Saltar para o conteudo
Avanet

Configurar o Microsoft Entra ID SSO para o Sophos Firewall Captive Portal

Sophos Firewall

Com o SSO Microsoft Entra ID para Captive Portal, o Sophos Firewall pode autenticar usuários no Microsoft Entra ID por meio do navegador antes que as regras de firewall baseadas no usuário entrem em vigor. Isto é particularmente interessante para redes BYOD, zonas de convidados ou parceiros, dispositivos sem detecção transparente de AD ou ambientes onde o STAS não se adapta a todos os clientes.

É importante diferenciar: Portal cativo não é portal VPN e nem de acesso remoto. O usuário já está na rede local ou Wi-Fi e faz login no navegador para que o firewall possa atribuir o tráfego subsequente a uma identidade de usuário. Para acesso remoto com Sophos Connect, o artigo separado Configurar o SSO do Microsoft Entra ID para Sophos Connect e Portal VPN é adequado.

Quando o Portal Cativo com Entra ID SSO faz sentido

O portal cativo com SSO do Entra ID faz sentido se os usuários fizerem login no Microsoft 365 de qualquer maneira e o firewall precisar de uma identidade de usuário para determinadas redes.

Aplicações típicas:

  • Redes BYOD ou WiFi sem adesão ao domínio.
  • Convidados ou usuários externos com acesso controlado a alguns destinos.
  • Regras de Internet baseadas no usuário sem ESTAS ou SATC.
  • Redes onde a autenticação transparente não é confiável.
  • Cenários de transição onde a autenticação local do AD deve ser reduzida.

Para clientes Windows totalmente gerenciados em um domínio clássico, o Captive Portal não é automaticamente a melhor solução. Lá ESTAS, AD SSO ou outros procedimentos transparentes podem ser mais ergonômicos porque os usuários não precisam acionar ativamente um login no navegador. O portal cativo é mais uma solução alternativa ou especial para dispositivos não gerenciados.

Portal cativo separado, portal VPN e portal do usuário

Com o Entra ID SSO, os termos do portal são rapidamente confundidos. A separação é crucial para a configuração.

PortalFinalidadeCapa típica do Entra
Portal CativoUsuários da rede local fazem login via navegador para que regras com identidade de usuário tenham efeitoEntra ID SSO para login do navegador e mapeamento de usuários
Portal VPNUsuários de acesso remoto carregam configurações do Sophos Connect ou VPNEntra ID SSO para acesso remoto e login no portal
Portal do usuárioRecursos do usuário, como OTP ou opções pessoais mais antigasdependendo do ambiente ainda relevante para tokens ou opções do usuário

Uma visão geral do portal está disponível em Portais Sophos: SophosID, Central, Suporte e acesso ao firewall. Para o portal cativo você deve verificar, acima de tudo, de qual zona o serviço de firewall local pode ser alcançado e qual regra de firewall processa o tráfego real do usuário.

Requisitos

Antes da configuração, estes pontos devem ser esclarecidos:

  • Sophos Firewall com uma versão SFOS compatível com Microsoft Entra ID SSO.
  • Locatário do Microsoft Entra com permissão para registro de aplicativos, URIs de redirecionamento, permissões de API, consentimento de administrador e segredo do cliente.
  • FQDN e certificado para o portal cativo para que os usuários não vejam avisos desnecessários do navegador.
  • Acessibilidade dos pontos de extremidade de login da Microsoft na rede do cliente afetado.
  • O portal cativo é permitido em Administração > Acesso ao dispositivo para a zona correta.
  • Os usuários ou grupos são mantidos de forma limpa no Microsoft Entra ID.
  • As regras de firewall usam os usuários ou grupos esperados.
  • Um usuário de teste e acesso alternativo estão disponíveis.
  • O horário e o NTP no firewall e nos clientes estão corretos porque o OAuth/OIDC depende do tempo.
  • Se Atribuição necessária estiver ativa no Microsoft Entra ID, os usuários ou grupos necessários serão atribuídos ao Aplicativo Corporativo.

⚠️ O portal cativo é uma área de login no firewall. Só deverá ser acessível nas zonas onde for realmente necessário. O acesso ao dispositivo e o serviço local ACL são controles de segurança aqui, não apenas configurações de conexão.

