averiguarlo:

      1. En el portal de Azure, vaya a Registros de aplicaciones.
      2. Seleccione la aplicación que ha creado.
      3. Copie el ID en Id. de directorio (inquilino) y sustituya <tenantId> por él en la URL.

   3. Para Punto de conexión de autorización, introduzca la siguiente dirección URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Sustituya <tenantId> por el ID de inquilino que copió en el paso b.

   4. Para URL de JWKS, introduzca la siguiente URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Sustituya <tenantId> por el ID de inquilino que copió en el paso b.

   

8. Haga clic en Seleccionar un dominio y elija su dominio.

   Puede añadir más de un dominio. Solamente puede asociar un usuario a un dominio.

9. Seleccione si desea activar la MFA aplicada por el IDP. Seleccione una de estas opciones:

   • El proveedor de identidad ha aplicado la autenticación multifactor
   • El proveedor de identidad no aplica la autenticación multifactor

10. Haga clic en Guardar.

Flujo de trabajo de inicio de sesión

A continuación se muestra cómo inician sesión con su UPN los usuarios y administradores:

1. Los usuarios y administradores inician sesión con su dirección de correo electrónico asociada en Sophos Central.

   

2. Se muestra una pantalla en función de las opciones seleccionadas en Configuración de inicio de sesión de Sophos.

   • Si ha seleccionado Credenciales federadas o de Sophos Central Admin en Configuración global > Configuración de inicio de sesión de Sophos, se mostrará una pantalla que les permitirá iniciar sesión con cualquiera de las dos opciones.

     

     Para iniciar sesión con UPN, deben hacer lo siguiente:

     1. Hacer clic en Iniciar sesión con SSO.

        Se muestra la página de inicio de sesión de Microsoft Azure.

     2. Indicar el nombre de usuario y la contraseña.

   • Si ha seleccionado Solo credenciales federadas en Configuración global > Configuración de inicio de sesión de Sophos, se mostrará la página de inicio de sesión de Microsoft Azure, donde pueden introducir el UPN y la contraseña.