Aller au contenu
Avanet

Configurer Microsoft Entra ID SSO pour Sophos Connect et le portail VPN

Sophos Firewall

Avec Microsoft Entra ID SSO, le Sophos Firewall peut authentifier les utilisateurs pour le portail VPN ainsi que pour l’accès à distance via Sophos Connect contre Microsoft Entra ID. Pour de nombreux environnements Microsoft 365, cela est plus logique que des mots de passe locaux distincts pour le pare-feu, car l’identité, l’accès conditionnel et le MFA sont gérés de manière centralisée dans le fournisseur d’identité.

Cependant, cet avantage n’est réel que si toute la chaîne est bien planifiée : l’application Entra, les URI de redirection, le portail VPN, Sophos Connect, les méthodes d’authentification, les groupes, l’accès aux appareils et les profils clients doivent être compatibles. Cet article décrit le processus pratique pour le portail VPN, SSL VPN et l’accès à distance IPsec avec Sophos Connect.

Pour la configuration générale de Sophos Connect, commencez par Configurer Sophos Connect sur Sophos Firewall. Cet article complète les étapes spécifiques à l’identité et au SSO.

Ce que fait Entra ID SSO sur le pare-feu

Sophos Firewall intègre Microsoft Entra ID SSO via OAuth 2.0 et OpenID Connect. Le pare-feu utilise Entra ID comme serveur d’authentification et peut connecter des utilisateurs à plusieurs services.

Pour l’accès à distance, ces services sont particulièrement pertinents :

  • Portail VPN
  • SSL VPN via Sophos Connect
  • Accès à distance IPsec via Sophos Connect

Pour le portail captif, un autre processus s’applique : l’utilisateur se connecte déjà au réseau local via un navigateur pour que les règles basées sur l’utilisateur s’appliquent. Ce cas est décrit séparément dans Configurer Microsoft Entra ID SSO pour le portail captif de Sophos Firewall.

Il est important de faire la distinction : le pare-feu continue de gérer le VPN, les politiques, la correspondance des groupes d’utilisateurs et l’accès via les règles du pare-feu. Entra ID gère la vérification d’identité, le SSO et le MFA basé sur Entra.

Quand Entra ID SSO est pertinent

Entra ID SSO est pertinent lorsque les utilisateurs travaillent déjà avec Microsoft 365 et que l’organisation utilise l’accès conditionnel ou Entra-MFA comme contrôle de sécurité central.

Raisons typiques :

  • Les utilisateurs ne doivent pas gérer de mots de passe de pare-feu séparés.
  • Le MFA doit être géré via Entra ID plutôt que via Sophos OTP.
  • L’accès à distance doit être plus étroitement lié au statut de l’utilisateur, aux groupes et à l’accès conditionnel.
  • Le helpdesk et l’équipe de sécurité doivent gérer les processus d’identité de manière centralisée dans Entra ID.
  • Les utilisateurs locaux du pare-feu doivent être réduits.

Toutes les environnements ne doivent pas être immédiatement convertis. Dans les petites installations sans modèle de groupe Entra propre, le MFA propre à Sophos peut être plus simple. Pour la variante OTP classique, consultez Activer le MFA pour Sophos Firewall WebAdmin, le portail VPN et l’accès à distance.

Prérequis et limites

Avant la configuration, ces points doivent être remplis :

  • Sophos Firewall avec une version SFOS prise en charge.
  • Locataire Microsoft Entra avec l’autorisation de créer un enregistrement d’application.
  • FQDN public pour le portail VPN ou l’accès à distance.
  • Certificat valide pour le nom public.
  • Le portail VPN est accessible via la zone requise.
  • Sophos Connect 2.4 ou plus récent sur Windows, si le SSO doit être utilisé dans le client.
  • Les utilisateurs ou groupes sont correctement présents dans Entra ID.
  • Le pare-feu et Entra ID ont l’heure correcte.
  • Les URL de connexion Microsoft sont accessibles depuis les clients et, selon le chemin du trafic, depuis le pare-feu.

Limitations importantes :

  • Pour Sophos Connect SSO, Sophos mentionne les points de terminaison Windows avec Sophos Connect 2.4 ou plus récent.
  • Lorsqu’on utilise Microsoft Entra ID SSO, on utilise le MFA dans le fournisseur d’identité. Le MFA propre au pare-feu Sophos ne peut pas être utilisé en plus pour cette méthode d’authentification.
  • Par méthode d’authentification, un seul serveur Microsoft Entra ID peut être sélectionné.
  • Les utilisateurs du même domaine ne doivent pas être synchronisés simultanément via AD et Microsoft Entra ID.
  • Dans les clusters HA, on ne doit pas supposer actuellement que Microsoft Entra ID SSO fonctionne pour le WebAdmin du pare-feu auxiliaire.