Protegendo ou acessando o Sophos Firewall: Configure ou acesse o dispositivo corretamente é adequado para fortalecer serviços de firewall locais. Neste design, o MFA é implementado no Microsoft Entra ID, por exemplo, através do Acesso Condicional. O MFA local do Sophos Firewall não substitui o fator de login da Microsoft pelo Entra ID SSO. Geralmente, isso é melhor do ponto de vista do usuário porque o mesmo MFA é usado como Microsoft 365, mas deve ser cuidadosamente planejado e testado no locatário.

Planeje a arquitetura antes de mobiliar

Antes da configuração técnica, você deve decidir qual tarefa o portal cativo deve resolver especificamente. Caso contrário, você rapidamente terá um login que funciona, mas não aciona uma regra de firewall adequada.

Questões importantes de design:

PerguntaPor que é importante
Qual zona usa o Portal Cativo?O acesso ao dispositivo e a origem da regra dependem da zona.
Qual grupo de usuários tem permissão para fazer login?O grupo Entra deve corresponder à regra de firewall posterior.
Quais objetivos podem ser alcançados após o login?O portal cativo não substitui a segmentação limpa.
Por quanto tempo as sessões devem ser válidas?Sessões muito longas diluem a alocação de usuários e sessões muito curtas interrompem as operações.
O que acontece em caso de interrupção da Entra ou da Internet?É necessário que haja uma alternativa clara para trabalhos críticos.
Como o login é acionado?Os usuários precisam de um URL de portal cativo acessível ou de um redirecionamento limpo.

O Captive Portal não deve ser usado como substituto de VLANs, zonas ou regras mínimas de firewall. O firewall conhece melhor o usuário após o login, mas a arquitetura da rede ainda deve permanecer limpa. Configurar zonas e interfaces do Sophos Firewall é adequado para a lógica básica de zonas.

Criar servidor Microsoft Entra ID

A configuração consiste em duas partes: Primeiro, é preparado um registro do aplicativo no Microsoft Entra ID. Este aplicativo é então registrado como um servidor de autenticação no firewall Sophos.

Preparar o registro do aplicativo no Microsoft Entra ID

Um registro de aplicativo separado para o firewall deve ser criado no Microsoft Entra ID. Isso significa que URIs de redirecionamento, permissões e segredos do cliente permanecem claramente separados de outros aplicativos.

Processo típico:

  1. Abra o centro de administração do Microsoft Entra.
  2. Abra Registros de aplicativos > Novo registro.
  3. Dê um nome significativo, por exemplo Sophos-Firewall-Captive-Portal.
  4. Como regra, selecione seu próprio locatário como tipo de conta compatível.
  5. Use a plataforma Web.
  6. Anote ID do aplicativo (cliente) e ID do diretório (locatário).
  7. Crie um segredo do cliente em Certificados e segredos e salve imediatamente o valor do segredo com segurança.
  8. Em Permissões de API adicione as permissões necessárias do Microsoft Graph, normalmente User. Read. All e Group. Read. All.
  9. Conceda consentimento do administrador para as permissões.
  10. Se Atribuição necessária for usada, atribua os usuários ou grupos permitidos ao Aplicativo Corporativo.

Sem as permissões apropriadas da API e o consentimento do administrador, o login pode passar para o login da Microsoft, mas o firewall não pode avaliar corretamente os dados do usuário ou grupo. Na prática, isso geralmente parece um problema de portal cativo, mesmo que a causa esteja no Microsoft Entra ID.

Crie o servidor Entra ID no Sophos Firewall

O caminho do menu no Sophos Firewall é:

Authentication > Servers

Processo básico:

  1. Abra Adicionar.
  2. Selecione a opção Microsoft Entra ID SSO como Tipo de servidor.
  3. Atribua um nome descritivo, por exemplo Entra-SSO-Captive-Portal.
  4. Insira o ID do aplicativo (cliente) do aplicativo Entra.
  5. Insira ID do diretório (locatário).
  6. Insira Segredo do cliente.
  7. Dependendo do design, ative Corresponder usuários conhecidos se usuários ou grupos locais existentes precisarem ser mapeados.
  8. Use Usar autenticação web para usuários desconhecidos apenas se usuários desconhecidos forem deliberadamente tratados por meio de um grupo substituto.
  9. Defina um grupo substituto conscientemente e mantenha-o o mais restritivo possível.
  10. Teste a conexão.
  11. Salve.

