Ir al contenido
Avanet

Configurar Microsoft Entra ID SSO para Sophos Connect y el Portal VPN

Sophos Firewall

Con Microsoft Entra ID SSO, Sophos Firewall puede autenticar a los usuarios para el Portal VPN y el Acceso Remoto a través de Sophos Connect contra Microsoft Entra ID. Para muchas configuraciones de Microsoft 365, esto es más conveniente que contraseñas locales separadas en la firewall, ya que la identidad, el acceso condicional y el MFA se gestionan centralmente en el proveedor de identidad.

Sin embargo, la ventaja solo es real si toda la cadena está bien planificada: la aplicación Entra, las URIs de redirección, el Portal VPN, Sophos Connect, los métodos de autenticación, los grupos, Device Access y los perfiles de cliente deben coincidir. Este artículo describe el proceso práctico para el Portal VPN, SSL VPN y Acceso Remoto IPsec con Sophos Connect.

Para la configuración general de Sophos Connect, primero consulte Configurar Sophos Connect en Sophos Firewall. Este artículo complementa los pasos específicos de identidad y SSO.

Qué hace Entra ID SSO en la firewall

Sophos Firewall integra Microsoft Entra ID SSO a través de OAuth 2.0 y OpenID Connect. La firewall utiliza Entra ID como servidor de autenticación y puede registrar usuarios para varios servicios.

Para el Acceso Remoto, estos servicios son especialmente relevantes:

  • Portal VPN
  • SSL VPN a través de Sophos Connect
  • Acceso Remoto IPsec a través de Sophos Connect

Para el Portal Cautivo se aplica un proceso diferente: allí, un usuario ya se ha registrado en la red local a través del navegador para que se apliquen reglas basadas en el usuario. Este caso se describe por separado en Configurar Microsoft Entra ID SSO para el Portal Cautivo de Sophos Firewall.

Es importante la delimitación: la firewall sigue gestionando el VPN, las políticas, la coincidencia de grupos de usuarios y el acceso a través de reglas de firewall. Entra ID gestiona la verificación de identidad, SSO y MFA basado en Entra.

Cuándo es útil Entra ID SSO

Entra ID SSO es adecuado cuando los usuarios ya trabajan con Microsoft 365 y la organización utiliza el Acceso Condicional o Entra-MFA como control de seguridad central.

Razones típicas:

  • Los usuarios no deben mantener contraseñas de firewall separadas.
  • El MFA debe ejecutarse a través de Entra ID en lugar de Sophos OTP.
  • El Acceso Remoto debe estar más vinculado al estado del usuario, grupos y Acceso Condicional.
  • El equipo de soporte y seguridad debe gestionar los procesos de identidad centralmente en Entra ID.
  • Se deben reducir los usuarios locales de la firewall.

No todas las configuraciones deben cambiarse de inmediato. En instalaciones pequeñas sin un modelo de grupos Entra limpio, el MFA propio de Sophos puede ser más sencillo. Para la variante clásica de OTP, consulte Activar MFA para Sophos Firewall WebAdmin, Portal VPN y Acceso Remoto.

Requisitos y limitaciones

Antes de la configuración, se deben cumplir estos puntos:

  • Sophos Firewall con una versión de SFOS compatible.
  • Tenant de Microsoft Entra con permiso para crear un registro de aplicación.
  • FQDN público para el Portal VPN o el acceso remoto.
  • Certificado válido para el nombre público.
  • El Portal VPN es accesible desde la zona necesaria.
  • Sophos Connect 2.4 o posterior en Windows, si se va a utilizar SSO en el cliente.
  • Los usuarios o grupos están correctamente presentes en Entra ID.
  • La firewall y Entra ID tienen la hora correcta.
  • Las URLs de inicio de sesión de Microsoft son accesibles desde los clientes y, dependiendo de la ruta del tráfico, desde la firewall.

Limitaciones importantes:

  • Para Sophos Connect SSO, Sophos menciona endpoints de Windows con Sophos Connect 2.4 o posterior.
  • Si se utiliza Microsoft Entra ID SSO, se utiliza MFA en el proveedor de identidad. El MFA propio de Sophos Firewall no se puede utilizar adicionalmente para este método de autenticación.
  • Solo se puede seleccionar un servidor de Microsoft Entra ID por método de autenticación.
  • Los usuarios del mismo dominio no deben sincronizarse simultáneamente a través de AD y Microsoft Entra ID.
  • En clústeres HA, actualmente no se debe asumir que Microsoft Entra ID SSO funciona para el WebAdmin de la firewall auxiliar.

