Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=SSO-Azure-AD

Utiliser Microsoft Entra ID en tant que fournisseur d’identité

Vous pouvez utiliser votre instance Microsoft Entra ID pour vérifier les identités de vos administrateurs et utilisateurs lorsqu’ils se connectent aux produits Sophos Central. Pour ce faire, vous devez ajouter Microsoft Entra ID en tant que fournisseur d’identité.

Si vous souhaitez utiliser Microsoft Entra ID comme fournisseur d’identité, recherchez votre ID de locataire pour votre instance Microsoft Entra ID. Nous en avons besoin pour vérifier vos utilisateurs et vos administrateurs.

Conditions requises

Veuillez d’abord vérifier un domaine. Voir Vérifier un domaine fédéré.

Vous devez être un super administrateur.

Avertissement

Si vous souhaitez utiliser l’option de connexion fédérée, veuillez-vous assurer que tous vos administrateurs et utilisateurs sont assignés à un domaine et disposent d’un fournisseur d’identité.

Veuillez effectuer les opérations suivantes avant de pouvoir ajouter Microsoft Entra ID en tant que fournisseur d’identité :

  • Assurez-vous d’avoir un compte Microsoft Entra ID avec Microsoft. Microsoft Entra ID est le service de gestion Cloud des identités et des accès de Microsoft.
  • Obtenez le consentement et l’autorisation de votre administrateur Microsoft Entra ID pour utiliser l’annuaire Microsoft Entra ID de votre organisation avec Sophos Central.
  • Assurez-vous d’avoir un compte Sophos Central correspondant à votre compte Microsoft Entra ID (les emails doivent correspondre).

Configurer Microsoft Entra ID dans le portail Azure

Pour configurer Microsoft Entra ID dans le portail Azure, procédez de la manière suivante :

  1. Créez une application Azure.
  2. Configurez l’authentification pour l’application.
  3. Configurer le jeton.
  4. Assigner les autorisations d’application.

Créer une application Azure

Pour créer une application Azure, procédez comme suit :

  1. Connectez-vous à votre portail Azure.
  2. Rechercher App registrations.

  3. Dans le volet de gauche, cliquez sur Inscription des applications.

    Chemin d’accès à l’inscription des applications.

  4. Dans le volet de droite, cliquez sur Nouvelle inscription.

    L’option Nouvelle inscription.

  5. Nommez l’application.

  6. Sous Types de compte pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Client unique).

    Types de compte pris en charge.

  7. Sous URI de redirection (facultatif), sélectionnez Application monopage (SPA) et saisissez https://federation.sophos.com/login/callback.

    Option de redirection de l’URI.

  8. Cliquez sur Inscrire.

Configurer l’authentification pour l’application

Pour configurer l’authentification dans l’application, procédez comme suit :

  1. Dans l’application que vous avez créée, cliquez sur Authentification.
  2. Sous Privilèges implicites et flux hybrides, sélectionnez Jetons d’ID (utilisés pour les flux implicites et hybrides).
  3. Sous Types de compte pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement (Client unique).

  4. Cliquez sur Enregistrer.

    Privilèges implicites et flux hybrides.

Configurer le jeton

Pour configurer le jeton, procédez comme suit :

  1. Dans l’application que vous avez créée, cliquez sur Configuration du jeton.
  2. Sous Revendications facultatives, cliquez sur Ajouter une revendication facultative.

  3. Sous Type de jeton, sélectionnez ID puis sélectionnez Email.

    Options de type de jeton.

  4. Cliquez sur Ajouter.

  5. Dans le message contextuel, cliquez sur Activer les autorisations liées à la messagerie pour Microsoft Graph.

    Autorisations liées à la messagerie.

  6. Cliquez sur Ajouter.

Assigner les autorisations liées aux applications

Pour assigner vos autorisations d’application, procédez comme suit :

  1. Dans l’application que vous avez créée, cliquez sur Autorisations API.

  2. Sous Autorisations configurées, cliquez sur Accorder le consentement administrateur pour le <compte>.

    Autorisations liées aux applications.

  3. Cliquez sur Oui.

Accord Microsoft Entra ID

Un administrateur Microsoft Entra ID doit autoriser l’utilisation des codes d’accès stockés dans le locataire Microsoft Entra ID de votre entreprise pour se connecter à Sophos Central.

Ce consentement s’applique à tous les produits Sophos Central.

Lorsque l’administrateur Microsoft Entra ID a donné son accord, votre locataire Microsoft Entra ID fait confiance à Sophos Central et vous pouvez ajouter Microsoft Entra ID en tant que fournisseur d’identité.

Retrouvez plus de renseignements sur l’octroi d’autorisation dans Azure sur Comprendre les expériences de consentement pour l’application Microsoft Entra ID.