O grupo substituto não deve receber ampla Internet ou compartilhamento de rede. Acima de tudo, é uma rede de segurança para que o usuário não obtenha incontrolavelmente mais acesso do que o planejado.> ⚠️ Client Secrets são dados de acesso produtivos. A data de expiração, rotação e responsabilidade devem ser documentadas. Um segredo expirado geralmente parece um problema normal de login do ponto de vista do usuário, mas na verdade é um problema operacional ou de configuração.

Insira URIs de redirecionamento corretamente

O URI de redirecionamento que corresponde ao firewall deve ser inserido no Registro do Aplicativo no Microsoft Entra ID. É crucial que o FQDN, o certificado, a porta e o caminho correspondam exatamente. Pequenas diferenças no nome do host, porta, protocolo ou barra são suficientes para que o processo OAuth/OIDC falhe.

O Sophos Firewall exibe os URLs de serviço necessários no servidor Entra ID. O URL do portal cativo é particularmente relevante para este artigo. Se WebAdmin ou Acesso Remoto com Entra ID SSO também forem usados, estes serviços terão seus próprios URLs:

URL do serviçoPara que é utilizado
URL do console de administração da WebEntrar ID SSO para WebAdmin Console
URL do portal cativoEntra ID SSO para Portal Cativo na rede local
Portal VPN e URL de acesso remotoEntra ID SSO para Portal VPN e Sophos Connect

Para o Portal Cativo, apenas o URI de Redirecionamento do Portal Cativo deve ser testado neste fluxo. A URL da VPN faz parte do design de acesso remoto e é abordada no artigo separado em Microsoft Entra ID SSO para Sophos Connect e Portal VPN.

Definir método de autenticação do portal cativo

Depois de criar o servidor Entra, o método de autenticação do Captive Portal deve apontar para o servidor correto.

A área relevante está em:

Authentication > Services

Para verificar:

  1. Abra a área Métodos de autenticação de portal cativo.
  2. Adicione ou arraste o servidor Microsoft Entra ID para a posição correta.
  3. Mantenha outros servidores de autenticação apenas se eles servirem como alternativa deliberada.
  4. Aplique a alteração com Aplicar.
  5. Faça um login de teste com um único usuário.

Se vários métodos de autenticação estiverem ativos em paralelo, deve ficar claro qual servidor é responsável por qual grupo de usuários. A operação mista do Entra ID e da autenticação local do AD pode funcionar, mas aumenta significativamente o esforço de solução de problemas. A lista de problemas conhecidos do Sophos documenta casos de SSO do Entra em que sessões mistas do Entra e do AD local podem levar a erros semelhantes ao no permission.

Além disso, você deve verificar em Autenticação > Autenticação Web como o portal cativo é aberto no navegador. HTTPS é importante para o SSO do Entra ID. A opção Usar HTTP inseguro em vez de HTTPS não deve ser ativada porque o fluxo Entra-OAuth sobre HTTP não é suportado adequadamente e seria desnecessariamente inseguro.

O seguinte é útil para a operação:

  1. Abra o Captive Portal em uma nova janela do navegador.
  2. Mantenha a janela do portal cativo aberta durante a sessão.
  3. Faça com que os usuários saiam conscientemente através do portal cativo se a associação for encerrada.
  4. Após fazer login, verifique em Atividades atuais > Usuários ativos se o usuário está visível.

Dependendo da interface e do certificado, a URL padrão https://<Firewall-IP>:8090 também pode ajudar nos testes. Um FQDN limpo com um certificado adequado é muito mais agradável para uma operação produtiva.

Verifique o acesso ao dispositivo e a acessibilidade do portal

Captive Portal é um serviço local do firewall. Uma regra de firewall normal por si só não permite esse acesso. A acessibilidade é controlada em Administração > Acesso ao dispositivo para a respectiva zona.

Você deve verificar:

  • O portal cativo só é permitido nas zonas obrigatórias.
  • Isso significa que WebAdmin e SSH não são acidentalmente também amplamente acessíveis.
  • O certificado e o FQDN correspondem ao URL do usuário.
  • O DNS na rede do cliente resolve o nome do portal corretamente.
  • Regras de exceção de ACL de serviço local só são definidas quando são realmente necessárias.