Planificar la arquitectura

Antes de la configuración técnica, se debe decidir qué servicios utilizarán SSO.

ÁreaDecisión
Portal VPN¿Debería el inicio de sesión en el portal realizarse a través de Entra ID?
SSL VPN¿Debería utilizarse SSL VPN a través de Sophos Connect con Entra SSO?
Acceso Remoto IPsec¿Debería utilizarse Acceso Remoto IPsec a través de Sophos Connect con Entra SSO?
Archivo de aprovisionamiento¿Se utilizará un archivo de aprovisionamiento automático?
Grupos¿Qué grupos de Entra pueden usar VPN?
MFA¿Qué reglas de Acceso Condicional y MFA se aplican para el Acceso Remoto?
Fallback¿Qué sucede si Entra ID o el acceso a Internet a Microsoft no está disponible?

Si se utiliza un archivo de aprovisionamiento, el valor gateway establecido en él debe coincidir con el FQDN o la IP que se utiliza en la configuración de Microsoft Entra ID de la firewall como URI de redirección. Después de los cambios en Entra ID o en la configuración de la firewall, los usuarios deben importar nuevamente la configuración actualizada.

Crear un servidor Microsoft Entra ID en la firewall

La ruta del menú es:

Authentication > Servers

Procedimiento en la firewall:

  1. Abrir Add.
  2. Seleccionar la opción Microsoft Entra ID SSO como Server type.
  3. Asignar un nombre de servidor descriptivo.
  4. Ingresar Application (client) ID de la aplicación Entra.
  5. Ingresar Directory (tenant) ID.
  6. Ingresar Client secret.
  7. Verificar o establecer manualmente el FQDN de la URI de redirección.
  8. Establecer el grupo de fallback.
  9. Si se necesita SSO para WebAdmin, planificar la asignación de roles o grupos a perfiles de administrador.
  10. Ejecutar Test connection.
  11. Guardar.

Para escenarios de SSO solo para VPN, no se necesita una asignación de roles de administrador. En ese caso, el servidor debe planificarse como un servicio de usuario, no como un acceso de administrador general.

⚠️ Los secretos de cliente son credenciales de acceso productivas. La fecha de vencimiento, rotación, responsabilidad y documentación deben aclararse antes del despliegue.

Establecer métodos de autenticación

Después de crear el servidor de Microsoft Entra ID, debe asignarse a los servicios correspondientes en Authentication > Services.

Para el Acceso Remoto, estas áreas son relevantes:

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Si se utiliza un archivo de aprovisionamiento, se debe utilizar el mismo servidor de Microsoft Entra ID para el Portal VPN, IPsec y SSL VPN. En los archivos de aprovisionamiento, es importante la misma selección de servidor para los métodos de autenticación, para que el perfil del cliente, el portal y el método de acceso remoto coincidan.

Después de cada cambio:

  1. Seleccionar el servidor en el método correspondiente.
  2. Arrastrar el servidor a la posición correcta si hay varios servidores.
  3. Ejecutar Apply para cada servicio cambiado.
  4. Usar un usuario de prueba antes de desplegar el cambio ampliamente.

Registrar URIs de redirección en Microsoft Entra ID

Para que SSO funcione, las URLs de la firewall deben registrarse en la aplicación Entra como URIs de redirección.

Procedimiento:

  1. Abrir Authentication > Servers en la firewall.
  2. Abrir el servidor de Microsoft Entra ID.
  3. Copiar las URLs necesarias:
    • URL de la consola de administración web, si se utiliza SSO para WebAdmin
    • URL del portal cautivo, si se utiliza el Portal Cautivo
    • URL del portal VPN y acceso remoto para el Portal VPN, Acceso Remoto IPsec y SSL VPN
  4. Cambiar al portal de Azure en Microsoft Entra ID > App registrations.
  5. Abrir la aplicación para Sophos Firewall.
  6. En Manage > Authentication, agregar una plataforma web o editar la plataforma web existente.
  7. Insertar las URIs de redirección copiadas.
  8. Guardar.