Planifier l’architecture

Avant la configuration technique, il faut déterminer quels services utiliseront le SSO.

DomaineDécision
Portail VPNL’authentification au portail doit-elle se faire via Entra ID ?
SSL VPNLe SSL VPN doit-il être utilisé via Sophos Connect avec Entra SSO ?
Accès à distance IPsecL’accès à distance IPsec doit-il être utilisé via Sophos Connect avec Entra SSO ?
Fichier de provisionnementUn fichier de provisionnement automatique sera-t-il utilisé ?
GroupesQuels groupes Entra peuvent utiliser le VPN ?
MFAQuelles règles d’accès conditionnel et de MFA s’appliquent à l’accès à distance ?
FallbackQue se passe-t-il si Entra ID ou l’accès Internet à Microsoft n’est pas disponible ?

Si un fichier de provisionnement est utilisé, la valeur gateway définie doit correspondre au FQDN ou à l’IP utilisé dans la configuration Microsoft Entra ID du pare-feu comme URI de redirection. Après des modifications à Entra ID ou à la configuration du pare-feu, les utilisateurs doivent réimporter la configuration mise à jour.

Créer un serveur Microsoft Entra ID sur le pare-feu

Le chemin de menu est :

Authentication > Servers

Procédure sur le pare-feu :

  1. Ouvrir Add.
  2. Sélectionner l’option Microsoft Entra ID SSO comme Server type.
  3. Attribuer un nom de serveur explicite.
  4. Entrer l’Application (client) ID de l’application Entra.
  5. Entrer l’Directory (tenant) ID.
  6. Entrer le Client secret.
  7. Vérifier ou définir manuellement le FQDN de l’URI de redirection.
  8. Définir le groupe de secours.
  9. Si le SSO WebAdmin est nécessaire, planifier le mappage des rôles ou des groupes sur les profils administrateurs.
  10. Exécuter Test connection.
  11. Enregistrer.

Pour les scénarios de SSO VPN purs, il n’est pas nécessaire de mapper les rôles administrateurs. Le serveur doit alors être planifié comme service utilisateur, et non comme accès administrateur général.

⚠️ Les secrets clients sont des informations d’identification productives. La date d’expiration, la rotation, la responsabilité et la documentation doivent être clarifiées avant le déploiement.

Définir les méthodes d’authentification

Après avoir créé le serveur Microsoft Entra ID, il doit être associé aux services appropriés sous Authentication > Services.

Pour l’accès à distance, ces domaines sont pertinents :

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Si un fichier de provisionnement est utilisé, le même serveur Microsoft Entra ID doit être utilisé pour le portail VPN, IPsec et SSL VPN. Pour les fichiers de provisionnement, le même choix de serveur pour les méthodes d’authentification est important pour que le profil client, le portail et la méthode d’accès à distance soient compatibles.

Après chaque modification :

  1. Sélectionner le serveur dans la méthode respective.
  2. Déplacer le serveur à la bonne position s’il y a plusieurs serveurs.
  3. Exécuter Apply pour chaque service modifié.
  4. Utiliser un utilisateur de test avant de déployer largement la modification.

Enregistrer les URI de redirection dans Microsoft Entra ID

Pour que le SSO fonctionne, les URL du pare-feu doivent être enregistrées dans l’application Entra comme URI de redirection.

Procédure :

  1. Ouvrir Authentication > Servers sur le pare-feu.
  2. Ouvrir le serveur Microsoft Entra ID.
  3. Copier les URL nécessaires :
    • URL de la console d’administration Web, si le SSO WebAdmin est utilisé
    • URL du portail captif, si le portail captif est utilisé
    • URL du portail VPN et de l’accès à distance pour le portail VPN, l’accès à distance IPsec et SSL VPN
  4. Dans le portail Azure, aller à Microsoft Entra ID > App registrations.
  5. Ouvrir l’application pour le Sophos Firewall.
  6. Sous Manage > Authentication, ajouter une plateforme Web ou modifier la plateforme Web existante.
  7. Coller les URI de redirection copiés.
  8. Enregistrer.

Une erreur fréquente est un autre nom d’hôte dans le profil client, l’URI de redirection, le certificat et le DNS public. Ces valeurs doivent être consciemment alignées avant le déploiement.

