Saltar para o conteudo
Avanet

Configurar Microsoft Entra ID SSO para Sophos Connect e Portal VPN

Sophos Firewall

Com o Microsoft Entra ID SSO, a Sophos Firewall pode autenticar utilizadores para o Portal VPN e para o Acesso Remoto através do Sophos Connect contra o Microsoft Entra ID. Para muitas infraestruturas Microsoft 365, isto é mais sensato do que senhas locais separadas na firewall, pois a identidade, o acesso condicional e o MFA são geridos centralmente no fornecedor de identidade.

A vantagem só é real se toda a cadeia for bem planeada: aplicação Entra, URIs de redirecionamento, Portal VPN, Sophos Connect, métodos de autenticação, grupos, Device Access e perfis de cliente devem estar alinhados. Este artigo descreve o processo prático para o Portal VPN, SSL VPN e Acesso Remoto IPsec com o Sophos Connect.

Para a configuração geral do Sophos Connect, comece por Configurar o Sophos Connect na Sophos Firewall. Este artigo complementa os passos específicos de identidade e SSO.

O que o Entra ID SSO faz na firewall

A Sophos Firewall integra o Microsoft Entra ID SSO através de OAuth 2.0 e OpenID Connect. A firewall utiliza o Entra ID como servidor de autenticação e pode inscrever utilizadores para vários serviços.

Para o Acesso Remoto, estes serviços são especialmente relevantes:

  • Portal VPN
  • SSL VPN através do Sophos Connect
  • Acesso Remoto IPsec através do Sophos Connect

Para o Captive Portal, aplica-se um processo diferente: o utilizador já se autentica na rede local através do navegador, para que as regras baseadas em utilizadores sejam aplicadas. Este caso é descrito separadamente em Configurar Microsoft Entra ID SSO para o Captive Portal da Sophos Firewall.

É importante a distinção: a firewall continua a gerir o VPN, políticas, correspondência de grupos de utilizadores e acesso através de regras de firewall. O Entra ID gere a verificação de identidade, SSO e MFA baseado no Entra.

Quando o Entra ID SSO é adequado

O Entra ID SSO é adequado quando os utilizadores já trabalham com o Microsoft 365 e a organização utiliza o Acesso Condicional ou o Entra-MFA como controle de segurança central.

Razões típicas:

  • Os utilizadores não devem manter senhas de firewall separadas.
  • O MFA deve ser gerido através do Entra ID em vez do Sophos OTP.
  • O Acesso Remoto deve estar mais ligado ao estado do utilizador, grupos e Acesso Condicional.
  • O helpdesk e a equipa de segurança devem gerir processos de identidade centralmente no Entra ID.
  • Deve-se reduzir os utilizadores locais da firewall.

Nem todas as infraestruturas devem mudar imediatamente. Em instalações pequenas sem um modelo de grupos Entra bem definido, o MFA próprio da Sophos pode ser mais simples. Para a variante clássica de OTP, veja Ativar MFA para o WebAdmin da Sophos Firewall, Portal VPN e Acesso Remoto.

Pré-requisitos e limitações

Antes da configuração, devem ser cumpridos os seguintes pontos:

  • Sophos Firewall com versão SFOS suportada.
  • Tenant Microsoft Entra com permissão para criar um registo de aplicação.
  • FQDN público para o Portal VPN ou acesso remoto.
  • Certificado válido para o nome público.
  • O Portal VPN é acessível através da zona necessária.
  • Sophos Connect 2.4 ou mais recente no Windows, se o SSO for utilizado no cliente.
  • Utilizadores ou grupos estão corretamente presentes no Entra ID.
  • A firewall e o Entra ID têm a hora correta.
  • URLs de login da Microsoft são acessíveis pelos clientes e, dependendo do caminho do tráfego, pela firewall.

Limitações importantes:

  • Para o SSO do Sophos Connect, a Sophos menciona endpoints Windows com o Sophos Connect 2.4 ou mais recente.
  • Quando o Microsoft Entra ID SSO é utilizado, o MFA é gerido no fornecedor de identidade. O MFA próprio da Sophos Firewall não pode ser utilizado adicionalmente para este método de autenticação.
  • Apenas um servidor Microsoft Entra ID pode ser selecionado por método de autenticação.
  • Utilizadores do mesmo domínio não devem ser sincronizados simultaneamente através do AD e do Microsoft Entra ID.
  • Em clusters HA, atualmente não se deve assumir que o Microsoft Entra ID SSO funciona para o WebAdmin da firewall auxiliar.