Un error común es un nombre de host diferente en el perfil del cliente, URI de redirección, certificado y DNS público. Estos valores deben compararse conscientemente antes del despliegue.

Si no se protege el Acceso Remoto, sino el Portal Cautivo, también se debe verificar el proceso específico del Portal Cautivo: Device Access para la zona del cliente, método de autenticación del Portal Cautivo, grupo de usuarios y coincidencia de reglas de firewall posterior.

Permitir el Portal VPN a través de Device Access

Microsoft Entra ID SSO para el Acceso Remoto utiliza el puerto del Portal VPN para comunicarse con la firewall. Por lo tanto, el Portal VPN debe estar permitido en la zona necesaria bajo Administration > Device access.

Esto no significa que se deba abrir el Portal VPN sin pensar en todo el mundo. El Acceso Remoto es una superficie de ataque accesible públicamente. Para entornos productivos, también se debe verificar:

  • certificado público válido
  • MFA y Acceso Condicional en Entra ID
  • limitación de países o fuentes lo más estrecha posible, si es realista
  • registro y revisión de intentos de inicio de sesión
  • desactivación clara de usuarios que ya no se necesitan

El endurecimiento de los servicios locales de la firewall se describe en Device Access y Local Service ACL en Sophos Firewall.

Permitir URLs de inicio de sesión de Microsoft

Los clientes y las rutas de firewall afectadas deben poder alcanzar los endpoints de Microsoft Entra ID. Esto incluye varias URLs de inicio de sesión y CDN de Microsoft, como login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net y otros dominios de Azure/Microsoft Online.

En entornos restrictivos, no se debe descubrir durante el despliegue que las páginas de inicio de sesión, JavaScript o los endpoints de tokens están bloqueados. Es recomendable:

  • Verificar la lista de URLs de Microsoft en la documentación actual de Sophos y Microsoft.
  • Nombrar correctamente los Hosts FQDN o los Grupos de Hosts FQDN.
  • Establecer conscientemente una regla de firewall para DNS y HTTPS.
  • En caso de un proxy web directo, verificar también las excepciones web.
  • Activar el registro hasta que el inicio de sesión SSO funcione de manera estable.

Verificar grupos y permisos de VPN

SSO por sí solo no otorga acceso a VPN. El usuario también debe estar permitido en la configuración de Acceso Remoto correspondiente.

Para verificar:

  • El grupo Entra se ha importado a la firewall o se ha mapeado correctamente.
  • El grupo está seleccionado en Acceso Remoto IPsec bajo Allowed users and groups.
  • El grupo está seleccionado en SSL VPN bajo Policy members.
  • Las reglas de firewall permiten el tráfico desde la zona VPN solo a los destinos necesarios.
  • El usuario no solo está autenticado, sino que también recibe la política esperada.

Si el túnel está conectado pero no fluye tráfico, a menudo no es SSO la causa, sino las reglas, el enrutamiento, DNS o NAT. Para el análisis, consulte Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture.

Verificar UPN, correo electrónico y coincidencia de grupos

Con Microsoft Entra ID SSO, se debe verificar especialmente la identidad del usuario y la coincidencia de grupos. Un inicio de sesión puede ser exitoso en el proveedor de identidad y aún así estar mal asignado en la firewall si el UPN, la dirección de correo electrónico, el grupo importado o la identificación local del usuario no coinciden.

Esto es especialmente relevante en entornos donde los usuarios tienen valores históricos diferentes:

Valor EntraEjemploRiesgo en la firewall
Nombre Principal de Usuariomax.muster@example.comA menudo se espera como el nombre de inicio de sesión real
Dirección de correo electrónicom.muster@example.comPuede diferir y confundir en la asignación o inicio de sesión en el portal
Nombre para mostrarMax MusterLegible para humanos, pero no adecuado como identificación técnica
GrupoVPN-UsersDebe importarse a la firewall y usarse en la configuración de Acceso Remoto correcta

En la lista de problemas conocidos, se documenta un caso especial en el que los usuarios de Azure AD no pueden iniciar sesión en el portal SSL VPN o IPsec si la dirección de correo electrónico y el UPN son diferentes. En la práctica, esto significa que en caso de problemas con Entra ID SSO, no solo se deben verificar la URI de redirección y el secreto del cliente, sino también los atributos del usuario.