Si ce n’est pas l’accès à distance mais le portail captif qui est protégé, le processus spécifique au portail captif doit également être vérifié : accès aux appareils pour la zone client, méthode d’authentification du portail captif, groupe d’utilisateurs et correspondance ultérieure des règles du pare-feu.

Autoriser le portail VPN via Device Access

Microsoft Entra ID SSO pour l’accès à distance utilise le port du portail VPN pour communiquer avec le pare-feu. Par conséquent, le portail VPN doit être autorisé sous Administration > Device access pour la zone requise.

Cela ne signifie pas qu’il faut ouvrir le portail VPN mondialement sans réfléchir. L’accès à distance est une surface d’attaque accessible au public. Pour les environnements de production, il convient également de vérifier :

  • certificat public valide
  • MFA et accès conditionnel dans Entra ID
  • limitation géographique ou de source aussi étroite que possible, si réaliste
  • journalisation et révision des tentatives de connexion
  • désactivation claire des utilisateurs non nécessaires

Le renforcement des services locaux du pare-feu est décrit dans Device Access et Local Service ACL sur Sophos Firewall.

Autoriser les URL de connexion Microsoft

Les clients et les chemins de pare-feu concernés doivent pouvoir atteindre les points de terminaison Microsoft Entra ID. Cela inclut plusieurs URL de connexion et CDN Microsoft, par exemple login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net et d’autres domaines Azure/Microsoft Online.

Dans les environnements restrictifs, il ne faut pas découvrir lors du déploiement que les pages de connexion, les JavaScript ou les points de terminaison de jetons sont bloqués. Il est judicieux de :

  • vérifier la liste des URL Microsoft dans la documentation actuelle de Sophos et Microsoft.
  • nommer correctement les hôtes FQDN ou les groupes d’hôtes FQDN.
  • définir consciemment la règle de pare-feu pour DNS et HTTPS.
  • en cas de proxy Web direct, vérifier également les exceptions Web.
  • activer la journalisation jusqu’à ce que la connexion SSO soit stable.

Vérifier les groupes et les autorisations VPN

Le SSO seul ne donne pas accès au VPN. L’utilisateur doit également être autorisé dans la configuration d’accès à distance appropriée.

À vérifier :

  • Le groupe Entra a été importé dans le pare-feu ou est correctement mappé.
  • Le groupe est sélectionné sous Allowed users and groups pour l’accès à distance IPsec.
  • Le groupe est sélectionné sous Policy members pour SSL VPN.
  • Les règles du pare-feu autorisent le trafic de la zone VPN uniquement vers les destinations nécessaires.
  • L’utilisateur est non seulement authentifié, mais reçoit également la politique attendue.

Si le tunnel est connecté mais qu’aucun trafic ne circule, la cause n’est souvent pas le SSO, mais les règles, le routage, le DNS ou le NAT. Pour l’analyse, consultez Tester les règles du pare-feu avec Log Viewer, Policy Test et Packet Capture.

Vérifier UPN, e-mail et correspondance des groupes

Avec Microsoft Entra ID SSO, il est important de vérifier soigneusement l’identité de l’utilisateur et la correspondance des groupes. Une connexion peut réussir au fournisseur d’identité et être mal attribuée sur le pare-feu si l’UPN, l’adresse e-mail, le groupe importé ou l’identifiant utilisateur local ne correspondent pas.

Cela est particulièrement pertinent dans les environnements où les utilisateurs ont historiquement des valeurs différentes :

Valeur EntraExempleRisque sur le pare-feu
Nom principal de l’utilisateurmax.muster@example.comSouvent attendu comme le véritable nom de connexion
Adresse e-mailm.muster@example.comPeut différer et causer de la confusion lors de l’attribution ou de la connexion au portail
Nom d’affichageMax MusterLisible par les humains, mais pas adapté comme identifiant technique
GroupeVPN-UsersDoit être importé sur le pare-feu et utilisé dans la configuration d’accès à distance appropriée

Dans la liste des problèmes connus, un cas particulier est documenté où les utilisateurs Azure AD ne peuvent pas se connecter au portail SSL VPN ou IPsec si l’adresse e-mail et l’UPN sont différents. En pratique, cela signifie que pour les problèmes de SSO Entra ID, il ne faut pas seulement vérifier l’URI de redirection et le secret client, mais aussi les attributs utilisateur.