Planejar a arquitetura

Antes da configuração técnica, deve-se decidir quais serviços usarão o SSO.

ÁreaDecisão
Portal VPNA autenticação no portal deve ser feita através do Entra ID?
SSL VPNO SSL VPN deve ser utilizado através do Sophos Connect com Entra SSO?
Acesso Remoto IPsecO Acesso Remoto IPsec deve ser utilizado através do Sophos Connect com Entra SSO?
Ficheiro de provisionamentoSerá utilizado um ficheiro de provisionamento automático?
GruposQuais grupos Entra podem usar o VPN?
MFAQuais regras de Acesso Condicional e MFA se aplicam ao Acesso Remoto?
FallbackO que acontece se o Entra ID ou o acesso à Internet à Microsoft não estiver disponível?

Se for utilizado um ficheiro de provisionamento, o valor gateway definido deve corresponder ao FQDN ou IP que é utilizado na configuração do Microsoft Entra ID na firewall como URI de redirecionamento. Após alterações no Entra ID ou na configuração da firewall, os utilizadores devem importar novamente a configuração atualizada.

Criar servidor Microsoft Entra ID na firewall

O caminho do menu é:

Authentication > Servers

Procedimento na firewall:

  1. Abrir Add.
  2. Selecionar a opção Microsoft Entra ID SSO como Server type.
  3. Atribuir um nome descritivo ao servidor.
  4. Inserir o Application (client) ID da aplicação Entra.
  5. Inserir o Directory (tenant) ID.
  6. Inserir o Client secret.
  7. Verificar ou definir manualmente o FQDN do URI de redirecionamento.
  8. Definir o grupo de fallback.
  9. Se for necessário SSO para o WebAdmin, planear o mapeamento de funções ou grupos para perfis de administrador.
  10. Executar Test connection.
  11. Guardar.

Para cenários de SSO apenas para VPN, não é necessário mapeamento de funções de administrador. Nesse caso, o servidor deve ser planeado como um serviço de utilizador, não como um acesso administrativo geral.

⚠️ Os Client Secrets são dados de acesso produtivos. A data de validade, rotação, responsabilidade e documentação devem ser esclarecidas antes do lançamento.

Definir métodos de autenticação

Após criar o servidor Microsoft Entra ID, ele deve ser associado aos serviços adequados em Authentication > Services.

Para o Acesso Remoto, estas áreas são relevantes:

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Se for utilizado um ficheiro de provisionamento, deve ser utilizado o mesmo servidor Microsoft Entra ID para o Portal VPN, IPsec e SSL VPN. Em ficheiros de provisionamento, é importante a mesma seleção de servidor para os métodos de autenticação, para que o perfil do cliente, o portal e o método de Acesso Remoto estejam alinhados.

Após cada alteração:

  1. Selecionar o servidor no método correspondente.
  2. Arrastar o servidor para a posição correta, se houver vários servidores.
  3. Executar Apply para cada serviço alterado.
  4. Utilizar um utilizador de teste antes de implementar amplamente a alteração.

Inserir URIs de redirecionamento no Microsoft Entra ID

Para que o SSO funcione, as URLs da firewall devem ser registadas na aplicação Entra como URIs de redirecionamento.

Procedimento:

  1. Abrir Authentication > Servers na firewall.
  2. Abrir o servidor Microsoft Entra ID.
  3. Copiar as URLs necessárias:
    • URL da consola de administração web, se o SSO do WebAdmin for utilizado
    • URL do portal cativo, se o Captive Portal for utilizado
    • URL do portal VPN e acesso remoto para o Portal VPN, Acesso Remoto IPsec e SSL VPN
  4. No Azure Portal, ir para Microsoft Entra ID > App registrations.
  5. Abrir a aplicação para a Sophos Firewall.
  6. Em Manage > Authentication, adicionar uma plataforma web ou editar a plataforma web existente.
  7. Inserir os URIs de redirecionamento copiados.
  8. Guardar.