Se o Portal Cativo não estiver acessível a partir de uma rede, você não deverá criar primeiro uma regra de Permissão normal. A causa geralmente é acesso ao dispositivo, ACL de serviço local, DNS, certificado ou mapeamento de zona incorreto.

Considere o login da Microsoft e o filtro da webO cliente deve acessar as páginas de login da Microsoft e os recursos relacionados durante o login. Caso contrário, em redes restritivas, o fluxo SSO pode parar em um ponto que parece aos usuários um erro de firewall ou navegador.

Para verificar:

  • A resolução DNS para domínios de login da Microsoft funciona.
  • HTTPS para pontos de extremidade de login da Microsoft é permitido.
  • Filtro Web, inspeção TLS ou proxy não bloqueiam a página de login.
  • O tempo no firewall e no cliente é plausível.
  • Os cookies do navegador não são inutilizados por uma política rigorosa.

Em ambientes restritivos, você deve verificar explicitamente o login da Microsoft e os pontos de extremidade Entra. Dependendo do inquilino, do navegador e do caminho de login da Microsoft, estes domínios são relevantes, entre outros:

  • login.microsoftonline.com
  • *.login.microsoftonline.com
  • *.microsoftonline.com
  • *.msauth.net
  • *.msftauth.net
  • aadcdn.msauth.net
  • aadcdn.msftauth.net
  • aadcdn.msftauthimages.net
  • graph.microsoft.com

Se o filtro da web, um proxy ou inspeção TLS entrar em vigor antes do login, esses alvos não deverão ser descriptografados ou bloqueados desnecessariamente. A Seção Permitir URL da documentação do Entra ID deve ser verificada para políticas muito restritivas.

Se a Proteção Web ou Inspeção TLS estiver ativa, o login com um usuário de teste deverá ser observado no visualizador de log. Às vezes, o problema não é o Portal Cativo em si, mas uma política web, uma exceção TLS ou uma rede de cliente que não atinge totalmente os pontos finais da Microsoft.

Teste grupos de usuários e regras de firewall

Após um login bem-sucedido no portal cativo, a regra de firewall real deverá ver o usuário ou grupo no tráfego. Este é o teste prático mais importante.

Processo típico:

  1. Verifique os usuários no Microsoft Entra ID.
  2. Compare UPN, endereço de e-mail e associação ao grupo.
  3. Verifique o grupo Entra no Sophos Firewall.
  4. Faça login no portal cativo com usuário de teste.
  5. Em seguida, acione o tráfego real do usuário, por exemplo, HTTPS para um destino permitido.
  6. No Log Viewer, verifique se o usuário, grupo, zona de origem, rede de origem e ID da regra correspondem à regra esperada.

Um login bem-sucedido no navegador apenas comprova a autenticação. Isso não prova que a regra do usuário posterior se aplica. Se o contador de regras permanecer em 0 ou nenhum usuário estiver visível no visualizador de log, você deverá usar o fluxo de A regra do Sophos Firewall não funciona: verifique as causas.

Nota Grupo Primário para Portal Cativo de Entrada

Com portais cativos com SSO do Microsoft Entra ID, você deve verificar particularmente qual grupo o firewall realmente avalia para a regra de usuário subsequente. Para usuários do Entra-ID SSO, o acesso à Internet por meio do Portal Cativo só poderá funcionar se o Grupo Primário do usuário for usado na regra de firewall. Os grupos secundários não se comportam da mesma forma que os usuários clássicos do AD local.

Na prática, isso significa: Um usuário pode fazer login com êxito no portal cativo e ainda assim não atender à regra esperada se a regra apontar apenas para um grupo Entra secundário. Este erro rapidamente parece um problema de portal cativo, OAuth ou navegador, mesmo que o login em si esteja correto.

Antes de uma implementação, você deve registrar o seguinte para cada usuário de teste:

exameexpectativa
Grupo Primário em Entra IDO grupo é conhecido e enquadra-se na política planeada.
Grupo no Firewall SophosO mesmo grupo é importado ou mapeado corretamente.
Regra de firewallO Grupo Primário está incluído na condição de usuário ou grupo.
Teste o tráfego após loginO Log Viewer mostra o usuário, o ID da regra e a ação esperada.
ReservaSe a correspondência de grupo não for possível de forma clara, existe uma regra de teste personalizada temporária.

