Naar de inhoud
Avanet

Microsoft Entra ID SSO instellen voor Sophos Connect en VPN Portal

Sophos Firewall

Met Microsoft Entra ID SSO kan de Sophos Firewall gebruikers voor het VPN Portal en voor Remote Access via Sophos Connect authenticeren tegen Microsoft Entra ID. Voor veel Microsoft 365-omgevingen is dit zinvoller dan aparte lokale firewall-wachtwoorden, omdat identiteit, Conditional Access en MFA centraal worden beheerd in de Identity Provider.

Het voordeel is echter alleen reëel als de hele keten goed is gepland: Entra-app, Redirect URI’s, VPN Portal, Sophos Connect, authenticatiemethoden, groepen, Device Access en clientprofielen moeten op elkaar aansluiten. Dit artikel beschrijft de praktische procedure voor VPN Portal, SSL VPN en IPsec Remote Access met Sophos Connect.

Voor de algemene Sophos-Connect-configuratie past eerst Sophos Connect op Sophos Firewall configureren. Dit artikel vult de identity- en SSO-specifieke stappen aan.

Wat Entra ID SSO op de firewall doet

Sophos Firewall integreert Microsoft Entra ID SSO via OAuth 2.0 en OpenID Connect. De firewall gebruikt Entra ID als authenticatieserver en kan gebruikers voor meerdere diensten aanmelden.

Voor Remote Access zijn vooral deze diensten relevant:

  • VPN Portal
  • SSL VPN via Sophos Connect
  • IPsec Remote Access via Sophos Connect

Voor Captive Portal geldt een andere procedure: daar meldt een gebruiker zich al aan in het lokale netwerk via een browser, zodat gebruikersgebaseerde regels van toepassing zijn. Dit geval wordt apart beschreven in Microsoft Entra ID SSO voor Sophos Firewall Captive Portal instellen.

Belangrijk is de afbakening: de firewall blijft verantwoordelijk voor VPN, policies, gebruikersgroepsmatching en toegang via firewallregels. Entra ID neemt de identiteitsverificatie, SSO en Entra-gebaseerde MFA over.

Wanneer Entra ID SSO zinvol is

Entra ID SSO is geschikt wanneer gebruikers toch al met Microsoft 365 werken en de organisatie Conditional Access of Entra-MFA als centrale beveiligingscontrole gebruikt.

Typische redenen:

  • Gebruikers hoeven geen aparte firewall-wachtwoorden te beheren.
  • MFA moet via Entra ID in plaats van via Sophos OTP verlopen.
  • Remote Access moet sterker aan gebruikersstatus, groepen en Conditional Access worden gekoppeld.
  • Helpdesk en beveiligingsteam moeten identiteitsprocessen centraal in Entra ID beheren.
  • Lokale firewall-gebruikers moeten worden verminderd.

Niet elke omgeving moet onmiddellijk overstappen. Bij kleine installaties zonder goed Entra-groepenmodel kan Sophos-eigen MFA eenvoudiger zijn. Voor de klassieke OTP-variant past MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren.

Vereisten en beperkingen

Voor de installatie moeten deze punten zijn vervuld:

  • Sophos Firewall met ondersteunde SFOS-versie.
  • Microsoft Entra Tenant met toestemming om een App Registration te maken.
  • Openbare FQDN voor het VPN Portal of de Remote-Access-toegang.
  • Geldig certificaat voor de openbare naam.
  • VPN Portal is bereikbaar via de benodigde zone.
  • Sophos Connect 2.4 of nieuwer op Windows, als SSO in de client moet worden gebruikt.
  • Gebruikers of groepen zijn correct aanwezig in Entra ID.
  • Firewall en Entra ID hebben de juiste tijd.
  • Microsoft-login-URL’s zijn bereikbaar vanaf de clients en, afhankelijk van het verkeerspad, vanaf de firewall.

Belangrijke beperkingen:

  • Voor Sophos Connect SSO noemt Sophos Windows-eindpunten met Sophos Connect 2.4 of nieuwer.
  • Als Microsoft Entra ID SSO wordt gebruikt, wordt MFA in de Identity Provider gebruikt. De Sophos-firewall-eigen MFA kan voor deze authenticatiemethode niet extra worden gebruikt.
  • Per authenticatiemethode kan slechts één Microsoft-Entra-ID-server worden geselecteerd.
  • Gebruikers uit hetzelfde domein moeten niet tegelijkertijd via AD en Microsoft Entra ID worden gesynchroniseerd.
  • In HA-clusters moet men er momenteel niet van uitgaan dat Microsoft Entra ID SSO voor de WebAdmin van de Auxiliary Firewall werkt.