Rechercher votre ID de locataire

Vous devez connaître l’ID du locataire avant de pouvoir ajouter Microsoft Entra ID en tant que fournisseur d’identité :

Pour trouver l’ID du locataire, procédez comme suit :

  1. Dans le menu du portail Microsoft Azure, sélectionnez Microsoft Entra ID. La page Vue générale apparaît.

  2. Dans la section Informations de base, recherchez votre ID de locataire. Il s’agit de l’ID de votre domaine locataire.

    Vous devez le saisir lorsque vous définissez Microsoft Entra ID en tant que fournisseur d’identité.

Pour ajouter Microsoft Entra ID comme fournisseur d’identité dans Sophos Central, consultez les sections suivantes :

Définir Microsoft Entra ID comme fournisseur d’identité dans Sophos Central

Vous pouvez utiliser Microsoft Entra ID en tant que fournisseur d’identité

Procédez comme suit :

  1. Dans Sophos Central, allez dans Paramètres généraux > Fournisseurs d’identité fédérés.

    Chemin d'accès aux fournisseurs d’identité fédérés.

  2. Cliquez sur Ajouter un fournisseur d’identité.

  3. Saisissez un Nom et une Description.
  4. Cliquez sur Type et sélectionnez OpenID Connect.
  5. Cliquez sur Fournisseur et choisissez Microsoft Entra ID.
  6. Ignorer l’Étape A : Configurer OpenID Connect car vous avez à installé Microsoft Entra ID dans le portail Azure.

  7. Pour l’Étape B : Configurer les paramètres OpenID Connect comme indiqué ci-dessous :

    1. Dans le champ ID client, saisissez l’ID client de l’application que vous avez créée dans Azure.

      Pour le trouver, procédez comme suit :

      1. Dans le portail Azure, allez dans Inscription des applications
      2. Sélectionnez l’application que vous avez créée.
      3. Copiez l’ID dans ID de l’application (client) et collez-la dans ID du client dans Sophos Central.

    2. Pour Émetteur, saisissez l’URL suivante :

      https://login.microsoftonline.com/<tenantId>/v2.0

      Remplacez <tenantId> par l’ID du locataire de votre instance Azure.

      Pour le trouver, procédez comme suit :

      1. Dans le portail Azure, allez dans Inscription des applications
      2. Sélectionnez l’application que vous avez créée.
      3. Copiez l’ID dans le champ ID du répertoire (locataire) et collez-le à la place de <tenantId> dans l’URL.

    3. Dans le champ Authentifier le terminal, saisissez l’URL suivante :

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Remplacez <tenantId> par l’ID du locataire que vous avez copié à l’étape b.

    4. Pour l’URL JWKS, saisissez l’URL suivante :

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Remplacez <tenantId> par l’ID du locataire que vous avez copié à l’étape b.

    Étape B : Configurer les paramètres OpenID Connect.

  8. Cliquez sur Sélectionner un domaine et choisissez votre domaine.

    Vous pouvez ajouter plusieurs domaines. Vous pouvez associer seulement un utilisateur par domaine.

  9. Sélectionnez si vous souhaitez activer l’authentification multifacteur appliquée par l’IDP. Procédez de l’une des manières suivantes :

    • Authentification multifacteur appliquée par l’IDP
    • Pas d’authentification multifacteur appliquée par l’IDP.

  10. Cliquez sur Enregistrer.

Vous pouvez maintenant ajouter Microsoft Entra ID comme fournisseur d’identité. Voir Ajouter le fournisseur d’identité (Entra ID/Open IDC/ADFS).

Configurer Microsoft Entra ID pour autoriser les utilisateurs à se connecter par UPN

Vous pouvez configurer Microsoft Entra ID pour autoriser les utilisateurs à se connecter à l’aide de leur Nom principal d’utilisateur (UPN) s’il est différent de leur adresse email.

Pour se connecter à l’aide de l’UPN, procédez de la manière suivante :

  1. Les utilisateurs et les administrateurs se connectent avec l’adresse email associée à leur compte dans Sophos Central.

    Écran de connexion Sophos.

  2. Un écran s’affiche en fonction des sélections dans les Paramètres de connexion Sophos.

    • Si vous avez sélectionné Codes d’accès Sophos Central Admin ou fédérés dans Mes produits > Paramètres généraux > Paramètres de connexion Sophos, vos utilisateurs et administrateurs pourront se connecter avec l’option de leur choix.

      Identification SSO ou connexion par email et mot de passe de l’administrateur Sophos.

      Pour se connecter à l’aide de l’UPN, il doit procéder de la manière suivante :

      1. Cliquer sur Se connecter avec SSO.

        La page de connexion Microsoft Azure s’affiche.

      2. Saisissez l’UPN et le mot de passe.

    • Si vous avez choisi l’option Codes d’accès fédérés uniquement dans Mes produits > Paramètres généraux > Paramètres de connexion Sophos, la page de connexion Microsoft Azure s’affiche et vous permet de saisir l’UPN et le mot de passe.