Proceso de verificación práctica:

  1. Abrir el usuario de prueba en Microsoft Entra ID.
  2. Comparar UPN y dirección de correo electrónico.
  3. Verificar si el usuario es miembro del grupo VPN planificado.
  4. En la firewall, abrir el grupo importado y verificar si el usuario aparece como se espera.
  5. En Authentication > Services, verificar si el servidor de Microsoft Entra ID correcto está seleccionado para el Portal VPN, SSL VPN e IPsec.
  6. Realizar un inicio de sesión de prueba y verificar Log Viewer y oauth_sso_vpn.log.

Si solo se ven afectados usuarios individuales, es más probable que sea un problema de atributos o grupos que un error general del servidor Entra ID. Si todos los usuarios se ven afectados, primero verifique Tenant ID, Client ID, Client Secret, URIs de redirección, hora y endpoints de Microsoft.

Para las reglas de usuario después de un inicio de sesión VPN exitoso, además: La regla de firewall debe ver al usuario o grupo en el tráfico real. Si el túnel está activo, pero la regla de usuario planificada no coincide, consulte el análisis en La regla de Sophos Firewall no coincide: Verificar causas.

Probar Sophos Connect y aprovisionamiento

Para Sophos Connect: Después de la configuración de Entra ID o después de cambios en la configuración de SSO, la configuración del cliente debe importarse nuevamente.

Proceso de prueba:

  1. Instalar el cliente actual de Sophos Connect en Windows.
  2. Importar la configuración de aprovisionamiento o VPN adecuada.
  3. Verificar si la opción SSO es visible y seleccionable en el cliente.
  4. Iniciar sesión con Entra ID.
  5. Activar MFA o Acceso Condicional según lo planeado.
  6. Verificar el estado del túnel.
  7. Verificar IP de VPN, DNS, objetivos internos y coincidencia de reglas de firewall.
  8. En un dispositivo compartido, probar un inicio de sesión SSO forzado nuevamente.

Para la instalación del cliente en Windows, consulte Instalar el cliente Sophos Connect en Windows. Para SSL VPN con Sophos Connect, consulte además Configurar Sophos SSL VPN con Sophos Connect en Windows.

Operación y seguridad

Entra ID SSO desplaza la seguridad de inicio de sesión más hacia el proveedor de identidad. Esto es bueno si Entra ID se gestiona correctamente. Es problemático si los grupos, el Acceso Condicional o los secretos de la aplicación se gestionan de manera descuidada.

En operación, estos puntos deben verificarse regularmente:

  • El secreto de la aplicación no expira inesperadamente.
  • Los grupos Entra solo contienen usuarios autorizados.
  • El Acceso Condicional se aplica para el Acceso Remoto.
  • Los accesos de emergencia y de respaldo están documentados.
  • El Portal VPN es accesible solo en la medida necesaria.
  • Las versiones de Sophos Connect están actualizadas.
  • Los perfiles de cliente antiguos se retiran después de los cambios.
  • Los registros se verifican temprano en caso de problemas de inicio de sesión.

Para el lado del cliente, también debe existir un proceso de actualización propio. El artículo Verificar y actualizar de manera segura la versión del cliente Sophos Connect resume qué temas de Windows, macOS, SSO, OTP y aprovisionamiento deben verificarse antes de un despliegue.

Con SFOS 22 MR1, Sophos ha mejorado la reevaluación de las políticas de Acceso Condicional en sesiones SSO reutilizadas. Para entornos que utilizan Entra-MFA como límite de seguridad, esta es una razón importante para mantener actualizada la versión de la firewall.

Solución de problemas

El botón SSO no es utilizable en el cliente Sophos Connect

Si el cliente informa que SSO no está configurado, primero pruebe la conexión al servidor de Microsoft Entra ID en la firewall. Luego, en Authentication > Services, verifique si el servidor Entra ID está configurado correctamente para SSL VPN o IPsec y el Portal VPN.

El usuario no puede iniciar sesión en el Portal VPN

Entonces, SSO puede funcionar en general, pero falta el permiso de VPN. Verifique si el grupo Entra está incluido en la configuración de Acceso Remoto IPsec bajo Allowed users and groups o en SSL VPN bajo Policy members.

Solo algunos usuarios no pueden iniciar sesión

Entonces, primero verifique UPN, dirección de correo electrónico, membresía de grupo y grupo importado en la firewall. Especialmente para usuarios con direcciones de correo electrónico diferentes, nombres cambiados o cuentas migradas, la identificación técnica puede ser diferente a la esperada.