Um erro comum é um nome de host diferente no perfil do cliente, URI de redirecionamento, certificado e DNS público. Estes valores devem ser conscientemente alinhados antes do lançamento.

Se não for o Acesso Remoto, mas sim o Captive Portal a ser protegido, deve-se verificar adicionalmente o processo específico do Captive Portal: Device Access para a zona do cliente, método de autenticação do Captive Portal, grupo de utilizadores e correspondência de regras de firewall posterior.

Permitir Portal VPN através do Device Access

O Microsoft Entra ID SSO para Acesso Remoto utiliza a porta do Portal VPN para comunicação com a firewall. Portanto, o Portal VPN deve ser permitido para a zona necessária em Administration > Device access.

Isso não significa que o Portal VPN deva ser aberto mundialmente sem consideração. O Acesso Remoto é uma superfície de ataque publicamente acessível. Para ambientes produtivos, deve-se verificar adicionalmente:

  • certificado público válido
  • MFA e Acesso Condicional no Entra ID
  • limitação de países ou fontes o mais restrita possível, se realista
  • registo e revisão das tentativas de login
  • desativação clara de utilizadores que não são mais necessários

O fortalecimento dos serviços locais da firewall está descrito em Device Access e Local Service ACL na Sophos Firewall.

Permitir URLs de login da Microsoft

Os clientes e os caminhos de firewall afetados devem poder alcançar os endpoints do Microsoft Entra ID. Isso inclui várias URLs de login e CDN da Microsoft, como login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net e outros domínios Azure/Microsoft Online.

Em ambientes restritivos, não se deve descobrir apenas no lançamento que páginas de login, JavaScript ou endpoints de token estão bloqueados. É sensato:

  • Verificar a lista de URLs da Microsoft na documentação atual da Sophos e da Microsoft.
  • Nomear corretamente Hosts FQDN ou Grupos de Hosts FQDN.
  • Definir conscientemente a regra de firewall para DNS e HTTPS.
  • Em caso de proxy web direto, verificar exceções web adicionais.
  • Ativar registo até que o login SSO esteja estável.

Verificar grupos e permissões de VPN

O SSO por si só não concede acesso ao VPN. O utilizador também deve ser permitido na configuração de Acesso Remoto adequada.

A verificar:

  • O grupo Entra foi importado para a firewall ou está corretamente mapeado.
  • O grupo está selecionado em Acesso Remoto IPsec em Allowed users and groups.
  • O grupo está selecionado em SSL VPN em Policy members.
  • As regras de firewall permitem tráfego da zona VPN apenas para os destinos necessários.
  • O utilizador não está apenas autenticado, mas também recebe a política esperada.

Se o túnel estiver conectado, mas não houver tráfego, frequentemente a causa não é o SSO, mas sim regras, roteamento, DNS ou NAT. Para a análise, veja Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Verificar UPN, e-mail e correspondência de grupos

Com o Microsoft Entra ID SSO, deve-se verificar cuidadosamente a identidade do utilizador e a correspondência de grupos. Um login pode ser bem-sucedido no fornecedor de identidade e ainda assim ser incorretamente associado na firewall se o UPN, endereço de e-mail, grupo importado ou identificação local do utilizador não corresponderem.

Isto é especialmente relevante em ambientes onde os utilizadores têm historicamente valores diferentes:

Valor EntraExemploRisco na firewall
User Principal Namemax.muster@example.comFrequentemente esperado como o nome de login real
Endereço de e-mailm.muster@example.comPode diferir e confundir na associação ou login no portal
Nome de exibiçãoMax MusterLegível para humanos, mas não adequado como identificação técnica
GrupoVPN-UsersDeve ser importado para a firewall e utilizado na configuração de Acesso Remoto correta

Na lista de problemas conhecidos, está documentado um caso especial em que utilizadores do Azure AD não conseguem fazer login no portal SSL VPN ou IPsec se o endereço de e-mail e o UPN forem diferentes. Na prática, isso significa que, em caso de problemas com o Entra ID SSO, não se deve apenas verificar o URI de redirecionamento e o Client Secret, mas também os atributos dos utilizadores.

