新增身分識別提供者
如果您要使用同盟登入,則需要設定身分識別提供者。
需求
您必須是超級管理員才能使用此功能。
-
您必須先驗證網域。如果尚未驗證網域,則無法設定身分識別提供者。請參閱驗證同盟網域。
-
檢查您是否有設定身分識別提供者所需的資訊。
警告
如果您要使用同盟登入做為登入選項,您必須確保所有管理員和使用者都已指派到網域,並且擁有身分識別提供者。
您可以選擇 Microsoft Entra ID (Azure AD)、OpenID Connect 或 Microsoft AD FS 作為身分識別提供者,以在管理員登入時驗證其身分。有關設定所選身分識別提供者的說明,請參閱以下各節。
將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者
將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者之前,您必須按照 將 Microsoft Entra ID (Azure AD) 用作身分識別提供者 中的說明操作。
您必須擁有 Microsoft Entra ID (Azure AD) 執行個體的租用戶 ID 記錄。
如需新增 Microsoft Entra ID (Azure AD),請執行以下步驟:
- 轉至 整體設定 > 同盟身分識別提供者。
- 按一下新增身分識別提供者。
- 輸入名稱和說明。
- 按一下類型並選擇 Microsoft Entra ID (Azure AD)。
-
按一下廠商並選擇 Microsoft Entra ID (Azure AD)。
-
輸入您的租用戶識別碼。
-
按一下選取網域並選擇您的網域。
您可以新增多個網域,但每個使用者只能與一個網域關聯。
-
按一下儲存。
-
在同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟。
注意
如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。
現在您可以設定登入設定。請參閱Sophos 登入設定。
將 Open ID Connect 新增為身分識別提供者
在將 Open ID Connect 新增爲身分識別提供者之前,必須遵循 使用 OpenID Connect 作爲身分識別提供者 中的相應說明。
我們在這些指示中的影像裡使用 Okta 作為 Open ID Connect 提供者的範例。
若要新增 Open ID Connect,請依照以下步驟操作:
- 轉至 整體設定 > 同盟身分識別提供者。
- 按一下新增身分識別提供者。
- 輸入名稱和說明。
- 按一下類型並選擇 Open ID Connect。
-
按一下廠商並選擇您的廠商。
例如 Okta。
-
輸入以下資訊。
- 用戶端 ID:這是 Okta 中 Sophos Central 應用程式的用戶端 ID 。
- 簽發者:這是您在 Okta 中設定的自訂網域。它是
https://${DOMAIN}.okta.com
。 - Authz 端點:這是
https://$Issuer}/oauth2/v1/authorize
。 - JWKS URL:這是
https://${Issuer}/oauth2/v1/keys
。
-
按一下選取網域並選擇您的網域。
您可以新增多個網域,但每個使用者只能與一個網域關聯。
-
按一下儲存。
-
在同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟。
注意
如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。
現在您可以設定登入設定。請參閱Sophos 登入設定。
將 Microsoft AD FS 新增為身分識別提供者
將 Microsoft AD FS 新增為身分識別提供者之前,您必須遵循 使用 Microsoft AD FS 做為身分識別提供者 中的指示。
您必須知道您的 AD FS 中繼資料 URL。
如需新增 Microsoft AD FS,請執行以下步驟:
- 轉至 整體設定 > 同盟身分識別提供者。
- 輸入名稱和說明。
- 按一下類型並選擇Microsoft AD FS。
-
按一下廠商並選擇您的廠商。
-
輸入您的 AD FS 中繼資料 URL。
-
按一下選取網域並選擇您的網域。
您可以新增多個網域,但每個使用者只能與一個網域關聯。
-
按一下儲存。
-
在同盟身分識別提供者中,選擇您的身分識別提供者,然後請注意以下操作:
- 實體 ID。
- 回撥 URL。
-
新增您的實體 ID 和回撥 URL 至 AD FS 設定。
-
在同盟身分識別提供者中,選擇您的身分識別提供者,然後按一下開啟。
注意
如果您尚未完成設定或提供了無效資訊,則無法開啟提供者。
現在您可以設定登入設定。請參閱Sophos 登入設定。