Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=SSO-Microsoft-ADFS

Utilizzo di Microsoft AD FS come provider di identità

Microsoft AD FS può essere utilizzato come provider di identità.

È possibile utilizzare Microsoft AD FS per verificare le identità dei propri amministratori e utenti quando effettuano l'accesso ai prodotti Sophos Central. Per eseguire questa operazione è necessario aggiungere Microsoft AD FS come provider di identità.

Requisiti

Occorre avere il ruolo di Super Amministratore.

Avviso

Se si desidera utilizzare l'accesso federato come opzione di accesso, bisogna assicurarsi che tutti gli amministratori e gli utenti siano assegnati a un dominio e abbiano un provider di identità.

Prima di tutto, è necessario verificare un dominio. Vedere Verifica di un dominio federato.

AD FS è un servizio fornito da Microsoft su Windows Server. Consente di eseguire l'autenticazione utilizzando credenziali di Active Directory già esistenti.

Se si desidera utilizzare AD FS come provider di identità, occorre procedere come segue:

  • Assicurarsi di avere un server AD FS.
  • Accertarsi che gli amministratori e gli utenti di Sophos Central siano inclusi nella foresta di Active Directory che si desidera utilizzare per l'autenticazione.
  • Verificare che le e-mail nella foresta corrispondano a quelle assegnate ad amministratori e utenti in Sophos Central.
  • Ottenere il consenso e l'autorizzazione dell'amministratore di AD per l'utilizzo dell'AD dell'organizzazione con Sophos Central.
  • Individuare il proprio URL dei metadati di Microsoft AD FS.

URL dei metadati di Microsoft AD FS

Prima di aggiungere Microsoft AD FS come provider di identità, occorre conoscere il proprio URL dei metadati di Microsoft AD FS. Per trovarlo, procedere come segue:

  1. Aprire Federation Metadata Explorer.
  2. Seguire le istruzioni visualizzate sullo schermo per ottenere i metadati di AD FS.
  3. Prendere nota del proprio URL dei metadati di Microsoft AD FS, poiché servirà per configurare AD FS come provider di identità.

AD FS può ora essere aggiunto come provider di identità. Vedere Aggiunta del provider di identità (Entra ID/Open IDC/ADFS).

Per informazioni generali su Microsoft AD FS, consultare la Guida in linea di AD FS.

Aggiunta di Sophos Central come attendibilità del componente in Microsoft AD FS

In AD FS è possibile aggiungere Sophos Central come attendibilità del componente, in modo che AD FS possa accettare attestazioni da Sophos Central.

Prima di iniziare, assicurarsi di aver configurato un accesso federato in Sophos Central. Vedere Configurazione dell'accesso federato.

Per aggiungere Sophos Central come attendibilità del componente, procedere come segue:

  1. In Microsoft AD FS, aprire Server Manager.
  2. Cliccare su Strumenti e selezionare Gestione AD FS.
  3. Sotto Azioni, cliccare su Aggiungi attendibilità del componente.
  4. In Benvenuti, selezionare In grado di riconoscere attestazioni.
  5. In Selezionare l’origine dati, selezionare Immetti manualmente dati sull’attendibilità del componente e cliccare su Avanti.
  6. In Specifica nome visualizzato, immettere un nome e cliccare su Avanti.
  7. In Scegli profilo, selezionare Profilo AD FS e cliccare su Avanti.
  8. In Configura certificato, cliccare su Avanti.

  9. In Configura URL, procedere come segue:

    1. Selezionare Abilita supporto del protocollo passivo WS-Federation.

    2. Immettere l’URL di callback di Sophos Central in URL del protocollo passivo WS-Federation del componente.

      Per identificare l’URL di callback, procedere come segue:

      1. In Sophos Central, aprire Impostazioni globali > Provider di identità federati.
      2. Selezionare il proprio provider di identità e copiare l’URL in URL di richiamata.

    3. Cliccare su Avanti.

  10. In Configura identificatori, immettere il proprio ID entità in Identificatore dell’attendibilità componente, cliccare su Aggiungi e successivamente su Avanti.

    Per individuare l’ID entità, procedere come segue:

    1. In Sophos Central, selezionare Prodotti > Impostazioni generali > Provider di identità federati.
    2. Selezionare il proprio provider di identità e copiare l’ID riportato in ID entità.

  11. (Facoltativo) In Configurare l’autenticazione a più fattori?, configurare l’autenticazione a più fattori, se richiesto.

  12. In Scegli regole di autorizzazione rilascio, selezionare Consenti a tutti gli utenti l’accesso a questo componente e cliccare su Avanti.
  13. In Aggiunta attendibilità, mantenere le impostazioni predefinite e cliccare su Avanti.

  14. In Fine, selezionare Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità del provider di attestazioni alla chiusura della procedura guidata e cliccare su Chiudi.

    Viene visualizzata la finestra di dialogo Modifica regole attestazione.

  15. In Modifica regole attestazione, sotto Regole di trasformazione rilascio, cliccare su Aggiungi regola.

    Viene visualizzata la procedura guidata Aggiunta guidata regole attestazione di trasformazione.

  16. In Scegli tipo di regola, sotto Modello di regola attestazione, selezionare Inviare attributi LDAP come attestazioni e cliccare su Avanti.

  17. In Configura regola attestazione, procedere come segue:

    1. In Nome regola attestazione, immettere un nome per la regola.
    2. In Archivio attributi, selezionare Active Directory.

    3. In Mapping degli attributi LDAP ai tipi di attestazione in uscita, mappare gli attributi come indicato nella tabella che segue:

      Attributo LDAP Tipo di attestazione in uscita
      E-mail-Addresses ID nome
      Given-Name Nome
      Cognome Cognome
      E-mail-Addresses Indirizzo e-mail

    4. Cliccare su Fine.

Microsoft AD FS può ora essere aggiunto come provider di identità. Vedere Aggiunta del provider di identità (Entra ID/Open IDC/ADFS).