Vai al contenuto
Avanet

Configurare l'SSO Microsoft Entra ID per Sophos Firewall Captive Portal

Sophos Firewall

Con Microsoft Entra ID SSO per Captive Portal, Sophos Firewall può autenticare gli utenti rispetto a Microsoft Entra ID tramite browser prima che le regole firewall basate sull’utente diventino effettive. Ciò è particolarmente interessante per le reti BYOD, le zone ospiti o partner, i dispositivi senza rilevamento AD trasparente o gli ambienti in cui STAS non si adatta a tutti i client.

È importante distinguere: il Captive Portal non è un portale VPN e non è un accesso remoto. L’utente è già sulla rete locale o Wi-Fi e accede al browser in modo che il firewall possa assegnare il traffico successivo a un’identità utente. Per l’accesso remoto con Sophos Connect, è adatto l’articolo separato Configurare l’SSO Microsoft Entra ID tramite Sophos Connect e il portale VPN.

Quando Captive Portal con Entra ID SSO ha senso

Captive Portal con Entra ID SSO ha senso se gli utenti accedono comunque con Microsoft 365 e il firewall necessita di un’identità utente per determinate reti.

Applicazioni tipiche:

  • Reti BYOD o WiFi senza adesione al dominio.
  • Ospiti o utenti esterni con accesso controllato ad alcune destinazioni.
  • Regole Internet basate sull’utente senza STAS o SATC.
  • Reti in cui l’autenticazione trasparente non è affidabile.
  • Scenari di transizione in cui l’autenticazione AD locale dovrebbe essere ridotta.

Per i client Windows completamente gestiti in un dominio classico, Captive Portal non è automaticamente la soluzione migliore. Lì STAS, AD SSO o altre procedure trasparenti possono essere più ergonomiche perché gli utenti non devono attivare attivamente un accesso al browser. Il Captive Portal è più una soluzione di riserva o speciale per i dispositivi non gestiti.

Captive Portal, portale VPN e portale utente separati

Con Entra ID SSO, i termini del portale si confondono rapidamente. La separazione è fondamentale per la configurazione.

PortaleScopoTipica copertina Entra
Portale prigionieroGli utenti della rete locale accedono tramite browser in modo che le regole con l’identità dell’utente abbiano effettoEntra ID SSO per l’accesso al browser e la mappatura degli utenti
Portale VPNGli utenti con accesso remoto caricano Sophos Connect o le configurazioni VPNEntra ID SSO per accesso remoto e login al portale
Portale utentiFunzionalità utente come OTP o opzioni personali precedentia seconda dell’ambiente ancora rilevante per i token o le opzioni utente

Una panoramica generale del portale è disponibile in Portali Sophos: SophosID, Central, Supporto e accesso al firewall. Nel Captive Portal occorre verificare soprattutto da quale zona è raggiungibile il servizio firewall locale e quale regola firewall elabora poi il traffico effettivo degli utenti.

Requisiti

Prima di procedere con la configurazione è opportuno chiarire questi punti:

  • Sophos Firewall con versione SFOS che supporta Microsoft Entra ID SSO.
  • Tenant Microsoft Entra con autorizzazione per la registrazione dell’app, URI di reindirizzamento, autorizzazioni API, consenso dell’amministratore e segreto client.
  • FQDN e certificato per il captive Portal in modo che gli utenti non visualizzino avvisi non necessari del browser.
  • Accessibilità degli endpoint di accesso Microsoft dalla rete client interessata.
  • Il Captive Portal è consentito in Amministrazione > Accesso al dispositivo per la zona corretta. -Gli utenti o i gruppi vengono gestiti in modo pulito nell’ID Microsoft Entra.
  • Le regole del firewall utilizzano gli utenti o i gruppi previsti.
  • Sono disponibili un utente di prova e un accesso fallback.
  • L’ora e l’NTP sul firewall e sui client sono corretti perché OAuth/OIDC dipende dal tempo.
  • Se Assegnazione richiesta è attiva in Microsoft Entra ID, gli utenti o i gruppi richiesti vengono assegnati all’applicazione aziendale.