Isso não afeta o Sophos Connect VPN com Microsoft Entra ID SSO. Para acesso remoto, o processo separado para Microsoft Entra ID SSO para Sophos Connect e Portal VPN deve, portanto, ser verificado.

Validação após implementação

Para aceitá-lo, você não deve apenas verificar se a página de login da Microsoft aparece.| teste | Resultado esperado | | — | — | | Abrir URL do portal cativo da rede do cliente | O navegador mostra login Entra esperado ou redirecionamento Sophos | | Login com usuário permitido | Login bem-sucedido, usuário aparece no firewall | | Login com usuário não permitido | O acesso é negado de forma compreensível | | Teste de regra de grupo primário | O usuário de teste atende à regra de usuário esperada | | Tráfego de usuários após login | regra de firewall correta correspondente à referência do usuário | | Fluxo da sessão | Após um tempo limite, você precisa fazer login novamente | | Login da Microsoft bloqueado | O visualizador de logs ou os logs da web mostram um motivo compreensível | | Cenário alternativo | O administrador sabe como verificar ou alterar temporariamente o acesso em caso de interrupção do Entra

Especialmente com redes BYOD, você deve testar com vários navegadores e dispositivos. Modos de navegação privada, cookies de terceiros bloqueados, logins salvos antigos ou várias contas da Microsoft no mesmo dispositivo podem produzir resultados diferentes.

Solução de problemas

O portal cativo não está acessível

Primeiro verifique Administração > Acesso ao dispositivo para a zona afetada. Em seguida, verifique DNS, certificado, FQDN do portal, ACL de serviço local e mapeamento de zona. Se o acesso for para o próprio firewall, uma regra de firewall normal não será o primeiro ponto de verificação.

O login da Microsoft começa, mas não volta

Compare URI de redirecionamento, FQDN, certificado e porta. A URL exata que o Sophos Firewall usa para o Captive Portal deve ser armazenada no Microsoft Entra ID. As regras de inspeção por proxy ou TLS também podem interferir na devolução.

Quando a Microsoft mostra o erro AADSTS50011, o URI de redirecionamento no registro do aplicativo geralmente não corresponde ao URL que o firewall está usando. Em seguida, o protocolo, FQDN, porta e caminho devem ser comparados com exatidão.

Um erro interno aparece após o login da Microsoft

Um 500 Internal Server Error ou um erro genérico semelhante após um login bem-sucedido da Microsoft geralmente indica falta de permissões do Microsoft Graph, falta de consentimento do administrador ou um problema com o segredo do cliente. Em seguida, você deve verificar as permissões da API, o consentimento do administrador, a validade do segredo e a atribuição do aplicativo empresarial no Microsoft Entra ID.

Nome de usuário e senha não funcionam diretamente

Entra ID SSO é um navegador e fluxo OAuth/OIDC. Os usuários não fazem login diretamente no firewall com credenciais clássicas, mas são redirecionados para a Microsoft. Se um cliente ou fluxo suportar apenas nome de usuário e senha sem redirecionamento do navegador, esse método não será adequado.

MFA não aparece ou aparece de forma diferente do esperado

Com o SSO do Entra ID, o MFA é controlado no Microsoft Entra ID. O MFA do firewall local não é o ponto de controle correto para esse fluxo de SSO. Se a MFA for necessária, você deverá verificar o acesso condicional, grupos de usuários, exclusões e testar usuários no Microsoft Entra ID.

O usuário vê no permission ou é rejeitado após operação prolongada

Limpe os cookies do navegador e verifique se o mesmo usuário é usado em paralelo via Entra ID SSO e autenticação AD local. Ao combinar Entra e On-Prem AD para o mesmo usuário, o design de autenticação deve ser simplificado ou pelo menos documentado de forma limpa.

O login funciona, mas a regra do usuário não corresponde

Então o portal cativo provavelmente não é mais o único problema. Verifique a zona de origem, a rede de origem, o grupo de usuários, a posição da regra e o visualizador de log. Muitas vezes, uma regra mais geral está acima da regra do usuário ou o tráfego vem de uma rede diferente da esperada.