Microsoft informa un tenant o aplicación incorrecta

Entonces, a menudo no coinciden los métodos de autenticación, la aplicación Entra, Tenant ID o la selección del servidor en la firewall. Especialmente con varios servidores Entra ID, se debe verificar si el Portal VPN, SSL VPN e IPsec utilizan el mismo servidor esperado.

La redirección o el inicio de sesión termina en una página de error

Comparar FQDN, certificado, DNS público, URI de redirección y valor de gateway del archivo de aprovisionamiento. Incluso pequeñas discrepancias en el nombre de host, puerto o ruta pueden interrumpir el flujo OAuth/OIDC.

El importación de grupos no funciona

Verificar la hora de la firewall, datos del tenant, permisos de la aplicación, secreto del cliente y accesibilidad de los endpoints de Microsoft. Si los grupos locales existentes no coinciden con los grupos Entra, se debe decidir si se limpian, mapean o gestionan manualmente.

La conexión está activa, pero los sistemas internos no son accesibles

Entonces, probablemente la autenticación ya no sea el error principal. Verificar IP de VPN, DNS, reglas de firewall, NAT, enrutamiento y sistema de destino. En el Log Viewer debería ser visible qué regla afecta el tráfico desde la zona VPN.

Lista de verificación

  • La aplicación Entra con Client ID, Tenant ID y Client Secret está documentada.
  • Las URIs de redirección para el Portal VPN y el Acceso Remoto están registradas en Entra ID.
  • FQDN público, certificado y gateway de aprovisionamiento coinciden.
  • El Portal VPN está permitido conscientemente bajo Device Access.
  • Las URLs de inicio de sesión de Microsoft son accesibles.
  • Los servicios de autenticación utilizan el servidor Entra ID correcto.
  • Los grupos de VPN están importados y permitidos en las políticas de SSL/IPsec.
  • UPN, dirección de correo electrónico y membresía de grupo se verificaron con un usuario de prueba.
  • Sophos Connect 2.4 o posterior está en uso en Windows.
  • Los perfiles de cliente se importaron nuevamente después de los cambios.
  • Entra-MFA y Acceso Condicional se verificaron con un usuario de prueba.
  • oauth_sso_vpn.log, Log Viewer y registros del servidor de acceso son conocidos para la solución de problemas.

Preguntas frecuentes

¿Sophos Connect admite Entra ID SSO en macOS?

Para Entra ID SSO en el cliente Sophos Connect, Sophos menciona dispositivos Windows con Sophos Connect 2.4 o posterior. Por lo tanto, no se debe asumir que hay soporte para macOS, incluso si Sophos Connect en macOS admite otros escenarios de Acceso Remoto.

¿Se necesita aún Sophos MFA si se utiliza Entra ID SSO?

Para Microsoft Entra ID SSO, se utiliza MFA en el proveedor de identidad. El MFA propio de la firewall no se puede utilizar adicionalmente para este método de autenticación.

¿Debe ser accesible el Portal VPN desde Internet?

Para el Acceso Remoto, el Portal VPN debe ser accesible desde la zona necesaria, ya que Entra ID SSO utiliza el puerto del Portal VPN. Sin embargo, el acceso debe endurecerse con Device Access, certificado, registro, Entra-MFA y, si es posible, limitación de fuente o país.

¿Por qué debe Sophos Connect importar la configuración nuevamente?

Después de cambios en Microsoft Entra ID o en la configuración de la firewall, la configuración antigua del cliente puede no contener la referencia de gateway o SSO adecuada. Por lo tanto, los usuarios deben importar nuevamente la configuración actualizada.

¿Por qué falla Entra ID SSO solo para algunos usuarios?

A menudo se debe a atributos de usuario o grupos diferentes. UPN, dirección de correo electrónico, grupo Entra importado y grupo de acceso remoto permitido deben compararse específicamente antes de cambiar toda la configuración de SSO.

¿Qué registros ayudan con problemas de Entra ID SSO?

Para VPN-SSO, oauth_sso_vpn.log es relevante. Además, ayudan Log Viewer, access_server.log y, dependiendo del protocolo VPN, sslvpn.log o strongswan.log. Una visión general de los registros está en Solución de problemas de Sophos Firewall: Servicios y registros.