Configurer Microsoft Entra ID (Azure AD) pour autoriser les utilisateurs à se connecter par UPN
Vous pouvez configurer Microsoft Entra ID (Azure AD) pour autoriser les utilisateurs à se connecter à l’aide de leur Nom principal d’utilisateur (UPN) s’il est différent de leur adresse email.
Procédez de la manière suivante :
- Configurez Microsoft Entra ID (Azure AD) dans le portail Azure.
- Utiliser Microsoft Entra ID (Azure AD) comme fournisseur d’identité dans Sophos Central
Configurer Microsoft Entra ID (Azure AD) dans le portail Azure
Pour configurer Microsoft Entra ID (Azure AD) dans le portail Azure, procédez de la manière suivante :
- Créez une application Azure.
- Configurez l’authentification pour l’application.
- Configurer le jeton.
- Assigner les autorisations d’application.
Créer une application Azure
Procédez comme suit :
- Connectez-vous à votre portail Azure.
- Rechercher
App registrations
. -
Dans le volet de gauche, cliquez sur Inscription des applications.
-
Dans le volet de droite, cliquez sur Nouvelle inscription.
-
Nommez l’application.
-
Sous Types de compte pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Client unique).
-
Sous URI de redirection (facultatif), sélectionnez Application monopage (SPA) et saisissez
https://federation.sophos.com/login/callback
. -
Cliquez sur Inscrire.
Configurer l’authentification pour l’application
Procédez comme suit :
- Dans l’application que vous avez créée, cliquez sur Authentification.
- Sous Privilèges implicites et flux hybrides, sélectionnez Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Sous Types de compte pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Client unique).
-
Cliquez sur Enregistrer.
Configurer le jeton
Procédez comme suit :
- Dans l’application que vous avez créée, cliquez sur Configuration du jeton.
- Sous Revendications facultatives, cliquez sur Ajouter une revendication facultative.
-
Sous Type de jeton, sélectionnez ID puis sélectionnez Email.
-
Cliquez sur Ajouter.
-
Dans le message contextuel, cliquez sur Activer les autorisations liées à la messagerie pour Microsoft Graph.
-
Cliquez sur Ajouter.
Assigner les autorisations liées aux applications
Procédez comme suit :
- Dans l’application que vous avez créée, cliquez sur Autorisations API.
-
Sous Autorisations configurées, cliquez sur Accorder le consentement administrateur pour le <compte>.
-
Cliquez sur Oui.
Utiliser Microsoft Entra ID (Azure AD) comme fournisseur d’identité dans Sophos Central
Procédez comme suit :
-
Dans Sophos Central, allez dans Paramètres généraux > Fournisseurs d’identité fédérés.
-
Cliquez sur Ajouter un fournisseur d’identité.
- Saisissez un Nom et une Description.
- Cliquez sur Type et sélectionnez OpenID Connect.
- Cliquez sur Fournisseur et choisissez Microsoft Entra ID (Azure AD).
- Ignorer l’Étape A : Configurer OpenID Connect car vous avez à installé Microsoft Entra ID (Azure AD) dans le portail Azure.
-
Pour l’Étape B : Configurer les paramètres OpenID Connect comme indiqué ci-dessous :
-
Dans le champ ID client, saisissez l’ID client de l’application que vous avez créée dans Azure.
Pour le trouver, procédez comme suit :
- Dans le portail Azure, allez dans Inscription des applications
- Sélectionnez l’application que vous avez créée.
- Copiez l’ID dans ID de l’application (client) et collez-la dans ID du client dans Sophos Central.
-
Pour Émetteur, saisissez l’URL suivante :
https://login.microsoftonline.com/<tenantId>/v2.0
Remplacez
<tenantId>
par l’ID du locataire de votre instance Azure.Pour le trouver, procédez comme suit :
- Dans le portail Azure, allez dans Inscription des applications
- Sélectionnez l’application que vous avez créée.
- Copiez l’ID dans le champ ID du répertoire (locataire) et collez-le à la place de
<tenantId>
dans l’URL.
-
Dans le champ Authentifier le terminal, saisissez l’URL suivante :
https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize
Remplacez
<tenantId>
par l’ID du locataire que vous avez copié à l’étape b. -
Pour l’URL JWKS, saisissez l’URL suivante :
https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys
Remplacez
<tenantId>
par l’ID du locataire que vous avez copié à l’étape b.
-
-
Cliquez sur Sélectionner un domaine et choisissez votre domaine.
Vous pouvez ajouter plusieurs domaines. Vous pouvez associer seulement un utilisateur par domaine.
-
Sélectionnez si vous souhaitez activer l’authentification multifacteur appliquée par l’IDP. Procédez de l’une des manières suivantes :
- Authentification multifacteur appliquée par l’IDP
- Pas d’authentification multifacteur appliquée par l’IDP.
-
Cliquez sur Enregistrer.
Flux de travail de connexion
Voici comment les utilisateurs et les administrateurs se connectent à l’aide de leur UPN :
-
Les utilisateurs et les administrateurs se connectent avec l’adresse email associée à leur compte dans Sophos Central.
-
Un écran s’affiche en fonction des sélections dans les Paramètres de connexion Sophos.
-
Si vous avez choisi des Codes d’accès Sophos Central Admin ou des codes d’accès fédérés dans Paramètres généraux > Paramètres de connexion Sophos, un écran s’affiche pour leur permettre de se connecter avec l’une ou l’autre des options.
Pour se connecter à l’aide de l’UPN, il doit procéder de la manière suivante :
-
Cliquer sur Se connecter avec SSO.
La page de connexion Microsoft Azure s’affiche.
-
Saisissez l’UPN et le mot de passe.
-
-
Si vous avez choisi l’option Codes d’accès fédérés uniquement dans Paramètres généraux > Paramètres de connexion Sophos, la page de connexion Microsoft Azure s’affiche et vous permet de saisir l’UPN et le mot de passe.
-