Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-server-Azure-add

Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu

Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu, um Administratoren und Benutzer bei der Anmeldung bei den folgenden Diensten zu authentifizieren:

  • Web-Administrationskonsole
  • Captive Portal
  • VPN-Portal
  • Fernzugriff über IPsec-VPN und SSL-VPN über den Sophos Connect-Client

Erfordernis

Im Azure-Portal müssen Sie Ihre Microsoft Entra ID mit der Sophos Firewall integrieren. Siehe Microsoft Entra ID in die Sophos Firewall integrieren.

Fügen Sie einen Microsoft Entra ID-Server hinzu.

Sie können einen Microsoft Entra ID-Server hinzufügen, um Benutzer und Administratoren über Single Sign-On (SSO) zu authentifizieren.

Servereinstellungen

Um einen Microsoft Entra ID-Server in der Firewall hinzuzufügen, konfigurieren Sie die folgenden Einstellungen:

  1. Gehe zu Authentifizierung > Server und klicken Hinzufügen.
  2. vom Servertyp Liste, Auswahl Azure AD SSO.
  3. In Servername: Geben Sie einen Namen für den Server ein.

  4. Fügen Sie die folgenden IDs ein, die Sie aus der Firewall-Anwendung kopiert haben, die Sie im Azure-Portal erstellt haben:

    • Anwendungs-ID (Client-ID)
    • Verzeichnis-ID (Mandanten-ID)

  5. In Kundengeheimnis: Geben Sie das von Ihnen erstellte Clientgeheimnis ein. Siehe Erstellen Sie ein Client-Geheimnis.

  6. (Optional) Unter Umleitungs-URI: Die Firewall verwendet automatisch den FQDN der Web-Administrationskonsole aus der im Browser angezeigten URL.

    Alternativ können Sie den FQDN oder die IP-Adresse der Web-Administrationskonsole der Firewall eingeben.

    Sie müssen die URLs in Microsoft Entra ID kopieren und einfügen. Siehe Fügen Sie der Microsoft Entra ID Umleitungs-URIs hinzu..

    Wenn Sie einen Microsoft Entra ID-Server in der Firewall über Sophos Central konfigurieren, müssen Sie wie folgt vorgehen:

    • Bei einer einzelnen Firewall: Geben Sie den Hostnamen manuell ein. Verwenden Sie nicht die automatisch generierten URLs, da die Firewall die Reverse-SSO-URL von Sophos Central verwendet.
    • In einer Firewall-Gruppenrichtlinie: Sie werden Folgendes nicht sehen: Umleitungs-URI Einstellung. Die Umleitungs-URI Wird in Version 20.0 MR1 und höher automatisch auf den Hostnamen der jeweiligen Firewall gesetzt. In früheren Versionen wird automatisch „defaultHostname“ verwendet.

    Notiz

    Wenn Sie die Bereitstellungsdatei für Remote-Access-VPN verwenden, müssen Sie den verwendeten FQDN oder die IP-Adresse eingeben. Umleitungs-URI als die gateway Wert in der Datei. Siehe VPN-Fernzugriff.

Benutzerattribute und Richtlinien

Unter Benutzerattributzuordnung: Die Benutzerattribute werden automatisch aus dem Microsoft Entra ID-Token abgerufen, um Benutzer in der Firewall zu erstellen.

Unter Nutzerrichtlinien: Gehen Sie wie folgt vor:

  1. vom Fallback-Benutzergruppe Liste, Benutzergruppe auswählen.

    Existiert die Microsoft Entra ID-Gruppe eines Benutzers in der Firewall, wird der Benutzer dieser Gruppe zugewiesen. Andernfalls wird der Benutzer der hier ausgewählten Gruppe zugewiesen.

    Notiz

    Wenn Sie den Microsoft Entra ID-Server verwenden in Authentifizierung > Dienstleistungen unter Firewall-Authentifizierungsmethoden, Die Fallback-Benutzergruppe gilt weiterhin anstelle von Standardgruppe.

Rollenzuordnung

Wenn Sie SSO nur für die Benutzerdienste, wie z. B. das Captive Portal, implementieren möchten, können Sie diesen Abschnitt überspringen.

  1. Wählen Sie den Benutzertyp je nachdem, ob Sie SSO für die Web-Administrationskonsole implementieren möchten:

    • Benutzer: Implementiert SSO nur für die Benutzerdienste. Dies ist die Standardauswahl.
    • Administrator: Implementiert SSO für die Benutzerdienste und die Web-Administrationskonsole.