Para o SSO do Entra ID via Captive Portal, você também deve verificar se a regra de firewall usa o grupo primário do usuário. Se apenas um grupo secundário estiver na regra, o login poderá ser bem-sucedido enquanto a Internet real ou o acesso de destino não passar pela regra de usuário esperada.

Somente usuários individuais são afetados

Compare UPN, endereço de e-mail, nome de exibição, associação ao grupo e grupo importado. Com o SSO do Entra ID, você não deve presumir que o nome visível e o identificador técnico sejam idênticos. Se o endereço de e-mail e o UPN divergirem historicamente, surgirão facilmente erros de mapeamento.

Quais registros ajudam?oauth_sso_captive.log é particularmente relevante para portal cativo com Entra ID SSO. Além disso, visualizadores de log com o módulo Autenticação, access_server.log e, dependendo do problema subsequente, web, firewall ou logs de autenticação ajudam. A alocação dos arquivos mais importantes pode ser encontrada em Solução de problemas do Sophos Firewall: serviços e logs.

Lista de verificação

  • O caso de uso do portal cativo é claro: BYOD, convidados, dispositivos não gerenciados ou substitutos.
  • O FQDN e o certificado do portal cativo estão limpos.
  • O aplicativo Microsoft Entra ID com URI de redirecionamento, ID do cliente, ID do locatário e segredo do cliente está documentado.
  • As permissões da API do Microsoft Graph e o consentimento do administrador são definidos.
  • As atribuições de aplicativos empresariais são verificadas se Atribuição necessária estiver ativa.
  • O Segredo do Cliente possui data de validade, proprietário e processo de rotação.
  • O URI de redirecionamento do portal cativo foi assumido pelo firewall e inserido exatamente no Entra ID.
  • Autenticação > Serviços usa o servidor Entra correto para Portal Cativo.
  • Autenticação > Autenticação da Web usa HTTPS e configurações apropriadas da janela do navegador.
  • Administração > Acesso ao dispositivo permite apenas portal cativo em zonas obrigatórias.
  • Os pontos de extremidade de login da Microsoft podem ser acessados ​​pela rede do cliente.
  • A filtragem da Web e a inspeção TLS não bloqueiam o fluxo de SSO.
  • MFA e acesso condicional são planejados e testados no Microsoft Entra ID.
  • Jogo entre grupo e grupo de firewall.
  • As regras do portal cativo com Entra ID SSO levam em consideração o grupo principal do usuário de teste.
  • O usuário de teste pode fazer login e atingir a regra de firewall esperada.
  • O visualizador de log mostra usuário, ID de regra e ação.
  • oauth_sso_captive.log e access_server.log são conhecidos por casos de suporte.
  • O fallback para falha do Entra ou Portal está documentado.

Perguntas frequentes

O Captive Portal com Entra ID SSO é igual ao Sophos Connect SSO?

Não. O Captive Portal autentica usuários na rede local via navegador para que as regras baseadas no usuário possam entrar em vigor. O Sophos Connect SSO faz parte do Portal de Acesso Remoto e VPN.

O portal cativo precisa ser acessível publicamente?

Não. O Captive Portal geralmente é destinado a zonas internas ou Wi-Fi. A acessibilidade deve ser definida da forma mais restrita possível através do Device Access.

Por que a regra do usuário não corresponde, apesar de um login bem-sucedido?

O login apenas confirma a autenticação. Então a zona de origem, a rede de origem, o grupo de usuários, a posição da regra e o tráfego real devem corresponder à regra. Para o SSO do Entra ID via Captive Portal, você também deve verificar se a regra usa o grupo primário do usuário.

Qual arquivo de log é importante para o SSO do Entra Captive Portal?

oauth_sso_captive.log é importante para o fluxo OAuth SSO do portal cativo. Além disso, você deve verificar o Log Viewer e o access_server.log.

Você pode usar o Entra ID e a autenticação local do AD em paralelo?

Dependendo do projeto, isso pode funcionar, mas aumenta o risco de erros. Se os mesmos usuários forem autenticados em paralelo via Entra ID SSO e AD local, sessões, grupos e caminhos de login deverão ser testados de maneira particularmente limpa.