Procedimento prático de verificação:

  1. Abrir o utilizador de teste no Microsoft Entra ID.
  2. Comparar UPN e endereço de e-mail.
  3. Verificar se o utilizador é membro do grupo VPN planeado.
  4. Na firewall, abrir o grupo importado e verificar se o utilizador aparece como esperado.
  5. Em Authentication > Services, verificar se o servidor Microsoft Entra ID correto está selecionado para o Portal VPN, SSL VPN e IPsec.
  6. Realizar um login de teste e verificar o Log Viewer e oauth_sso_vpn.log.

Se apenas utilizadores individuais forem afetados, é mais provável que seja um problema de atributo ou grupo do que um erro geral do servidor Entra ID. Se todos os utilizadores forem afetados, primeiro verifique Tenant ID, Client ID, Client Secret, URIs de redirecionamento, hora e endpoints da Microsoft.

Para regras de utilizador após um login VPN bem-sucedido, aplica-se adicionalmente: a regra de firewall deve ver o utilizador ou grupo no tráfego real. Se o túnel estiver ativo, mas a regra de utilizador planeada não corresponder, a análise de Regra da Sophos Firewall não está a corresponder: verificar causas é adequada.

Testar Sophos Connect e Provisionamento

Para o Sophos Connect, aplica-se: após a configuração do Entra ID ou após alterações na configuração do SSO, a configuração do cliente deve ser importada novamente.

Procedimento de teste:

  1. Instalar o cliente Sophos Connect atual no Windows.
  2. Importar a configuração de provisionamento ou VPN adequada.
  3. Verificar se a opção SSO está visível e clicável no cliente.
  4. Fazer login com o Entra ID.
  5. Acionar o MFA ou Acesso Condicional conforme planeado.
  6. Verificar o estado do túnel.
  7. Verificar IP VPN, DNS, destinos internos e correspondência de regras de firewall.
  8. Num dispositivo compartilhado, testar um re-login SSO forçado.

Para a instalação do cliente no Windows, veja Instalar o cliente Sophos Connect no Windows. Para SSL VPN com o Sophos Connect, veja adicionalmente Configurar SSL VPN com o Sophos Connect no Windows.

Operação e segurança

O Entra ID SSO desloca a segurança do login mais para o fornecedor de identidade. Isso é bom se o Entra ID for gerido corretamente. É problemático se grupos, Acesso Condicional ou segredos de aplicação forem geridos de forma descuidada.

Na operação, estes pontos devem ser verificados regularmente:

  • O segredo da aplicação não expira inesperadamente.
  • Os grupos Entra contêm apenas utilizadores autorizados.
  • O Acesso Condicional aplica-se ao Acesso Remoto.
  • Acessos de emergência e de fallback estão documentados.
  • O Portal VPN é acessível apenas na medida necessária.
  • As versões do Sophos Connect estão atualizadas.
  • Perfis de cliente antigos são retirados de circulação após alterações.
  • Os logs são verificados cedo em caso de problemas de login.

Para o lado do cliente, deve existir adicionalmente um processo de atualização próprio. O artigo Verificar e atualizar com segurança a versão do cliente Sophos Connect resume quais temas de Windows, macOS, SSO, OTP e provisionamento devem ser verificados antes de um lançamento.

Com o SFOS 22 MR1, a Sophos melhorou a reavaliação de políticas de Acesso Condicional em sessões SSO reutilizadas. Para ambientes que utilizam o Entra-MFA como fronteira de segurança, isso é um motivo importante para manter a versão da firewall atualizada.

Solução de problemas

O botão SSO não está utilizável no cliente Sophos Connect

Se o cliente indicar que o SSO não está configurado, primeiro teste a conexão com o servidor Microsoft Entra ID na firewall. Depois, em Authentication > Services, verifique se o servidor Entra ID está corretamente definido para SSL VPN ou IPsec e Portal VPN.

O utilizador não pode fazer login no Portal VPN

Nesse caso, o SSO pode funcionar em geral, mas a permissão de VPN pode faltar. Verifique se o grupo Entra está incluído na configuração de Acesso Remoto IPsec em Allowed users and groups ou em SSL VPN em Policy members.

Apenas utilizadores individuais não conseguem fazer login

Nesse caso, primeiro verifique UPN, endereço de e-mail, associação de grupo e grupo importado na firewall. Especialmente para utilizadores com endereço de e-mail diferente, nomes alterados ou contas migradas, a identificação técnica pode parecer diferente do esperado.

A Microsoft relata tenant ou aplicação incorretos

Nesse caso, frequentemente os métodos de autenticação, aplicação Entra, Tenant ID ou a seleção de servidor na firewall não estão alinhados. Especialmente com vários servidores Entra ID, deve-se verificar se o Portal VPN, SSL VPN e IPsec utilizam o mesmo servidor esperado.

Redirecionamento ou login termina em página de erro

Compare FQDN, certificado, DNS público, URI de redirecionamento e valor de gateway do ficheiro de provisionamento. Pequenas discrepâncias no nome de host, porta ou caminho podem interromper o fluxo OAuth/OIDC.

Importação de grupos não funciona

Verifique a hora da firewall, dados do tenant, permissões da aplicação, Client Secret e acessibilidade dos endpoints da Microsoft. Se grupos locais existentes não corresponderem aos grupos Entra, deve-se decidir se eles serão limpos, mapeados ou geridos manualmente.

Conexão estabelecida, mas sistemas internos não são acessíveis

Nesse caso, a autenticação provavelmente não é mais o principal problema. Verifique IP VPN, DNS, regras de firewall, NAT, roteamento e sistema de destino. No Log Viewer, deve ser visível qual regra está a afetar o tráfego da zona VPN.

Lista de verificação

  • Aplicação Entra com Client ID, Tenant ID e Client Secret está documentada.
  • URIs de redirecionamento para Portal VPN e Acesso Remoto estão registados no Entra ID.
  • FQDN público, certificado e gateway de provisionamento estão alinhados.
  • Portal VPN está conscientemente permitido em Device Access.
  • URLs de login da Microsoft são acessíveis.
  • Serviços de autenticação utilizam o servidor Entra ID correto.
  • Grupos de VPN estão importados e permitidos em políticas SSL/IPsec.
  • UPN, endereço de e-mail e associação de grupo foram verificados com um utilizador de teste.
  • Sophos Connect 2.4 ou mais recente está em uso no Windows.
  • Perfis de cliente foram importados novamente após alterações.
  • Entra-MFA e Acesso Condicional foram verificados com um utilizador de teste.
  • oauth_sso_vpn.log, Log Viewer e logs do Access Server são conhecidos para solução de problemas.

Perguntas frequentes

O Sophos Connect suporta Entra ID SSO no macOS?

Para o Entra ID SSO no cliente Sophos Connect, a Sophos menciona dispositivos Windows com o Sophos Connect 2.4 ou mais recente. O suporte para macOS não deve ser considerado garantido, mesmo que o Sophos Connect no macOS suporte outros cenários de Acesso Remoto.

Ainda é necessário o Sophos MFA se o Entra ID SSO for utilizado?

Para o Microsoft Entra ID SSO, utiliza-se o MFA no fornecedor de identidade. O MFA próprio da firewall não pode ser utilizado adicionalmente para este método de autenticação.

O Portal VPN precisa ser acessível da Internet?

Para o Acesso Remoto, o Portal VPN deve ser acessível através da zona necessária, pois o Entra ID SSO utiliza a porta do Portal VPN. No entanto, o acesso deve ser fortalecido através de Device Access, certificado, registo, Entra-MFA e, se possível, limitação de origem ou país.

Por que o Sophos Connect precisa importar novamente a configuração?

Após alterações no Microsoft Entra ID ou na configuração da firewall, a configuração antiga do cliente pode não conter mais a referência correta de gateway ou SSO. Portanto, os utilizadores devem importar novamente a configuração atualizada.

Por que o Entra ID SSO falha apenas para utilizadores individuais?

Frequentemente, isso se deve a atributos ou grupos de utilizadores divergentes. UPN, endereço de e-mail, grupo Entra importado e grupo de Acesso Remoto permitido devem ser comparados especificamente antes de alterar toda a configuração de SSO.

Quais logs ajudam em problemas de Entra ID SSO?

Para o SSO VPN, oauth_sso_vpn.log é relevante. Além disso, o Log Viewer, access_server.log e, dependendo do protocolo VPN, sslvpn.log ou strongswan.log são úteis. Uma visão geral dos logs está em Solução de problemas da Sophos Firewall: Serviços e Logs.