Configurazione di Microsoft Entra ID (Azure AD) per permettere agli utenti di accedere con il proprio UPN

È possibile configurare Microsoft Entra ID (Azure AD) in modo da permettere agli utenti di accedere utilizzando il proprio nome dell’entità utente (User Principal Name, UPN), se è diverso dall’indirizzo e-mail.

Questa è la procedura da seguire:

1. Configurare Microsoft Entra ID (Azure AD) nel portale di Azure.
2. Aggiungere Microsoft Entra ID (Azure AD) come provider di identità in Sophos Central.

Configurazione di Microsoft Entra ID (Azure AD) nel portale di Azure

Per configurare Microsoft Entra ID (Azure AD) nel portale di Azure, è necessario procedere come segue:

1. Creare un'applicazione Azure.
2. Configurare l’autenticazione per l’applicazione.
3. Impostare la configurazione dei token.
4. Assegnare le autorizzazioni dell’applicazione.

Creazione di un’applicazione Azure.

Procedere come segue:

1. Accedere al portale Azure.
2. Cercare App registrations.

3. Nel riquadro sulla sinistra, cliccare su Registrazioni per l’app.

   

4. Nel riquadro sulla destra, cliccare su Nuova registrazione.

   

5. Immettere il nome che si desidera attribuire all'applicazione.

6. Sotto Tipi di account supportati, selezionare Solo account in questa directory organizzativa (solo directory predefinita - Singolo tenant).

   

7. In URI di reindirizzamento (opzionale), selezionare *Applicazione a pagina singola (Single-Page Application, SPA)* e immettere https://federation.sophos.com/login/callback.

   

8. Cliccare su Registra.

Configurazione dell’autenticazione per l’applicazione

Procedere come segue:

1. Nell’applicazione creata, cliccare su Autenticazione.
2. In Flussi di concessione implicita e ibridi, selezionare Token ID (usati per i flussi impliciti e ibridi).
3. Sotto Tipi di account supportati, selezionare Solo account in questa directory organizzativa (solo directory predefinita - Singolo tenant).

4. Cliccare su Salva.

   

Impostazione della configurazione dei token

Procedere come segue:

1. Nell’applicazione creata, cliccare su Configurazione dei token.
2. Sotto Attestazioni facoltative, cliccare su Aggiungi un’attestazione facoltativa.

3. Sotto Tipo di token, selezionare ID e successivamente E-mail.

   

4. Cliccare su Aggiungi.

5. Nel messaggio popup, cliccare su *Turn on the Microsoft Graph email permission* (Attiva autorizzazione e-mail di Microsoft Graph).

   

6. Cliccare su Aggiungi.

Assegnazione delle autorizzazioni dell’applicazione

Procedere come segue:

1. Nell’applicazione creata, cliccare su Autorizzazioni API.

2. Sotto Autorizzazioni configurate, cliccare su Concedi consenso amministratore per <account>.

   

3. Cliccare su Sì.

Aggiunta di Microsoft Entra ID (Azure AD) come provider di identità in Sophos Central

Procedere come segue:

1. In Sophos Central, aprire Impostazioni globali > Provider di identità federati.

   

2. Cliccare su Aggiungi provider di identità.

3. Inserire un Nome e una Descrizione.
4. Cliccare su Tipo e selezionare OpenID Connect.
5. Cliccare su Vendor e selezionare Microsoft Entra ID (Azure AD).
6. Saltare il Passaggio A: Configura OpenID Connect, perché è già stato configurato Microsoft Entra ID (Azure AD) nel portale di Azure.

7. Per il Passaggio B: Configura impostazioni di OpenID Connect, procedere come segue:

   1. Per ID client, immettere l’ID client dell’applicazione creata su Azure.

      Per trovarlo, procedere come segue:

      1. Nel portale di Azure, aprire Registrazioni app.
      2. Selezionare l’applicazione creata.
      3. Copiare l’ID riportato in ID applicazione (client) e incollarlo in ID client su Sophos Central.

   2. Per Autorità di certificazione, immettere il seguente URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Sostituire <tenantId> con l’ID tenant della propria istanza Azure.

      Per trovarlo, procedere come segue:

      1. Nel portale di Azure, aprire Registrazioni app.
      2. Selezionare l’applicazione creata.
      3. Copiare l’ID riportato in ID directory (tenant) e sostituirlo a <tenantId> nell’URL.

   3. Per *Authz endpoint* (Endpoint autorizzati), immettere il seguente URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Sostituire <tenantId> con l’ID tenant copiato nel passaggio B.

   4. Per URL JWKS, immettere il seguente URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Sostituire <tenantId> con l’ID tenant copiato nel passaggio B.

   

8. Cliccare su Seleziona un dominio e scegliere il proprio dominio.

   È possibile aggiungere più di un dominio. È possibile associare un solo utente a un dominio.

9. Selezionare se si desidera attivare l’MFA implementata dal provider di identità.. Selezionare una delle seguenti opzioni:

   • MFA implementata dal provider di identità
   • Nessuna MFA implementata dal provider di identità

10. Cliccare su Salva.

Flusso di lavoro di accesso

Di seguito viene indicato come utenti e amministratori accedono utilizzando il proprio UPN:

1. Utenti e amministratori accedono con l’indirizzo e-mail a loro associato in Sophos Central.

   

2. Viene visualizzata una schermata, che varia a seconda delle selezioni effettuate nelle Impostazioni di accesso Sophos.

   • Se è stata selezionata l’opzione Credenziali di Sophos Central Admin o di accesso federato in Impostazioni globali > Impostazioni di accesso Sophos, verrà visualizzata una schermata che permette di accedere con entrambe le opzioni.

     

     Per accedere utilizzando l’UPN, gli utenti dovranno procedere come segue:

     1. Cliccare su Accedi con SSO.

        Verrà visualizzata la pagina di accesso a Microsoft Azure.

     2. Inserire l’UPN e la password.

   • Se è stata selezionata l’opzione Solo credenziali di accesso federato in Impostazioni globali > Impostazioni di accesso Sophos, verrà visualizzata la pagina di accesso di Microsoft Azure, nella quale possono immettere l’UPN e la password.