Architectuur plannen

Voor de technische installatie moet worden vastgesteld welke diensten SSO gebruiken.

GebiedBeslissing
VPN PortalMoet de aanmelding bij het portal via Entra ID plaatsvinden?
SSL VPNMoet SSL VPN via Sophos Connect met Entra SSO worden gebruikt?
IPsec Remote AccessMoet IPsec Remote Access via Sophos Connect met Entra SSO worden gebruikt?
Provisioning-bestandWordt een automatisch provisioning-bestand gebruikt?
GroepenWelke Entra-groepen mogen VPN gebruiken?
MFAWelke Conditional-Access- en MFA-regels gelden voor Remote Access?
FallbackWat gebeurt er als Entra ID of internettoegang tot Microsoft niet beschikbaar is?

Als een provisioning-bestand wordt gebruikt, moet de daarin ingestelde gateway-waarde overeenkomen met de FQDN of het IP dat in de Microsoft-Entra-ID-configuratie van de firewall als Redirect URI wordt gebruikt. Na wijzigingen aan Entra ID of aan de firewall-configuratie moeten gebruikers de bijgewerkte configuratie opnieuw importeren.

Microsoft Entra ID Server op de firewall aanmaken

Het menupad is:

Authentication > Servers

Procedure op de firewall:

  1. Add openen.
  2. Als Server type de optie Microsoft Entra ID SSO selecteren.
  3. Een duidelijke servernaam geven.
  4. Application (client) ID uit de Entra-app invoeren.
  5. Directory (tenant) ID invoeren.
  6. Client secret invoeren.
  7. Redirect-URI-FQDN controleren of handmatig instellen.
  8. Fallback-groep vaststellen.
  9. Als WebAdmin-SSO nodig is, rollen- of groepenmapping op administratorprofielen plannen.
  10. Test connection uitvoeren.
  11. Opslaan.

Voor pure VPN-SSO-scenario’s is geen administrator-rolmapping nodig. Dan moet de server als gebruikersdienst worden gepland, niet als algemene admin-toegang.

⚠️ Client Secrets zijn productieve toegangsgegevens. Vervaldatum, rotatie, verantwoordelijkheid en documentatie moeten voor de uitrol worden vastgesteld.

Authenticatiemethoden instellen

Na het aanmaken van de Microsoft-Entra-ID-server moet deze onder Authentication > Services aan de juiste diensten worden toegewezen.

Voor Remote Access zijn deze gebieden relevant:

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Als een provisioning-bestand wordt gebruikt, moet voor VPN Portal, IPsec en SSL VPN dezelfde Microsoft-Entra-ID-server worden gebruikt. Bij provisioning-bestanden is dezelfde serverselectie voor de authenticatiemethoden belangrijk, zodat clientprofiel, portal en Remote-Access-methode op elkaar aansluiten.

Na elke wijziging:

  1. Server in de betreffende methode selecteren.
  2. Server naar de juiste positie slepen, als er meerdere servers zijn.
  3. Apply per gewijzigde dienst uitvoeren.
  4. Testgebruiker gebruiken voordat de wijziging breed wordt uitgerold.

Redirect URI’s in Microsoft Entra ID invoeren

Om SSO te laten werken, moeten de firewall-URL’s in de Entra-app als Redirect URI’s worden opgeslagen.

Procedure:

  1. Op de firewall Authentication > Servers openen.
  2. De Microsoft-Entra-ID-server openen.
  3. De benodigde URL’s kopiëren:
    • Web admin console URL, als WebAdmin-SSO wordt gebruikt
    • Captive portal URL, als Captive Portal wordt gebruikt
    • VPN portal and remote access URL voor VPN Portal, Remote Access IPsec en SSL VPN
  4. In het Azure Portal naar Microsoft Entra ID > App registrations gaan.
  5. De toepassing voor de Sophos Firewall openen.
  6. Onder Manage > Authentication een webplatform toevoegen of het bestaande webplatform bewerken.
  7. De gekopieerde Redirect URI’s invoegen.
  8. Opslaan.

Een veelgemaakte fout is een andere hostnaam in clientprofiel, Redirect URI, certificaat en openbaar DNS. Deze waarden moeten voor de uitrol bewust worden afgestemd.