Procédure de vérification pratique :

  1. Ouvrir l’utilisateur de test dans Microsoft Entra ID.
  2. Comparer l’UPN et l’adresse e-mail.
  3. Vérifier si l’utilisateur est membre du groupe VPN prévu.
  4. Sur le pare-feu, ouvrir le groupe importé et vérifier si l’utilisateur y apparaît comme prévu.
  5. Sous Authentication > Services, vérifier si le bon serveur Microsoft Entra ID est sélectionné pour le portail VPN, SSL VPN et IPsec.
  6. Effectuer un test de connexion et vérifier Log Viewer ainsi que oauth_sso_vpn.log.

Si seuls certains utilisateurs sont concernés, un problème d’attribut ou de groupe est plus probable qu’une erreur générale du serveur Entra ID. Si tous les utilisateurs sont concernés, vérifier d’abord l’ID du locataire, l’ID du client, le secret client, les URI de redirection, l’heure et les points de terminaison Microsoft.

Pour les règles utilisateur après une connexion VPN réussie, il est également important que la règle du pare-feu voie l’utilisateur ou le groupe dans le trafic réel. Si le tunnel est établi mais que la règle utilisateur prévue ne correspond pas, l’analyse de La règle Sophos Firewall ne s’applique pas : vérifier les causes est appropriée.

Tester Sophos Connect et le provisionnement

Pour Sophos Connect : après la configuration Entra ID ou après des modifications de la configuration SSO, la configuration du client doit être réimportée.

Procédure de test :

  1. Installer le client Sophos Connect actuel sur Windows.
  2. Importer la configuration de provisionnement ou VPN appropriée.
  3. Vérifier si l’option SSO est visible et cliquable dans le client.
  4. Se connecter avec Entra ID.
  5. Déclencher le MFA ou l’accès conditionnel comme prévu.
  6. Vérifier l’état du tunnel.
  7. Vérifier l’IP VPN, le DNS, les cibles internes et la correspondance des règles du pare-feu.
  8. Sur un appareil partagé, tester une reconnexion SSO forcée.

Pour l’installation du client sur Windows, consultez Installer le client Sophos Connect sur Windows. Pour SSL VPN avec Sophos Connect, consultez également Configurer Sophos SSL VPN avec Sophos Connect sur Windows.

Exploitation et sécurité

Entra ID SSO déplace davantage la sécurité de connexion vers le fournisseur d’identité. C’est bien si Entra ID est correctement géré. C’est problématique si les groupes, l’accès conditionnel ou les secrets d’application sont gérés de manière négligente.

En exploitation, ces points doivent être vérifiés régulièrement :

  • Le secret de l’application n’expire pas de manière inattendue.
  • Les groupes Entra ne contiennent que des utilisateurs autorisés.
  • L’accès conditionnel s’applique à l’accès à distance.
  • Les accès de secours et de repli sont documentés.
  • Le portail VPN est accessible uniquement dans la mesure nécessaire.
  • Les versions de Sophos Connect sont à jour.
  • Les anciens profils clients sont retirés après des modifications.
  • Les journaux sont vérifiés rapidement en cas de problèmes de connexion.

Pour le côté client, un processus de mise à jour distinct doit également exister. L’article Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect résume les sujets Windows, macOS, SSO, OTP et de provisionnement à vérifier avant un déploiement.

Avec SFOS 22 MR1, Sophos a amélioré la réévaluation des politiques d’accès conditionnel lors de la réutilisation des sessions SSO. Pour les environnements utilisant Entra-MFA comme frontière de sécurité, c’est une raison importante de maintenir la version du pare-feu à jour.

Dépannage

Le bouton SSO n’est pas utilisable dans le client Sophos Connect

Si le client indique que le SSO n’est pas configuré, tester d’abord la connexion au serveur Microsoft Entra ID sur le pare-feu. Ensuite, sous Authentication > Services, vérifier si le serveur Entra ID est correctement défini pour SSL VPN ou IPsec et le portail VPN.

L’utilisateur ne peut pas se connecter au portail VPN

Le SSO peut fonctionner fondamentalement, mais l’autorisation VPN peut manquer. Vérifier si le groupe Entra est inclus dans la configuration d’accès à distance IPsec sous Allowed users and groups ou dans SSL VPN sous Policy members.

Seuls certains utilisateurs ne peuvent pas se connecter

Vérifier d’abord l’UPN, l’adresse e-mail, l’appartenance au groupe et le groupe de pare-feu importé. Surtout pour les utilisateurs avec une adresse e-mail différente, des noms modifiés ou des comptes migrés, l’identifiant technique peut être différent de ce qui est attendu.

