Configurar o Microsoft Entra ID (Azure AD) para permitir que os usuários façam login usando o UPN

Você pode configurar o Microsoft Entra ID (Azure AD) para permitir que os usuários façam login usando o UPN (nome principal do usuário) se ele for diferente de seus endereços de e-mail.

Você deve seguir este procedimento:

1. Configurar o Microsoft Entra ID (Azure AD) no portal do Azure.
2. Usar o Microsoft Entra ID (Azure AD) como um provedor de identidade no Sophos Central.

Configurar o Microsoft Entra ID (Azure AD) no portal do Azure

Para configurar o Microsoft Entra ID (Azure AD) no portal do Azure, você deve fazer o seguinte:

1. Crie um aplicativo Azure.
2. Configure a autenticação do aplicativo.
3. Defina a configuração do token.
4. Atribua as permissões de aplicativo.

Criar um aplicativo Azure

Siga este procedimento:

1. Faça login no seu portal Azure.
2. Pesquise por App registrations.

3. No painel à esquerda, clique em Registros de aplicativo.

   

4. No painel direito, clique em Novo registro.

   

5. Insira um nome para o aplicativo.

6. Em Supported account types, selecione Accounts in this organizational directory only (Default Directory only - Single tenant).

   

7. Em URI de redirecionamento (opcional), selecione Aplicativo de página única (SPA) e digite https://federation.sophos.com/login/callback.

   

8. Clique em Registrar.

Configurar a autenticação do aplicativo

Siga este procedimento:

1. No aplicativo que você criou, clique em Authentication.
2. Em Implicit grant and hybrid flows, selecione ID tokens (used for implicit and hybrid flows).
3. Em Supported account types, selecione Accounts in this organizational directory only (Default Directory only - Single tenant).

4. Clique em Salvar.

   

Definir configuração do token

Siga este procedimento:

1. No aplicativo que você criou, clique em Token configuration.
2. Em Optional claims, clique em Add optional claim.

3. Em Token type, selecione ID e depois selecione email.

   

4. Clique em Adicionar.

5. Na mensagem pop-up, clique em Turn on the Microsoft Graph email permission.

   

6. Clique em Adicionar.

Atribuir permissões de aplicativo

Siga este procedimento:

1. No aplicativo que você criou, clique em API permissions.

2. Em Configured permissions, clique em Grant admin consent for <conta>.

   

3. Clique em Sim.

Usar o Microsoft Entra ID (Azure AD) como um provedor de identidade no Sophos Central

Siga este procedimento:

1. No Sophos Central, vá para Configurações globais > Provedores de identidade federados.

   

2. Clique em Adicionar provedor de identidade.

3. Insira um Nome e uma Descrição.
4. Clique em Tipo e escolha OpenID Connect.
5. Clique em Fornecedor e escolha Microsoft Entra ID (Azure AD).
6. Ignore a Etapa A: Configurar OpenID Connect, porque você já configurou o Microsoft Entra ID (Azure AD) no portal do Azure.

7. Na Etapa B: Configurar os parâmetros de OpenID Connect, faça o seguinte:

   1. Em ID do cliente, digite o ID do cliente do aplicativo que você criou no Azure.

      Para localizá-lo, siga este procedimento:

      1. No portal do Azure, vá para Registros de aplicativo.
      2. Selecione o aplicativo que você criou.
      3. Copie o ID em ID do Cliente do aplicativo e cole-o em ID do cliente no Sophos Central.

   2. Em Emissor, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Substitua <tenantId> pelo ID do locatário de sua instância do Azure.

      Para localizá-lo, siga este procedimento:

      1. No portal do Azure, vá para Registros de aplicativo.
      2. Selecione o aplicativo que você criou.
      3. Copie o ID em ID do diretório (locatário) e substitua <tenantId> por ele na URL.

   3. Em Endpoint autorizado, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Substitua <tenantId> pelo ID do locatário que você copiou na etapa b.

   4. Em URL de JWKS, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Substitua <tenantId> pelo ID do locatário que você copiou na etapa b.

   

8. Clique em Selecionar um domínio e escolha o seu domínio.

   Você pode adicionar mais de um domínio. Você só pode associar um usuário a um domínio.

9. Selecione se deseja ativar a Imposição de MFA pelo IdP. Selecione uma das seguintes opções:

   • Imposição de MFA pelo IdP
   • Sem imposição de MFA pelo IdP

10. Clique em Salvar.

Fluxo de trabalho de início de sessão

Veja aqui como os usuários e administradores se conectam usando seu UPN:

1. Os usuários e administradores fazem login no Sophos Central com seu endereço de e-mail associado.

   

2. A tela que eles veem depende de suas seleções em Configurações de início de sessão do Sophos.

   • Se você escolheu Credenciais do Sophos Central Admin ou federadas em Configurações globais > Configurações de início de sessão do Sophos, a tela exibida lhes permite que façam login com qualquer uma das opções.

     

     Para fazer login usando o UPN, eles devem fazer o seguinte:

     1. Clicar em Conecte-se com o SSO.

        Eles verão a página de login do Microsoft Azure.

     2. Inserir o UPN e a senha.

   • Se você tiver escolhido Apenas credenciais federadas em Configurações globais > Configurações de início de sessão do Sophos, eles verão a página de login do Microsoft Azure, onde poderão inserir o UPN e a senha.