⚠️ Captive Portal è un’area di accesso sul firewall. Dovrebbe essere accessibile solo nelle zone in cui è realmente necessario. L’accesso al dispositivo e l’ACL del servizio locale sono controlli di sicurezza qui, non solo impostazioni di connessione.

Per rafforzare i servizi firewall locali, è adatto Protezione dell’accesso a Sophos Firewall: configurare correttamente l’accesso al dispositivo.In questo progetto, l’MFA viene implementato in Microsoft Entra ID, ad esempio tramite accesso condizionale. L’MFA locale di Sophos Firewall non sostituisce il fattore di accesso Microsoft con Entra ID SSO. Questo in genere è migliore dal punto di vista dell’utente perché viene utilizzata la stessa MFA di Microsoft 365, ma deve essere attentamente pianificata e testata nel tenant.

Progettare l’architettura prima dell’arredamento

Prima della configurazione tecnica, dovresti decidere quale attività Captive Portal deve risolvere in modo specifico. Altrimenti vi ritroverete rapidamente con un login che funziona ma non attiva una regola firewall adeguata.

Domande importanti sulla progettazione:

DomandaPerché importante
Quale zona utilizza Captive Portal?L’accesso al dispositivo e l’origine della regola dipendono dalla zona.
Quale gruppo di utenti è autorizzato ad accedere?Il gruppo Entra deve corrispondere alla regola firewall successiva.
Quali obiettivi si possono raggiungere dopo aver effettuato l’accesso?Il captive portale non sostituisce la segmentazione pulita.
Per quanto tempo devono essere valide le sessioni?Le sessioni troppo lunghe diluiscono l’allocazione degli utenti, mentre le sessioni troppo brevi interrompono le operazioni.
Cosa succede in caso di interruzione della Entra o di Internet?È necessario un chiaro ripiego per i lavori critici.
Come viene attivato il login?Gli utenti necessitano di un URL del captive Portal accessibile o di un reindirizzamento pulito.

Il Captive Portal non deve essere utilizzato in sostituzione di VLAN, zone o regole firewall minime. Il firewall conosce meglio l’utente dopo il login, ma l’architettura di rete deve comunque rimanere pulita. Per la logica di base delle zone, è adatto Configurare la zona e l’interfaccia di Sophos Firewall.

Crea il server ID Microsoft Entra

La configurazione è composta da due parti: innanzitutto viene preparata la registrazione dell’app nell’ID Microsoft Entra. Questa app viene quindi registrata come server di autenticazione sul firewall Sophos.

Prepara la registrazione dell’app nell’ID Microsoft Entra

È necessario creare una registrazione dell’app separata per il firewall nell’ID Microsoft Entra. Ciò significa che gli URI di reindirizzamento, le autorizzazioni e i segreti client rimangono nettamente separati dalle altre applicazioni.

Processo tipico:

  1. Apri l’interfaccia di amministrazione di Microsoft Entra.
  2. Apri Registrazioni app > Nuova registrazione.
  3. Assegnare un nome significativo, ad esempio Sophos-Firewall-Captive-Portal.
  4. Di norma, seleziona il tuo tenant come tipo di account supportato.
  5. Utilizza la piattaforma Web.
  6. Annotare l’ID dell’applicazione (client) e l’ID della directory (tenant).
  7. Crea un segreto client in Certificati e segreti e salva immediatamente il valore del segreto in modo sicuro.
  8. In Autorizzazioni API aggiungere le autorizzazioni Microsoft Graph richieste, in genere User. Read. All e Group. Read. All.
  9. Concedi il consenso amministratore per le autorizzazioni.
  10. Se si utilizza Assegnazione richiesta, assegnare gli utenti o i gruppi autorizzati all’applicazione aziendale.