Als niet Remote Access, maar Captive Portal wordt beschermd, moet daarnaast de Captive-Portal-specifieke procedure worden gecontroleerd: Device Access voor de clientzone, Captive-Portal-authenticatiemethode, gebruikersgroep en latere firewall-regelmatching.

VPN Portal via Device Access vrijgeven

Microsoft Entra ID SSO voor Remote Access gebruikt de poort van het VPN Portal voor communicatie met de firewall. Daarom moet het VPN Portal onder Administration > Device access voor de benodigde zone zijn toegestaan.

Dit betekent niet dat men het VPN Portal wereldwijd ondoordacht moet openen. Remote Access is een openbaar toegankelijke aanvalsvector. Voor productieve omgevingen moet men daarnaast controleren:

  • geldig openbaar certificaat
  • MFA en Conditional Access in Entra ID
  • zo mogelijk beperkte land- of bronbeperking
  • logging en beoordeling van inlogpogingen
  • duidelijke deactivering van niet meer benodigde gebruikers

De hardening van lokale firewall-diensten is beschreven in Device Access en Local Service ACL op Sophos Firewall.

Microsoft-login-URL’s toestaan

Clients en betrokken firewall-paden moeten Microsoft-Entra-ID-eindpunten kunnen bereiken. Dit omvat meerdere Microsoft-login- en CDN-URL’s, zoals login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net en andere Azure-/Microsoft-Online-domeinen.

In restrictieve omgevingen moet men niet pas bij de uitrol ontdekken dat inlogpagina’s, JavaScript of token-eindpunten worden geblokkeerd. Het is zinvol om:

  • Microsoft-URL-lijst uit de actuele Sophos- en Microsoft-documentatie te controleren.
  • FQDN Hosts of FQDN Host Groups correct te benoemen.
  • Firewallregel voor DNS en HTTPS bewust in te stellen.
  • Bij directe Web Proxy daarnaast Web Exceptions te controleren.
  • Logging in te schakelen totdat de SSO-aanmelding stabiel werkt.

Groepen en VPN-rechten controleren

SSO alleen geeft nog geen VPN-toegang. De gebruiker moet ook in de juiste Remote-Access-configuratie zijn toegestaan.

Te controleren:

  • Entra-groep is in de firewall geïmporteerd of wordt correct gemapt.
  • Groep is bij Remote Access IPsec onder Allowed users and groups geselecteerd.
  • Groep is bij SSL VPN onder Policy members geselecteerd.
  • Firewallregels staan verkeer uit de VPN-zone alleen naar de benodigde doelen toe.
  • Gebruiker is niet alleen geauthenticeerd, maar krijgt ook de verwachte policy.

Als de tunnel verbonden is, maar er geen verkeer plaatsvindt, is vaak niet SSO de oorzaak, maar regelwerk, routing, DNS of NAT. Voor de analyse past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

UPN, e-mail en groepenmatching controleren

Bij Microsoft Entra ID SSO moet men gebruikersidentiteit en groepenmatching bijzonder zorgvuldig controleren. Een login kan bij de Identity Provider succesvol zijn en op de firewall toch verkeerd worden toegewezen als UPN, e-mailadres, geïmporteerde groep of lokale gebruikersidentificatie niet overeenkomen.

Dit is vooral relevant in omgevingen waar gebruikers historisch verschillende waarden hebben:

Entra-waardeVoorbeeldRisico op de firewall
User Principal Namemax.muster@example.comWordt vaak als eigenlijke loginnaam verwacht
E-mailadresm.muster@example.comKan afwijken en bij toewijzing of portal-login verwarren
WeergavenaamMax MusterVoor mensen leesbaar, maar niet geschikt als technische identificatie
GroepVPN-UsersMoet op de firewall worden geïmporteerd en in de juiste Remote-Access-configuratie worden gebruikt

In de lijst met bekende problemen is een speciaal geval gedocumenteerd waarbij Azure-AD-gebruikers zich niet kunnen aanmelden bij het SSL-VPN- of IPsec-portal als e-mailadres en UPN verschillend zijn. Voor de praktijk betekent dit: bij Entra-ID-SSO-problemen moet men niet alleen Redirect URI en Client Secret controleren, maar ook de gebruikersattributen.

