Microsoft Entra ID (Azure AD)-Server
Die Firewall unterstützt die Single Sign-On (SSO)-Authentifizierung von Microsoft Entra ID mithilfe der Protokolle OAuth 2.0 und OpenID Connect (OIDC).
Administratoren und Benutzer können sich mit Microsoft Entra ID SSO bei den folgenden Diensten anmelden:
- Web-Admin-Konsole
- Captive Portal
- VPN-Portal
-
Remote-Zugriff auf IPsec-VPN und Remote-Zugriff auf SSL-VPN über den Sophos Connect-Client Version 2.4 und höher unter Windows.
Notiz
Für den Remote-Zugriff auf VPN verwendet Microsoft Entra ID SSO den VPN-Portalport zur Kommunikation mit der Firewall.
Mit dem Importgruppen-Assistenten können Sie alle Gruppen oder nur diejenigen importieren, die bestimmten Attributen entsprechen. Sie können auch Zeitplan- und Verkehrsrichtlinien anwenden.
Microsoft Entra ID SSO unterstützt die auf Ihrem Identitätsanbieter (IDP) konfigurierte mehrstufige Authentifizierung (MFA). Die in der Firewall konfigurierte MFA wird nicht unterstützt.
Microsoft Entra ID einrichten
Sie können die Microsoft Entra ID-Authentifizierung wie folgt einrichten:
-
Informationen zum Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal finden Sie unter Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.
-
Informationen zum Hinzufügen des Servers zur Firewall finden Sie unter Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu.
-
(Optional) Informationen zum Importieren von Gruppen aus Microsoft Entra ID finden Sie unter Importgruppen.
-
Informationen zum Zulassen der erforderlichen URLs finden Sie unter Microsoft Azure-URLs zulassen.
Upgrade auf SFOS 21.5
Wenn Sie Microsoft Entra ID SSO in SFOS 20.0 oder 21.0 verwenden, wird beim Upgrade auf SFOS 21.5 SSO automatisch für Dienste aktiviert, bei denen die Authentifizierungsmethode auf Dasselbe wie Firewall.
Wenn Ihr VPN-Portal, IPsec VPN oder SSL VPN-Authentifizierungsmethoden beispielsweise auf Dasselbe wie Firewall, wird SSO für diese Dienste aktiviert. Um SSO für das VPN-Portal, den Remote-Zugriff auf IPsec-VPN oder den Remote-Zugriff auf SSL-VPN zu verwenden, müssen Sie außerdem wie folgt vorgehen:
- Gehen Sie in der Firewall zu Authentifizierung > Server.
- Klicken Sie auf Ihre Microsoft Entra ID-Serverkonfiguration.
-
Kopieren Sie das VPN-Portal und die Remote-Zugriffs-URL.
-
Fügen Sie die URL in die Anwendung ein, die Sie für die Firewall in Azure erstellt haben. Siehe Fügen Sie die Umleitungs-URI in Azure ein.
Notiz
Wenn Sie die Microsoft Entra ID von Sophos Central aus konfigurieren, verwenden Sie nicht die Reverse-SSO-URL von Sophos Central.
Videos
Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Microsoft Entra ID
Konfigurieren von Microsoft Entra ID SSO für Sophos Connect
Captive-Portal-Authentifizierung
Notiz
Um die Microsoft Entra ID-Authentifizierung für Dienste wie die Webadministrationskonsole, das Captive Portal, das Benutzerportal und den Client-Authentifizierungs-Agent (CAA) zu verwenden, können Sie die Firewall auch mit Microsoft Entra ID über die Microsoft Entra ID-Domänendienste konfigurieren. Siehe Sophos Firewall: Sophos Firewall mit Microsoft Entra ID integrieren.