Senza le autorizzazioni API e il consenso dell’amministratore appropriati, l’accesso può raggiungere l’accesso Microsoft, ma il firewall non può quindi valutare correttamente i dati dell’utente o del gruppo. In pratica, questo spesso sembra un problema del captive Portal, anche se la causa risiede nell’ID Microsoft Entra.

Creare il server Entra ID sul Sophos Firewall

Il percorso del menu su Sophos Firewall è:

Authentication > Servers

Processo di base:

  1. Apri Aggiungi.
  2. Seleziona l’opzione Microsoft Entra ID SSO come Tipo di server.
  3. Assegnare un nome descrittivo, ad esempio Entra-SSO-Captive-Portal.
  4. Inserisci l’ID applicazione (cliente) dall’app Entra.
  5. Immettere ID directory (tenant).
  6. Inserisci Segreto cliente.
  7. A seconda del design, attivare Abbina utenti conosciuti se devono essere mappati utenti o gruppi locali esistenti.
  8. Utilizzare Utilizza l’autenticazione web per utenti sconosciuti solo se gli utenti sconosciuti devono essere gestiti deliberatamente tramite un gruppo di fallback.
  9. Imposta consapevolmente un gruppo di fallback e mantienilo il più restrittivo possibile.
  10. Testare la connessione.
  11. Salva.

Il gruppo di fallback non deve ricevere un’ampia condivisione Internet o di rete. Si tratta soprattutto di una rete di sicurezza affinché un utente non ottenga in modo incontrollabile più accessi del previsto.> ⚠️ I Client Secrets sono dati di accesso produttivi. La data di scadenza, la rotazione e la responsabilità devono essere documentate. Un segreto scaduto spesso sembra un normale problema di accesso dal punto di vista dell’utente, ma in realtà è un problema di configurazione o operativo.

Inserisci correttamente gli URI di reindirizzamento

L’URI di reindirizzamento che corrisponde al firewall deve essere immesso nella registrazione dell’app nell’ID Microsoft Entra. È fondamentale che l’FQDN, il certificato, la porta e il percorso corrispondano esattamente. Piccole differenze nel nome host, nella porta, nel protocollo o nella barra sono sufficienti perché il processo OAuth/OIDC fallisca.

Sophos Firewall visualizza gli URL dei servizi richiesti sul server Entra ID. L’URL del Captive Portal è particolarmente rilevante per questo articolo. Se vengono utilizzati anche WebAdmin o Accesso remoto con Entra ID SSO, questi servizi hanno i propri URL:

URL del servizioA cosa serve
URL della console di amministrazione WebEntra ID SSO per Console WebAdmin
URL del portale captiveEntra ID SSO per Captive Portal nella rete locale
Portale VPN e URL di accesso remotoEntra ID SSO per portale VPN e Sophos Connect

Per Captive Portal, in questo flusso deve essere testato solo l’URI di reindirizzamento del Captive Portal. L’URL VPN fa parte della progettazione dell’accesso remoto ed è trattato nell’articolo separato su SSO ID Microsoft Entra tramite Sophos Connect e portale VPN.

Imposta il metodo di autenticazione del captive Portal

Dopo aver creato il server Entra, il metodo di autenticazione per Captive Portal deve puntare al server corretto.

L’area interessata è sotto:

Authentication > Services

Per verificare:

  1. Apri l’area Metodi di autenticazione captive Portal.
  2. Aggiungi o trascina il server ID Microsoft Entra nella posizione corretta.
  3. Conservare altri server di autenticazione solo se fungono da fallback deliberato.
  4. Applicare la modifica con Applica.
  5. Eseguire un accesso di prova con un singolo utente.

Se sono attivi più metodi di autenticazione in parallelo, deve essere chiaro quale server è responsabile di quale gruppo di utenti. Il funzionamento misto di Entra ID e autenticazione AD locale può funzionare, ma aumenta significativamente lo sforzo di risoluzione dei problemi. L’elenco dei problemi noti di Sophos documenta i casi Entra SSO in cui sessioni miste di Entra e AD in sede possono portare a errori simili a no permission.

Inoltre dovreste verificare in Autenticazione > Autenticazione web come viene aperto il captive Portal nel browser. HTTPS è importante per Entra ID SSO. L’opzione Utilizza HTTP non sicuro anziché HTTPS non deve essere attivata perché il flusso Entra-OAuth su HTTP non è supportato correttamente e sarebbe inutilmente non sicuro.

Quanto segue è utile per il funzionamento:

  1. Apri Captive Portal in una nuova finestra del browser.
  2. Mantenere aperta la finestra del Captive Portal durante la sessione.
  3. Chiedere agli utenti di disconnettersi consapevolmente tramite il captive Portal se l’associazione deve essere terminata.
  4. Dopo aver effettuato l’accesso, controlla in Attività correnti > Utenti live se l’utente è visibile.

A seconda dell’interfaccia e del certificato, anche l’URL standard https://<Firewall-IP>:8090 può aiutare per il test. Un FQDN pulito con un certificato adeguato è molto più piacevole per il funzionamento produttivo.

Controlla l’accesso al dispositivo e l’accessibilità al portale

Captive Portal è un servizio locale del firewall. Una normale regola del firewall da sola non consente questo accesso. L’accessibilità è controllata in Amministrazione > Accesso al dispositivo per la rispettiva zona.

Dovresti controllare:

  • Il Captive Portal è consentito solo nelle zone richieste.
  • Ciò significa che non a caso WebAdmin e SSH sono anche ampiamente accessibili.
  • Il certificato e il nome di dominio completo corrispondono all’URL dell’utente.
  • Il DNS nella rete client risolve correttamente il nome del portale.
  • Le regole di eccezione ACL del servizio locale vengono impostate solo quando sono realmente necessarie.

Se Captive Portal non è accessibile da una rete, non è necessario creare prima una normale regola Consenti. La causa è spesso l’accesso al dispositivo, l’ACL del servizio locale, il DNS, il certificato o la mappatura della zona errata.

Considera l’accesso Microsoft e il filtro webIl client deve raggiungere le pagine di accesso di Microsoft e le risorse correlate durante l’accesso. Altrimenti, nelle reti restrittive, il flusso SSO può interrompersi in un punto che agli utenti sembra un errore del firewall o del browser.

Per verificare:

  • La risoluzione DNS per i domini di accesso Microsoft funziona. -È consentito HTTPS agli endpoint di accesso Microsoft.
  • Il filtro Web, l’ispezione TLS o il proxy non bloccano la pagina di accesso.
  • Il tempo trascorso sul firewall e sul client è plausibile.
  • I cookie del browser non sono resi inutilizzabili da una politica rigorosa.

In ambienti restrittivi, dovresti controllare esplicitamente l’accesso Microsoft e gli endpoint Entra. A seconda del tenant, del browser e del percorso di accesso Microsoft sono rilevanti, tra gli altri, questi domini:

  • login.microsoftonline.com
  • *.login.microsoftonline.com
  • *.microsoftonline.com
  • *.msauth.net
  • *.msftauth.net
  • aadcdn.msauth.net
  • aadcdn.msftauth.net
  • aadcdn.msftauthimages.net
  • graph.microsoft.com

Se il filtro web, un proxy o un’ispezione TLS hanno effetto prima del login, questi target non dovrebbero essere decrittografati o bloccati inutilmente. Il Consenti la sezione URL della documentazione dell’ID Entra dovrebbe essere sottoposto a un controllo incrociato per verificare la presenza di politiche molto restrittive.

Se Protezione Web o Ispezione TLS sono attivi, nel visualizzatore del registro dovrebbe essere osservato l’accesso con un utente di prova. A volte il problema non è il Captive Portal stesso, ma una policy Web, un’eccezione TLS o una rete client che non raggiunge completamente gli endpoint Microsoft.

Testare i gruppi di utenti e le regole del firewall

Dopo un accesso riuscito al captive Portal, la regola firewall effettiva deve vedere l’utente o il gruppo nel traffico. Questa è la prova pratica più importante.

Processo tipico:

  1. Controlla gli utenti nell’ID Microsoft Entra.
  2. Confronta UPN, indirizzo email e appartenenza al gruppo.
  3. Controllare il gruppo Entra su Sophos Firewall.
  4. Eseguire l’accesso al captive Portal con l’utente di prova.
  5. Quindi attiva il traffico utente reale, ad esempio HTTPS verso una destinazione consentita.
  6. Nel Visualizzatore log, controlla se l’utente, il gruppo, la zona di origine, la rete di origine e l’ID regola corrispondono alla regola prevista.

Un accesso riuscito al browser dimostra solo l’autenticazione. Ciò non dimostra che si applichi la regola dell’utente successivo. Se il contatore delle regole rimane su 0 o nessun utente è visibile nel visualizzatore log, è necessario utilizzare il flusso da La regola di Sophos Firewall non funziona: verificare le cause.

Nota Gruppo primario per Entra Captive Portal

Nei Captive Portal con Microsoft Entra ID SSO è opportuno verificare in particolare quale gruppo viene effettivamente valutato dal firewall per la successiva regola utente. Per gli utenti SSO Entra-ID, l’accesso a Internet tramite Captive Portal può funzionare solo se nella regola firewall viene utilizzato il Gruppo primario dell’utente. I gruppi secondari non si comportano come gli utenti AD locali classici.

In pratica ciò significa: un utente può accedere con successo al Captive Portal e tuttavia non soddisfare la regola prevista se la regola punta solo a un gruppo Entra secondario. Questo errore sembra subito un problema di Captive Portal, OAuth o browser, anche se l’accesso stesso era corretto.

Prima di un’implementazione, dovresti quindi registrare quanto segue per ciascun utente di prova:

esameaspettativa
Gruppo principale nell’ID EntraIl gruppo è conosciuto e si adatta alla politica pianificata.
Gruppo sul Sophos FirewallLo stesso gruppo viene importato o mappato correttamente.
Regola del firewallIl Gruppo primario è incluso nella condizione dell’utente o del gruppo.
Testare il traffico dopo l’accessoIl visualizzatore log mostra l’utente, l’ID regola e l’azione prevista.
RipiegoSe la corrispondenza dei gruppi non è possibile in modo pulito, esiste una regola di test personalizzata temporanea.

Ciò non influisce su Sophos Connect VPN con Microsoft Entra ID SSO. Per l’accesso remoto, è pertanto necessario verificare il processo separato per SSO ID Microsoft Entra tramite Sophos Connect e portale VPN.

Convalida dopo il lancio

Per accettarlo, non dovresti solo controllare se viene visualizzata la pagina di accesso di Microsoft.| prova | Risultato atteso | | — | — | | Apri l’URL del captive Portal dalla rete client | Il browser mostra il login Entra previsto o il reindirizzamento Sophos | | Accedi con l’utente consentito | Accesso riuscito, l’utente appare sul firewall | | Accedi con utente non consentito | L’accesso è comprensibilmente negato | | Test delle regole del gruppo primario | L’utente di prova soddisfa la regola dell’utente previsto | | Traffico utente dopo il login | regola firewall corretta abbinata al riferimento utente | | Flusso della sessione | Dopo un timeout è necessario effettuare nuovamente il login | | Accesso Microsoft bloccato | Il visualizzatore di log o i log web mostrano un motivo comprensibile | | Scenario di riserva | L’amministratore sa come controllare o modificare temporaneamente l’accesso in caso di interruzione dell’Entra

Soprattutto con le reti BYOD, dovresti eseguire il test con più browser e dispositivi. Le modalità di navigazione privata, i cookie di terze parti bloccati, i vecchi accessi salvati o più account Microsoft sullo stesso dispositivo possono produrre risultati diversi.

Risoluzione dei problemi

Il portale prigioniero non è raggiungibile

Per prima cosa controlla Amministrazione > Accesso al dispositivo per la zona interessata. Quindi controlla DNS, certificato, FQDN del portale, ACL del servizio locale e mappatura delle zone. Se l’accesso avviene al firewall stesso, una normale regola del firewall non è il primo punto di controllo.

L’accesso a Microsoft si avvia ma non ritorna

Confronta URI di reindirizzamento, FQDN, certificato e porta. L’URL esatto utilizzato da Sophos Firewall per Captive Portal deve essere memorizzato nell’ID Entra di Microsoft. Anche le regole di ispezione proxy o TLS possono interferire con il reso.

Quando Microsoft mostra l’errore AADSTS50011, l’URI di reindirizzamento nella registrazione dell’app in genere non corrisponde all’URL utilizzato dal firewall. Successivamente è necessario confrontare esattamente protocollo, FQDN, porta e percorso.

Viene visualizzato un errore interno dopo l’accesso a Microsoft

Un 500 Internal Server Error o un errore altrettanto generico dopo un accesso Microsoft riuscito spesso indica una mancanza di autorizzazioni Microsoft Graph, una mancanza di consenso dell’amministratore o un problema con il segreto client. Quindi dovresti controllare le autorizzazioni API, il consenso dell’amministratore, la validità del segreto e l’assegnazione dell’app aziendale nell’ID Microsoft Entra.

Nome utente e password non funzionano direttamente

Entra ID SSO è un browser e un flusso OAuth/OIDC. Gli utenti non accedono direttamente al firewall con le credenziali classiche, ma vengono reindirizzati a Microsoft. Se un client o un flusso supporta solo nome utente e password senza reindirizzamento del browser, questo metodo non è adatto.

L’MFA non viene visualizzato o viene visualizzato in modo diverso dal previsto

Con Entra ID SSO, MFA è controllato in Microsoft Entra ID. L’autenticazione a più fattori del firewall locale non è il punto di controllo corretto per questo flusso SSO. Se è richiesta l’autenticazione a più fattori, è necessario controllare l’accesso condizionale, i gruppi di utenti, le esclusioni e gli utenti di prova nell’ID Microsoft Entra.

L’utente vede no permission o viene rifiutato dopo un funzionamento prolungato

Cancella i cookie del browser e controlla se lo stesso utente viene utilizzato in parallelo tramite Entra ID SSO e autenticazione AD locale. Quando si combinano Entra e AD on-prem per lo stesso utente, il progetto di autenticazione deve essere semplificato o almeno documentato in modo chiaro.

L’accesso funziona, ma la regola dell’utente non corrisponde

Allora probabilmente il captive Portal non è più l’unico problema. Controlla la zona di origine, la rete di origine, il gruppo di utenti, la posizione delle regole e il visualizzatore di log. Spesso una regola più generale è al di sopra della regola dell’utente oppure il traffico proviene da una rete diversa da quella prevista.

Per Entra ID SSO tramite Captive Portal, dovresti anche verificare se la regola del firewall utilizza il gruppo primario dell’utente. Se nella regola è presente solo un gruppo secondario, l’accesso può avere esito positivo mentre l’effettivo accesso a Internet o alla destinazione non passa attraverso la regola utente prevista.

Sono interessati solo i singoli utenti

Confronta UPN, indirizzo email, nome visualizzato, appartenenza al gruppo e gruppo importato. Con Entra ID SSO non dovresti dare per scontato che il nome visibile e l’identificatore tecnico siano identici. Se l’indirizzo e-mail e l’UPN storicamente divergono, si verificano facilmente errori di mappatura.

Quali log sono utili?oauth_sso_captive.log è particolarmente rilevante per il captive Portal con Entra ID SSO. Inoltre, i visualizzatori di log con il modulo Autenticazione, access_server.log e, a seconda del problema successivo, i log web, firewall o di autenticazione aiutano. L’allocazione dei file più importanti può essere trovata in Risoluzione dei problemi di Sophos Firewall: servizio e registro.

Lista di controllo

  • Il caso d’uso del Captive Portal è chiaro: BYOD, guest, dispositivi non gestiti o fallback.
  • L’FQDN e il certificato per il captive Portal sono puliti.
  • L’app Microsoft Entra ID con URI di reindirizzamento, ID client, ID tenant e segreto client è documentata.
  • Sono impostati le autorizzazioni dell’API Microsoft Graph e il consenso dell’amministratore.
  • Le assegnazioni delle app aziendali vengono selezionate se Assegnazione richiesta è attiva.
  • Il segreto del cliente ha data di scadenza, proprietario e processo di rotazione.
  • L’URI di reindirizzamento del Captive Portal è stato rilevato dal firewall e inserito esattamente nell’ID Entra.
  • Autenticazione > Servizi utilizza il server Entra corretto per Captive Portal.
  • Autenticazione > Autenticazione Web utilizza HTTPS e le impostazioni appropriate della finestra del browser.
  • Amministrazione > Accesso al dispositivo consente il captive Portal solo nelle zone richieste.
  • Gli endpoint di accesso Microsoft possono essere raggiunti dalla rete client.
  • Il filtraggio Web e l’ispezione TLS non bloccano il flusso SSO.
  • L’autenticazione a più fattori e l’accesso condizionale sono pianificati e testati in Microsoft Entra ID.
  • Corrispondenza del gruppo Entra e del gruppo firewall.
  • Le regole del captive Portal con Entra ID SSO tengono conto del gruppo principale dell’utente di prova.
  • L’utente di prova può accedere e quindi applicare la regola firewall prevista.
  • Il visualizzatore di log mostra l’utente, l’ID della regola e l’azione.
  • oauth_sso_captive.log e access_server.log sono noti per i casi di supporto.
  • Il fallback per il guasto Entra o Portal è documentato.

Domande frequenti

Captive Portal con Entra ID SSO è uguale a Sophos Connect SSO?

No. Captive Portal autentica gli utenti sulla rete locale tramite browser in modo che le regole basate sull’utente possano avere effetto. Sophos Connect SSO fa parte di Accesso remoto e Portale VPN.

Il captive Portal deve essere accessibile al pubblico?

No. Il Captive Portal è solitamente destinato alle zone interne o Wi-Fi. L’accessibilità dovrebbe essere impostata nel modo più restrittivo possibile tramite Accesso al dispositivo.

Perché la regola utente non corrisponde nonostante un accesso riuscito?

Il login conferma solo l’autenticazione. Quindi la zona di origine, la rete di origine, il gruppo di utenti, la posizione della regola e il traffico effettivo devono corrispondere alla regola. Per Entra ID SSO tramite Captive Portal, dovresti anche verificare se la regola utilizza il gruppo primario dell’utente.

Quale file di registro è importante per Entra Captive Portal SSO?

oauth_sso_captive.log è importante per il flusso SSO OAuth del captive Portal. Inoltre dovresti controllare Log Viewer e access_server.log.

È possibile utilizzare Entra ID e l'autenticazione AD locale in parallelo?

A seconda del design, questo può funzionare, ma aumenta il rischio di errori. Se gli stessi utenti vengono autenticati in parallelo tramite Entra ID SSO e AD on-premise, sessioni, gruppi e percorsi di accesso dovrebbero essere testati in modo particolarmente accurato.