Praktische controleprocedure:

  1. Testgebruiker in Microsoft Entra ID openen.
  2. UPN en e-mailadres vergelijken.
  3. Controleren of de gebruiker lid is van de geplande VPN-groep.
  4. Op de firewall de geïmporteerde groep openen en controleren of de gebruiker daar zoals verwacht verschijnt.
  5. Onder Authentication > Services controleren of de juiste Microsoft-Entra-ID-server voor VPN Portal, SSL VPN en IPsec is geselecteerd.
  6. Testlogin uitvoeren en Log Viewer en oauth_sso_vpn.log controleren.

Als alleen individuele gebruikers zijn getroffen, is een attribuut- of groepenprobleem waarschijnlijker dan een algemene Entra-ID-serverfout. Als alle gebruikers zijn getroffen, eerst Tenant ID, Client ID, Client Secret, Redirect URI’s, tijd en Microsoft-eindpunten controleren.

Bij gebruikersregels na succesvolle VPN-login geldt bovendien: de firewallregel moet de gebruiker of de groep in het daadwerkelijke verkeer zien. Als de tunnel staat, maar de geplande gebruikersregel niet matched, past de analyse uit Sophos Firewall Regel grijpt niet: Oorzaken controleren.

Sophos Connect en Provisioning testen

Voor Sophos Connect geldt: na de Entra-ID-configuratie of na wijzigingen aan de SSO-configuratie moet de clientconfiguratie opnieuw worden geïmporteerd.

Testprocedure:

  1. Huidige Sophos Connect Client op Windows installeren.
  2. Passende provisioning- of VPN-configuratie importeren.
  3. Controleren of de SSO-optie in de client zichtbaar en aanklikbaar is.
  4. Aanmelden met Entra ID.
  5. MFA of Conditional Access zoals gepland activeren.
  6. Tunnelstatus controleren.
  7. VPN-IP, DNS, interne doelen en firewall-regelmatch controleren.
  8. Op een gedeeld apparaat een geforceerde SSO-heraanmelding testen.

Voor de clientinstallatie op Windows past Sophos Connect Client op Windows installeren. Voor SSL VPN met Sophos Connect past daarnaast Sophos SSL VPN met Sophos Connect op Windows instellen.

Bedrijf en beveiliging

Entra ID SSO verplaatst de login-beveiliging sterker naar de Identity Provider. Dit is goed als Entra ID goed wordt beheerd. Het is problematisch als groepen, Conditional Access of App Secrets terloops worden beheerd.

In het bedrijf moeten deze punten regelmatig worden gecontroleerd:

  • App Secret verloopt niet onverwacht.
  • Entra-groepen bevatten alleen geautoriseerde gebruikers.
  • Conditional Access geldt voor Remote Access.
  • Break-Glass- en fallback-toegangen zijn gedocumenteerd.
  • VPN Portal is alleen zo breed bereikbaar als nodig.
  • Sophos Connect-versies zijn actueel.
  • Oude clientprofielen worden na wijzigingen uit omloop genomen.
  • Logs worden bij inlogproblemen vroeg gecontroleerd.

Voor de clientzijde moet daarnaast een eigen updateproces bestaan. Het artikel Sophos Connect Client Versie controleren en veilig bijwerken vat samen welke Windows-, macOS-, SSO-, OTP- en provisioning-onderwerpen voor een uitrol moeten worden gecontroleerd.

Met SFOS 22 MR1 heeft Sophos de herbeoordeling van Conditional-Access-policies bij hergebruikte SSO-sessies verbeterd. Voor omgevingen die Entra-MFA als beveiligingsgrens gebruiken, is dit een belangrijke reden om de firewallversie actueel te houden.

Problemen oplossen

SSO-knop is in de Sophos Connect Client niet bruikbaar

Als de client meldt dat SSO niet is geconfigureerd, eerst de verbinding met de Microsoft-Entra-ID-server op de firewall testen. Daarna onder Authentication > Services controleren of de Entra-ID-server voor SSL VPN of IPsec en VPN Portal correct is ingesteld.

Gebruiker mag zich niet aanmelden bij het VPN Portal

Dan kan SSO in principe werken, maar de VPN-rechten ontbreken. Controleren of de Entra-groep in de Remote-Access-IPsec-configuratie onder Allowed users and groups of bij SSL VPN onder Policy members is opgenomen.

Alleen individuele gebruikers kunnen zich niet aanmelden

Dan eerst UPN, e-mailadres, groepslidmaatschap en geïmporteerde firewall-groep controleren. Vooral bij gebruikers met afwijkend e-mailadres, gewijzigde namen of gemigreerde accounts kan de technische identificatie anders zijn dan verwacht.