Microsoft signale un locataire ou une application incorrecte

Souvent, les méthodes d’authentification, l’application Entra, l’ID du locataire ou le choix du serveur sur le pare-feu ne correspondent pas. Surtout avec plusieurs serveurs Entra ID, il faut vérifier si le portail VPN, SSL VPN et IPsec utilisent le même serveur attendu.

La redirection ou la connexion se termine sur une page d’erreur

Comparer le FQDN, le certificat, le DNS public, l’URI de redirection et la valeur de passerelle du fichier de provisionnement. Même de petites différences dans le nom d’hôte, le port ou le chemin peuvent perturber le flux OAuth/OIDC.

L’importation de groupes ne fonctionne pas

Vérifier l’heure du pare-feu, les données du locataire, les autorisations de l’application, le secret client et l’accessibilité des points de terminaison Microsoft. Si les groupes locaux existants ne correspondent pas aux groupes Entra, il faut décider s’ils doivent être nettoyés, mappés ou gérés manuellement.

La connexion est établie, mais les systèmes internes ne sont pas accessibles

L’authentification n’est probablement plus la principale erreur. Vérifier l’IP VPN, le DNS, les règles du pare-feu, le NAT, le routage et le système cible. Dans le Log Viewer, il devrait être visible quelle règle touche le trafic de la zone VPN.

Liste de contrôle

  • L’application Entra avec l’ID client, l’ID du locataire et le secret client est documentée.
  • Les URI de redirection pour le portail VPN et l’accès à distance sont enregistrés dans Entra ID.
  • Le FQDN public, le certificat et la passerelle de provisionnement correspondent.
  • Le portail VPN est consciemment autorisé sous Device Access.
  • Les URL de connexion Microsoft sont accessibles.
  • Les services d’authentification utilisent le bon serveur Entra ID.
  • Les groupes VPN sont importés et autorisés dans les politiques SSL/IPsec.
  • L’UPN, l’adresse e-mail et l’appartenance au groupe ont été vérifiés avec un utilisateur de test.
  • Sophos Connect 2.4 ou plus récent est utilisé sur Windows.
  • Les profils clients ont été réimportés après des modifications.
  • Entra-MFA et l’accès conditionnel ont été vérifiés avec un utilisateur de test.
  • oauth_sso_vpn.log, Log Viewer et les journaux du serveur d’accès sont connus pour le dépannage.

Questions fréquentes

Sophos Connect prend-il en charge Entra ID SSO sur macOS ?

Pour Entra ID SSO dans le client Sophos Connect, Sophos mentionne les appareils Windows avec Sophos Connect 2.4 ou plus récent. Le support macOS ne doit donc pas être considéré comme acquis, même si Sophos Connect prend en charge d’autres scénarios d’accès à distance sur macOS.

A-t-on encore besoin de Sophos MFA si Entra ID SSO est utilisé ?

Pour Microsoft Entra ID SSO, on utilise le MFA dans le fournisseur d’identité. Le MFA propre au pare-feu ne peut pas être utilisé en plus pour cette méthode d’authentification.

Le portail VPN doit-il être accessible depuis Internet ?

Pour l’accès à distance, le portail VPN doit être accessible via la zone requise, car Entra ID SSO utilise le port du portail VPN. Néanmoins, l’accès doit être renforcé via Device Access, certificat, journalisation, Entra-MFA et, si possible, limitation de source ou géographique.

Pourquoi Sophos Connect doit-il réimporter la configuration ?

Après des modifications à Microsoft Entra ID ou à la configuration du pare-feu, l’ancienne configuration du client peut ne plus contenir la référence de passerelle ou de SSO appropriée. Par conséquent, les utilisateurs doivent réimporter la configuration mise à jour.

Pourquoi Entra ID SSO échoue-t-il uniquement pour certains utilisateurs ?

Cela est souvent dû à des attributs ou des groupes d’utilisateurs divergents. L’UPN, l’adresse e-mail, le groupe Entra importé et le groupe d’accès à distance autorisé doivent être comparés spécifiquement avant de modifier toute la configuration SSO.

Quels journaux aident en cas de problèmes avec Entra ID SSO ?

Pour le SSO VPN, oauth_sso_vpn.log est pertinent. De plus, Log Viewer, access_server.log et, selon le protocole VPN, sslvpn.log ou strongswan.log sont utiles. Un aperçu des journaux est disponible dans Dépannage Sophos Firewall : Services et journaux.