跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=SSO-Microsoft-ADFS

使用 Microsoft AD FS 做為身分識別提供者

您可以將 Microsoft AD FS 新增為身分識別提供者。

您可以使用 Microsoft AD FS 來驗證管理員和使用者登入 Sophos Central 產品時的身分識別。您必須將 Microsoft AD FS 新增為身分識別提供者才能執行此動作。

需求

您必須是超級系統管理員身分。

警告

如果您想要使用同盟登入做為登入選項,必須確定所有管理員和使用者都已指派給網域,且擁有身分識別提供者。

您必須先驗證網域。請參閱驗證同盟網域

AD FS 是 Microsoft 在 Windows Server 上提供的服務。它允許您使用現有的 Active Directory 憑證進行驗證。

如果您要使用 AD FS 做為身分識別提供者,則必須執行下列動作:

  • 確保您有 AD FS 伺服器。
  • 確保您的 Sophos Central 管理員和使用者位於要用於驗證的 Active Directory 樹系中。
  • 確保樹系中的電子郵件與 Sophos Central 中指派給管理員和使用者的電子郵件相匹配。
  • 獲得您的 Azure AD 管理員的同意和授權,以與 Sophos Central 一起使用貴組織的 AD。
  • 尋找您的 Microsoft AD FS 中繼資料 URL。

Microsoft AD FS 中繼資料 URL

將 Microsoft AD FS 新增為身分識別提供者之前,您必須知道您的 Microsoft AD FS 中繼資料 URL。若要找到它,請依照以下步驟操作:

  1. 前往同盟中繼資料資源檔案總管
  2. 依照螢幕上的指示取得 AD FS 中繼資料。
  3. 請記下您的 Microsoft AD FS 中繼資料 URL,因為您需要此 URL 才能將 AD FS 設定為身分識別提供者。

您現在可以將 AD FS 新增為身分識別提供者。請參閱新增身分識別提供者

有關 Microsoft AD FS 的一般說明,請參閱 AD FS 說明

將 Sophos Central 新增為 Microsoft AD FS 中的依賴方信任

在 AD FS 中,您可以將 Sophos Central 新增為依賴方信任,以便 AD FS 可以接受來自 Sophos Central 的聲明。

開始之前,請確保您已在 Sophos Central 中設定同盟登入。請參閱設定同盟登入

要將 Sophos Central 新增為依賴方信託,請執行以下操作:

  1. 在 Microsoft AD FS 中,開啟伺服器管理員。
  2. 按一下 Tools(工具)並選取 AD FS Management(AD FS 管理)。
  3. Actions(動作)下,按一下 Add Relying Party Trust(新增依賴方信任)。
  4. Welcome(歡迎)中,選取 Claims Aware(聲明感知)。
  5. Select Data Source(選取資料源)中,選取 Enter data about the relying party manually(手動輸入有關依賴方的資料),然後按一下 Next(下一步)。
  6. Specify Display Name(指定顯示名稱)中,輸入名稱並按一下 Next(下一步)。
  7. Choose Profile(選取設定檔)中,選取 AD FS profile(AD FS 設定檔),然後按一下 Next(下一步)。
  8. Configure Certificate(設定憑證)中,按一下 Next(下一步)。

  9. Configure URL(設定 URL)中,執行以下操作:

    1. 選取 Enable support for the WS-Federation Passive protocol(啟用對 WS-Federation Passive 協定的支援)。

    2. Relying party WS-Federation Passive protocol URL(依賴方 WS-Federation Passive 協定 URL)中輸入 Sophos Centra 回叫 URL。

      要尋找回叫 URL,請依照以下步驟操作:

      1. 在 Sophos Central 中,移至全域設定 > 同盟身分識別提供者
      2. 選取您的身分識別提供者並複製回叫 URL 中的 URL。

    3. 按一下下一步

  10. Configure Identifiers(設定標識符)的 Relying party trust identifier(依賴方信任標識符)中輸入您的實體 ID,按一下 Add(新增),然後按一下 Next(下一步)。

    若要尋找實體 ID,請依照以下步驟操作:

    1. 在 Sophos Central 中,移至全域設定 > 同盟身分識別提供者
    2. 選取您的身分識別提供者並複製實體 ID 中的 ID。

  11. (可選)在 Configure Multi-factor Authentication Now?(立即設定多重要素身分驗證?)中,設定多重要素身分驗證(如果需要)。

  12. Choose Issuance Authorization Rules(選擇頒發授權規則)中,選取 Permit all users to access this relying party(允許所有使用者存取此依賴方),然後按一下 Next(下一步)。
  13. Ready to add trust(準備新增信任)中,保留預設設定,然後按一下 Next(下一步)。

  14. Finish(完成)中,選取 Open the Edit Claim Rules dialog for this claims provider trust when the wizard closes(當精靈關閉時,打開此聲明提供商信任的「編輯聲明規則」對話方塊),然後按一下 Close(關閉)。

    此時將顯示 Edit Claim Rules(編輯聲明規則)對話方塊。

  15. Edit Claim Rules(編輯聲明規則)的 Issuance Transform Rules(頒發轉換規則)中,按一下 Add rule(新增規則)。

    此時將打開 Add Transform Claim Rule Wizard(新增轉換聲明規則精靈)。

  16. Choose Rule Type(選擇規則類型)的 Claim rule template(聲明規則範本)中,選取 Send LDAP Attributes as Claims(將 LDAP 屬性作為聲明傳送),然後按一下 Next(下一步)。

  17. Configure Claim Rule(設定聲明規則)中,執行以下操作:

    1. Claim rule name(聲明規則名稱)中,輸入規則的名稱。
    2. Attribute store(屬性儲存)中,選取 Active Directory

    3. Mapping LDAP attributes to outgoing claim types(將 LDAP 屬性對應到外發聲明類型)中,對應屬性,如下表所示:

      LDAP 屬性 外發聲明類型
      電子郵件地址 名稱 ID
      給定名稱 給定名稱
      電子郵件地址 電子郵件地址

    4. 按一下 完成