Microsoft meldt verkeerde Tenant of verkeerde Application

Dan komen vaak authenticatiemethoden, Entra-app, Tenant ID of de serverselectie op de firewall niet overeen. Vooral bij meerdere Entra-ID-servers moet worden gecontroleerd of VPN Portal, SSL VPN en IPsec dezelfde verwachte server gebruiken.

Redirect of login eindigt op foutpagina

FQDN, certificaat, openbaar DNS, Redirect URI en Gateway-waarde van het provisioning-bestand vergelijken. Zelfs kleine afwijkingen bij hostnaam, poort of pad kunnen de OAuth/OIDC-flow verstoren.

Groepenimport werkt niet

Tijd van de firewall, tenantgegevens, app-rechten, Client Secret en bereikbaarheid van de Microsoft-eindpunten controleren. Als bestaande lokale groepen niet overeenkomen met Entra-groepen, moet worden besloten of ze worden opgeschoond, gemapt of handmatig beheerd.

Verbinding staat, maar interne systemen zijn niet bereikbaar

Dan is de authenticatie waarschijnlijk niet meer de hoofdfout. VPN-IP, DNS, firewallregels, NAT, routing en doelsysteem controleren. In de Log Viewer moet zichtbaar zijn welke regel verkeer uit de VPN-zone raakt.

Checklist

  • Entra-app met Client ID, Tenant ID en Client Secret is gedocumenteerd.
  • Redirect URI’s voor VPN Portal en Remote Access zijn in Entra ID ingevoerd.
  • Openbare FQDN, certificaat en provisioning-gateway komen overeen.
  • VPN Portal is onder Device Access bewust toegestaan.
  • Microsoft-login-URL’s zijn bereikbaar.
  • Authentication Services gebruiken de juiste Entra-ID-server.
  • VPN-groepen zijn geïmporteerd en in SSL/IPsec policies toegestaan.
  • UPN, e-mailadres en groepslidmaatschap zijn met een testgebruiker gecontroleerd.
  • Sophos Connect 2.4 of nieuwer is op Windows in gebruik.
  • Clientprofielen zijn na wijzigingen opnieuw geïmporteerd.
  • Entra-MFA en Conditional Access zijn met testgebruiker gecontroleerd.
  • oauth_sso_vpn.log, Log Viewer en Access-Server-logs zijn voor probleemoplossing bekend.

Veelgestelde vragen

Ondersteunt Sophos Connect Entra ID SSO op macOS?

Voor Entra ID SSO in de Sophos Connect Client noemt Sophos Windows-apparaten met Sophos Connect 2.4 of nieuwer. macOS-ondersteuning moet daarom niet als vanzelfsprekend worden ingepland, ook al ondersteunt Sophos Connect op macOS andere Remote-Access-scenario’s.

Heb je nog steeds Sophos MFA nodig als Entra ID SSO wordt gebruikt?

Voor Microsoft Entra ID SSO gebruikt men MFA in de Identity Provider. De firewall-eigen MFA kan voor deze authenticatiemethode niet extra worden gebruikt.

Moet het VPN Portal vanaf het internet bereikbaar zijn?

Voor Remote Access moet het VPN Portal via de benodigde zone bereikbaar zijn, omdat Entra ID SSO de VPN-Portal-poort gebruikt. Toch moet de toegang via Device Access, certificaat, logging, Entra-MFA en indien mogelijk bron- of landbeperking worden gehard.

Waarom moet Sophos Connect de configuratie opnieuw importeren?

Na wijzigingen aan Microsoft Entra ID of aan de firewall-configuratie bevat de oude clientconfiguratie mogelijk niet meer de juiste gateway- of SSO-verwijzing. Daarom moeten gebruikers de bijgewerkte configuratie opnieuw importeren.

Waarom faalt Entra ID SSO alleen bij individuele gebruikers?

Vaak ligt het aan afwijkende gebruikersattributen of groepen. UPN, e-mailadres, geïmporteerde Entra-groep en toegestane Remote-Access-groep moeten gericht worden vergeleken voordat men de gehele SSO-configuratie wijzigt.

Welke logs helpen bij Entra ID SSO problemen?

Voor VPN-SSO is oauth_sso_vpn.log relevant. Daarnaast helpen Log Viewer, access_server.log en afhankelijk van het VPN-protocol sslvpn.log of strongswan.log. Een logoverzicht staat in Sophos Firewall Troubleshooting: Services en Logs.