  2. Wenn Sie ausgewählt haben Administrator: Gehen Sie wie folgt vor:

    1. Identifikatortyp Und Wert: Satz Identifikatortyp Wählen Sie einen der folgenden Typen aus und geben Sie den genauen Wert ein, den Sie in Microsoft Entra ID konfiguriert haben:

      1. Rollen: Geben Sie einen Rollenwert ein, zum Beispiel: adminFullAccess.
      2. Gruppen: Geben Sie einen Gruppennamen ein, zum Beispiel: Admin Full Access.

    2. Profil: Wählen Sie ein Administratorprofil aus.

      Diese können Sie sehen auf Profile > Gerätezugriff in der Firewall. Siehe Gerätezugriff.

    Notiz

    Wenn sich Benutzer an der Firewall anmelden, enthält das von Microsoft Entra ID gesendete Token ihren Rollenwert und Gruppennamen. Die Firewall überprüft die Identifikatortyp und Profil in der angezeigten Reihenfolge und weist dem Administrator das erste passende Profil zu und ermöglicht die Anmeldung.

    Enthält das Token keinen Rollenwert oder Gruppennamen, erstellt die Firewall einen regulären Benutzer. Siehe Konfigurieren Sie Gruppen oder Rollen für Administratoren.

    Tipp

    Um mehrere Kennungstypen hinzuzufügen, klicken Sie auf Hinzufügen. Expand button..

Testverbindung

  1. Klicken Testverbindung um sicherzustellen, dass die Firewall eine Verbindung mit Microsoft Entra ID herstellt.
  2. Klicken Speichern.

Authentifizierungsmethoden konfigurieren

Die Firewall lässt nur einen Microsoft Entra ID-Server pro Authentifizierungsmethode zu.

Um die Authentifizierungsmethoden zu konfigurieren, gehen Sie wie folgt vor:

  1. Gehe zu Authentifizierung > Dienstleistungen.

  2. Wählen Sie den Microsoft Entra ID-Server als Authentifizierungsmethode für die gewünschten Dienste aus:

    • Firewall-Authentifizierungsmethoden: Für das Captive Portal.
    • VPN-Portal-Authentifizierungsmethoden: Für das VPN-Portal.

    • VPN-Authentifizierungsmethoden (IPsec/Einwahl/L2TP/PPTP): Für den Fernzugriff über IPsec-VPN.

      Notiz

      Wenn Sie die Bereitstellungsdatei verwenden, um Remote-Access-VPN-Verbindungen herzustellen, wählen Sie denselben Server wie für das VPN-Portal aus.

    • SSL-VPN-Authentifizierungsmethoden: Für den Fernzugriff über SSL-VPN: Wählen Sie immer denselben Server wie für das VPN-Portal.

    • Administrator-Authentifizierungsmethoden: Für die Web-Administrationskonsole.

  3. Ziehen Sie den Server per Drag & Drop an den Anfang der Liste in jeder Methode.

  4. Klicken Anwenden für jeden Dienst, dem Sie den Microsoft Entra ID-Server hinzugefügt haben.

Firewall-Regeln konfigurieren

Um Benutzer über Microsoft Entra ID SSO zu authentifizieren, müssen Sie Folgendes auswählen: Bekannte Benutzer abgleichen Und Verwenden Sie die Webauthentifizierung für unbekannte Benutzer in den entsprechenden Firewall-Regeln.

Firewall rule configuration.

Notiz

Microsoft Entra ID (ehemals Azure AD) verwendet tokenbasierte Authentifizierung über OAuth 2.0 und OpenID Connect (OIDC). Daher können lokale und Remote-Benutzer nicht Anmeldeinformationen und melden Sie sich mit Benutzername und Passwort an.

Zur Umsetzung Anmeldeinformationen: Sie können Verzeichnisdienste wie Active Directory (AD) oder LDAP verwenden.

Sichern Sie den Zugriff auf das Captive Portal.

Wenn Sie das Captive Portal nutzen möchten, empfehlen wir Ihnen, es abzusichern. Gehen Sie dazu wie folgt vor:

  1. Gehen Sie in der Firewall zu Authentifizierung > Webauthentifizierung.

  2. Unter Captive-Portal-Verhalten, wählen In einem neuen Browserfenster.

    Benutzer müssen sich explizit abmelden, um ihre Sitzungen zu beenden, oder das Ablaufdatum des Microsoft Entra ID-Tokens abwarten. Wir empfehlen, das Fenster des Captive Portals für die Abmeldung geöffnet zu lassen.

  3. Klar Verwenden Sie das unsichere HTTP-Protokoll anstelle von HTTPS..

    Microsoft Entra ID SSO wird nicht unterstützt, wenn Sie diese Option auswählen.

  4. Klicken Anwenden.

Captive portal behavior.

Um mit der Konfiguration fortzufahren, siehe Fügen Sie der Microsoft Entra ID Umleitungs-URIs hinzu..

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen