Vai al contenuto
Avanet

Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal

Sophos Firewall

Con Microsoft Entra ID SSO, Sophos Firewall può autenticare gli utenti per il VPN Portal e per l’accesso remoto tramite Sophos Connect contro Microsoft Entra ID. Per molte ambienti Microsoft 365, questo è più sensato rispetto a password firewall locali separate, poiché identità, accesso condizionale e MFA sono gestiti centralmente nel provider di identità.

Il vantaggio è reale solo se l’intera catena è pianificata correttamente: l’app Entra, le URI di reindirizzamento, il VPN Portal, Sophos Connect, i metodi di autenticazione, i gruppi, l’accesso ai dispositivi e i profili client devono essere coerenti. Questo articolo descrive il processo pratico per VPN Portal, SSL VPN e IPsec Remote Access con Sophos Connect.

Per la configurazione generale di Sophos Connect, inizia con Configurare Sophos Connect su Sophos Firewall. Questo articolo integra i passaggi specifici per l’identità e SSO.

Cosa fa Entra ID SSO sul firewall

Sophos Firewall integra Microsoft Entra ID SSO tramite OAuth 2.0 e OpenID Connect. Il firewall utilizza Entra ID come server di autenticazione e può autenticare gli utenti per diversi servizi.

Per l’accesso remoto, questi servizi sono particolarmente rilevanti:

  • VPN Portal
  • SSL VPN tramite Sophos Connect
  • IPsec Remote Access tramite Sophos Connect

Per il Captive Portal si applica un altro processo: qui un utente si autentica già nella rete locale tramite browser affinché le regole basate sugli utenti siano applicate. Questo caso è descritto separatamente in Configurare Microsoft Entra ID SSO per Sophos Firewall Captive Portal.

È importante la distinzione: il firewall continua a gestire VPN, politiche, corrispondenza dei gruppi di utenti e accesso tramite regole firewall. Entra ID gestisce la verifica dell’identità, SSO e MFA basato su Entra.

Quando Entra ID SSO è utile

Entra ID SSO è adatto quando gli utenti lavorano già con Microsoft 365 e l’organizzazione utilizza l’accesso condizionale o Entra-MFA come controllo di sicurezza centrale.

Motivi tipici:

  • Gli utenti non devono gestire password firewall separate.
  • MFA deve essere gestito tramite Entra ID anziché tramite Sophos OTP.
  • L’accesso remoto deve essere più strettamente legato allo stato dell’utente, ai gruppi e all’accesso condizionale.
  • Helpdesk e team di sicurezza devono gestire i processi di identità centralmente in Entra ID.
  • Gli utenti firewall locali devono essere ridotti.

Non tutte le ambienti dovrebbero passare immediatamente. In installazioni piccole senza un modello di gruppo Entra pulito, l’MFA di Sophos potrebbe essere più semplice. Per la variante OTP classica, consulta Attivare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access.

Prerequisiti e limiti

Prima della configurazione, assicurati che questi punti siano soddisfatti:

  • Sophos Firewall con versione SFOS supportata.
  • Tenant Microsoft Entra con autorizzazione per creare una registrazione app.
  • FQDN pubblico per il VPN Portal o l’accesso remoto.
  • Certificato valido per il nome pubblico.
  • VPN Portal è raggiungibile tramite la zona necessaria.
  • Sophos Connect 2.4 o successivo su Windows, se si utilizza SSO nel client.
  • Utenti o gruppi sono presenti correttamente in Entra ID.
  • Firewall e Entra ID hanno l’ora corretta.
  • Gli URL di login Microsoft sono raggiungibili dai client e, a seconda del percorso del traffico, dal firewall.

Limitazioni importanti:

  • Per Sophos Connect SSO, Sophos menziona endpoint Windows con Sophos Connect 2.4 o successivo.
  • Se si utilizza Microsoft Entra ID SSO, si utilizza MFA nel provider di identità. L’MFA proprio del firewall non può essere utilizzato in aggiunta per questo metodo di autenticazione.
  • Per ogni metodo di autenticazione può essere selezionato solo un server Microsoft Entra ID.
  • Gli utenti dello stesso dominio non dovrebbero essere sincronizzati contemporaneamente tramite AD e Microsoft Entra ID.
  • Nei cluster HA, attualmente non si dovrebbe presumere che Microsoft Entra ID SSO funzioni per il WebAdmin del firewall ausiliario.

Pianificare l’architettura

Prima della configurazione tecnica, è necessario decidere quali servizi utilizzeranno SSO.

AreaDecisione
VPN PortalL’accesso al portale deve avvenire tramite Entra ID?
SSL VPNSSL VPN deve essere utilizzato tramite Sophos Connect con Entra SSO?
IPsec Remote AccessIPsec Remote Access deve essere utilizzato tramite Sophos Connect con Entra SSO?
File di provisioningViene utilizzato un file di provisioning automatico?
GruppiQuali gruppi Entra possono utilizzare VPN?
MFAQuali regole di accesso condizionale e MFA si applicano all’accesso remoto?
FallbackCosa succede se Entra ID o l’accesso a Internet a Microsoft non è disponibile?

Se viene utilizzato un file di provisioning, il valore gateway impostato deve corrispondere al FQDN o all’IP utilizzato nella configurazione Microsoft Entra ID del firewall come URI di reindirizzamento. Dopo le modifiche a Entra ID o alla configurazione del firewall, gli utenti devono importare nuovamente la configurazione aggiornata.

Creare un server Microsoft Entra ID sul firewall

Il percorso del menu è:

Authentication > Servers

Procedura sul firewall:

  1. Apri Add.
  2. Seleziona l’opzione Microsoft Entra ID SSO come Server type.
  3. Assegna un nome descrittivo al server.
  4. Inserisci Application (client) ID dall’app Entra.
  5. Inserisci Directory (tenant) ID.
  6. Inserisci Client secret.
  7. Verifica o imposta manualmente il FQDN dell’URI di reindirizzamento.
  8. Imposta il gruppo di fallback.
  9. Se è necessario SSO WebAdmin, pianifica il mapping di ruoli o gruppi sui profili amministrativi.
  10. Esegui Test connection.
  11. Salva.

Per scenari SSO VPN puri, non è necessario il mapping del ruolo amministrativo. In tal caso, il server dovrebbe essere pianificato come servizio utente, non come accesso amministrativo generale.

⚠️ I Client Secrets sono dati di accesso produttivi. La data di scadenza, la rotazione, la responsabilità e la documentazione devono essere chiariti prima del rollout.

Impostare i metodi di autenticazione

Dopo aver creato il server Microsoft Entra ID, deve essere assegnato ai servizi appropriati sotto Authentication > Services.

Per l’accesso remoto, queste aree sono rilevanti:

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Se viene utilizzato un file di provisioning, dovrebbe essere utilizzato lo stesso server Microsoft Entra ID per VPN Portal, IPsec e SSL VPN. Nei file di provisioning, è importante la stessa selezione del server per i metodi di autenticazione, in modo che il profilo client, il portale e il metodo di accesso remoto siano coerenti.

Dopo ogni modifica:

  1. Seleziona il server nel metodo appropriato.
  2. Trascina il server nella posizione corretta, se sono presenti più server.
  3. Esegui Apply per ogni servizio modificato.
  4. Utilizza un utente di test prima di distribuire ampiamente la modifica.

Inserire le URI di reindirizzamento in Microsoft Entra ID

Per far funzionare SSO, gli URL del firewall devono essere registrati nell’app Entra come URI di reindirizzamento.

Procedura:

  1. Apri Authentication > Servers sul firewall.
  2. Apri il server Microsoft Entra ID.
  3. Copia gli URL necessari:
    • URL della console di amministrazione web, se si utilizza SSO WebAdmin
    • URL del captive portal, se si utilizza il Captive Portal
    • URL del portale VPN e dell’accesso remoto per VPN Portal, Remote Access IPsec e SSL VPN
  4. Nel portale Azure, vai a Microsoft Entra ID > App registrations.
  5. Apri l’applicazione per Sophos Firewall.
  6. Sotto Manage > Authentication, aggiungi una piattaforma web o modifica la piattaforma web esistente.
  7. Inserisci le URI di reindirizzamento copiate.
  8. Salva.

Un errore comune è un hostname diverso nel profilo client, URI di reindirizzamento, certificato e DNS pubblico. Questi valori dovrebbero essere confrontati consapevolmente prima del rollout.

Se non si protegge l’accesso remoto, ma il Captive Portal, dovrebbe essere verificato anche il flusso specifico del Captive Portal: accesso ai dispositivi per la zona client, metodo di autenticazione del Captive Portal, gruppo di utenti e successivo matching delle regole firewall.

Consentire il VPN Portal tramite Device Access

Microsoft Entra ID SSO per l’accesso remoto utilizza la porta del VPN Portal per comunicare con il firewall. Pertanto, il VPN Portal deve essere consentito sotto Administration > Device access per la zona necessaria.

Ciò non significa che il VPN Portal debba essere aperto indiscriminatamente in tutto il mondo. L’accesso remoto è una superficie di attacco pubblicamente accessibile. Per ambienti produttivi, dovresti anche verificare:

  • certificato pubblico valido
  • MFA e accesso condizionale in Entra ID
  • limitazione geografica o di origine il più stretta possibile, se realistico
  • registrazione e revisione dei tentativi di accesso
  • disattivazione chiara degli utenti non più necessari

Il rafforzamento dei servizi firewall locali è descritto in Device Access e Local Service ACL su Sophos Firewall.

Consentire gli URL di login Microsoft

I client e i percorsi del firewall interessati devono poter raggiungere gli endpoint Microsoft Entra ID. Ciò include diversi URL di login e CDN Microsoft, ad esempio login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net e altri domini Azure/Microsoft Online.

In ambienti restrittivi, non dovresti scoprire solo al momento del rollout che le pagine di login, JavaScript o gli endpoint dei token sono bloccati. È sensato:

  • Verificare l’elenco degli URL Microsoft dalla documentazione attuale di Sophos e Microsoft.
  • Nominare correttamente gli host FQDN o i gruppi di host FQDN.
  • Impostare consapevolmente la regola firewall per DNS e HTTPS.
  • In caso di proxy web diretto, verificare eccezioni web aggiuntive.
  • Attivare la registrazione fino a quando l’accesso SSO non è stabile.

Verificare gruppi e autorizzazioni VPN

SSO da solo non concede l’accesso VPN. L’utente deve essere autorizzato anche nella configurazione di accesso remoto appropriata.

Da verificare:

  • Il gruppo Entra è stato importato nel firewall o è mappato correttamente.
  • Il gruppo è selezionato in Remote Access IPsec sotto Allowed users and groups.
  • Il gruppo è selezionato in SSL VPN sotto Policy members.
  • Le regole firewall consentono il traffico dalla zona VPN solo verso le destinazioni necessarie.
  • L’utente non è solo autenticato, ma riceve anche la policy prevista.

Se il tunnel è connesso ma non c’è traffico, spesso non è SSO la causa, ma regole, routing, DNS o NAT. Per l’analisi, consulta Testare la regola firewall con Log Viewer, Policy Test e Packet Capture.

Verificare UPN, e-mail e corrispondenza dei gruppi

Con Microsoft Entra ID SSO, dovresti verificare con particolare attenzione l’identità dell’utente e la corrispondenza dei gruppi. Un login può avere successo nel provider di identità e comunque essere assegnato in modo errato sul firewall se UPN, indirizzo e-mail, gruppo importato o identificativo utente locale non corrispondono.

Questo è particolarmente rilevante in ambienti in cui gli utenti hanno storicamente valori diversi:

Valore EntraEsempioRischio sul firewall
User Principal Namemax.muster@example.comSpesso atteso come vero nome di login
Indirizzo e-mailm.muster@example.comPuò differire e confondere nella corrispondenza o nel login al portale
Nome visualizzatoMax MusterLeggibile per le persone, ma non adatto come identificativo tecnico
GruppoVPN-UsersDeve essere importato nel firewall e utilizzato nella configurazione di accesso remoto corretta

Nella lista dei problemi noti è documentato un caso particolare in cui gli utenti Azure AD non possono accedere al portale SSL VPN o IPsec se l’indirizzo e-mail e l’UPN sono diversi. In pratica, questo significa che in caso di problemi con Entra ID SSO, non dovresti solo verificare URI di reindirizzamento e Client Secret, ma anche gli attributi degli utenti.

Procedura di verifica pratica:

  1. Apri l’utente di test in Microsoft Entra ID.
  2. Confronta UPN e indirizzo e-mail.
  3. Verifica se l’utente è membro del gruppo VPN pianificato.
  4. Sul firewall, apri il gruppo importato e controlla se l’utente appare come previsto.
  5. Sotto Authentication > Services, verifica se il server Microsoft Entra ID corretto è selezionato per VPN Portal, SSL VPN e IPsec.
  6. Esegui un test di login e verifica Log Viewer e oauth_sso_vpn.log.

Se solo alcuni utenti sono interessati, è più probabile che si tratti di un problema di attributi o gruppi piuttosto che di un errore generale del server Entra ID. Se tutti gli utenti sono interessati, verifica prima Tenant ID, Client ID, Client Secret, URI di reindirizzamento, ora e endpoint Microsoft.

Per le regole utente dopo un login VPN riuscito, inoltre: la regola firewall deve vedere l’utente o il gruppo nel traffico effettivo. Se il tunnel è attivo, ma la regola utente pianificata non corrisponde, consulta l’analisi in La regola Sophos Firewall non si applica: verificare le cause.

Testare Sophos Connect e il provisioning

Per Sophos Connect: dopo la configurazione di Entra ID o dopo modifiche alla configurazione SSO, la configurazione del client deve essere nuovamente importata.

Procedura di test:

  1. Installa l’attuale client Sophos Connect su Windows.
  2. Importa la configurazione di provisioning o VPN appropriata.
  3. Verifica se l’opzione SSO è visibile e cliccabile nel client.
  4. Accedi con Entra ID.
  5. Attiva MFA o accesso condizionale come pianificato.
  6. Verifica lo stato del tunnel.
  7. Verifica IP VPN, DNS, obiettivi interni e corrispondenza delle regole firewall.
  8. Su un dispositivo condiviso, testa un re-login SSO forzato.

Per l’installazione del client su Windows, consulta Installare Sophos Connect Client su Windows. Per SSL VPN con Sophos Connect, consulta anche Configurare Sophos SSL VPN con Sophos Connect su Windows.

Operatività e sicurezza

Entra ID SSO sposta la sicurezza del login più nel provider di identità. Questo è positivo se Entra ID è gestito correttamente. È problematico se gruppi, accesso condizionale o segreti delle app sono gestiti superficialmente.

In operatività, questi punti dovrebbero essere verificati regolarmente:

  • Il segreto dell’app non scade inaspettatamente.
  • I gruppi Entra contengono solo utenti autorizzati.
  • L’accesso condizionale si applica all’accesso remoto.
  • Gli accessi di emergenza e fallback sono documentati.
  • Il VPN Portal è raggiungibile solo quanto necessario.
  • Le versioni di Sophos Connect sono aggiornate.
  • I vecchi profili client vengono ritirati dopo le modifiche.
  • I log vengono esaminati tempestivamente in caso di problemi di accesso.

Per il lato client, dovrebbe esistere anche un processo di aggiornamento separato. L’articolo Verificare e aggiornare in sicurezza la versione del client Sophos Connect riassume quali argomenti Windows, macOS, SSO, OTP e provisioning dovrebbero essere verificati prima di un rollout.

Con SFOS 22 MR1, Sophos ha migliorato la rivalutazione delle politiche di accesso condizionale nelle sessioni SSO riutilizzate. Per ambienti che utilizzano Entra-MFA come barriera di sicurezza, questo è un motivo importante per mantenere aggiornata la versione del firewall.

Risoluzione dei problemi

Il pulsante SSO non è utilizzabile nel client Sophos Connect

Se il client segnala che SSO non è configurato, testa prima la connessione al server Microsoft Entra ID sul firewall. Poi, sotto Authentication > Services, verifica se il server Entra ID è impostato correttamente per SSL VPN o IPsec e VPN Portal.

L’utente non può accedere al VPN Portal

In tal caso, SSO può funzionare in generale, ma manca l’autorizzazione VPN. Verifica se il gruppo Entra è incluso nella configurazione di Remote Access IPsec sotto Allowed users and groups o in SSL VPN sotto Policy members.

Solo alcuni utenti non possono accedere

In tal caso, verifica prima UPN, indirizzo e-mail, appartenenza al gruppo e gruppo firewall importato. Soprattutto per utenti con indirizzo e-mail diverso, nomi modificati o account migrati, l’identificativo tecnico può apparire diverso da quanto previsto.

Microsoft segnala tenant o applicazione errati

In tal caso, spesso i metodi di autenticazione, l’app Entra, il Tenant ID o la selezione del server sul firewall non corrispondono. Soprattutto con più server Entra ID, verifica se VPN Portal, SSL VPN e IPsec utilizzano lo stesso server previsto.

Il reindirizzamento o il login termina su una pagina di errore

Confronta FQDN, certificato, DNS pubblico, URI di reindirizzamento e valore gateway del file di provisioning. Anche piccole discrepanze in hostname, porta o percorso possono disturbare il flusso OAuth/OIDC.

L’importazione dei gruppi non funziona

Verifica l’ora del firewall, i dati del tenant, le autorizzazioni dell’app, il Client Secret e la raggiungibilità degli endpoint Microsoft. Se i gruppi locali esistenti non corrispondono ai gruppi Entra, deve essere deciso se devono essere ripuliti, mappati o gestiti manualmente.

La connessione è attiva, ma i sistemi interni non sono raggiungibili

In tal caso, probabilmente l’autenticazione non è più l’errore principale. Verifica IP VPN, DNS, regole firewall, NAT, routing e sistema di destinazione. Nel Log Viewer dovrebbe essere visibile quale regola colpisce il traffico dalla zona VPN.

Checklist

  • L’app Entra con Client ID, Tenant ID e Client Secret è documentata.
  • Le URI di reindirizzamento per VPN Portal e Remote Access sono registrate in Entra ID.
  • FQDN pubblico, certificato e gateway di provisioning corrispondono.
  • VPN Portal è consentito sotto Device Access consapevolmente.
  • Gli URL di login Microsoft sono raggiungibili.
  • I servizi di autenticazione utilizzano il server Entra ID corretto.
  • I gruppi VPN sono importati e consentiti nelle politiche SSL/IPsec.
  • UPN, indirizzo e-mail e appartenenza al gruppo sono stati verificati con un utente di test.
  • Sophos Connect 2.4 o successivo è in uso su Windows.
  • I profili client sono stati reimportati dopo le modifiche.
  • Entra-MFA e accesso condizionale sono stati verificati con un utente di test.
  • oauth_sso_vpn.log, Log Viewer e i log del server di accesso sono noti per la risoluzione dei problemi.

Domande frequenti

Sophos Connect supporta Entra ID SSO su macOS?

Per Entra ID SSO nel client Sophos Connect, Sophos menziona dispositivi Windows con Sophos Connect 2.4 o successivo. Il supporto per macOS non dovrebbe quindi essere considerato garantito, anche se Sophos Connect su macOS supporta altri scenari di accesso remoto.

È ancora necessario Sophos MFA se si utilizza Entra ID SSO?

Per Microsoft Entra ID SSO, si utilizza MFA nel provider di identità. L’MFA proprio del firewall non può essere utilizzato in aggiunta per questo metodo di autenticazione.

Il VPN Portal deve essere raggiungibile da Internet?

Per l’accesso remoto, il VPN Portal deve essere raggiungibile tramite la zona necessaria, poiché Entra ID SSO utilizza la porta del portale VPN. Tuttavia, l’accesso dovrebbe essere rafforzato tramite Device Access, certificato, registrazione, Entra-MFA e, se possibile, limitazione di origine o geografica.

Perché Sophos Connect deve reimportare la configurazione?

Dopo modifiche a Microsoft Entra ID o alla configurazione del firewall, la vecchia configurazione del client potrebbe non contenere più il riferimento corretto al gateway o SSO. Pertanto, gli utenti devono reimportare la configurazione aggiornata.

Perché Entra ID SSO fallisce solo per alcuni utenti?

Spesso è dovuto a attributi o gruppi utente divergenti. UPN, indirizzo e-mail, gruppo Entra importato e gruppo di accesso remoto consentito dovrebbero essere confrontati specificamente prima di modificare l’intera configurazione SSO.

Quali log aiutano con i problemi di Entra ID SSO?

Per VPN-SSO, oauth_sso_vpn.log è rilevante. Inoltre, aiutano Log Viewer, access_server.log e, a seconda del protocollo VPN, sslvpn.log o strongswan.log. Una panoramica dei log è disponibile in Risoluzione dei problemi di Sophos Firewall: Servizi e Log.