Hoppa till innehållet
Avanet

Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal

Sophos Firewall

Med Microsoft Entra ID SSO kan Sophos Firewall autentisera användare för VPN Portal samt för Remote Access via Sophos Connect mot Microsoft Entra ID. För många Microsoft 365-miljöer är detta mer fördelaktigt än separata lokala brandväggslösenord, eftersom identitet, Conditional Access och MFA hanteras centralt i Identity Provider.

Fördelen är dock endast verklig om hela kedjan är noggrant planerad: Entra-app, Redirect URIs, VPN Portal, Sophos Connect, autentiseringsmetoder, grupper, Device Access och klientprofiler måste passa ihop. Denna artikel beskriver det praktiska förloppet för VPN Portal, SSL VPN och IPsec Remote Access med Sophos Connect.

För den allmänna Sophos-Connect-konfigurationen, börja med Konfigurera Sophos Connect på Sophos Firewall. Denna artikel kompletterar de identitets- och SSO-specifika stegen.

Vad Entra ID SSO gör på brandväggen

Sophos Firewall integrerar Microsoft Entra ID SSO via OAuth 2.0 och OpenID Connect. Brandväggen använder Entra ID som autentiseringsserver och kan logga in användare för flera tjänster.

För Remote Access är dessa tjänster särskilt relevanta:

  • VPN Portal
  • SSL VPN via Sophos Connect
  • IPsec Remote Access via Sophos Connect

För Captive Portal gäller en annan process: Där loggar en användare redan in i det lokala nätverket via webbläsare så att användarbaserade regler kan tillämpas. Detta fall beskrivs separat i Konfigurera Microsoft Entra ID SSO för Sophos Firewall Captive Portal.

Det är viktigt att skilja på rollerna: Brandväggen hanterar fortfarande VPN, policies, användargruppsmatchning och åtkomst via brandväggsregler. Entra ID hanterar identitetsverifiering, SSO och Entra-baserad MFA.

När Entra ID SSO är lämpligt

Entra ID SSO passar bra när användare redan arbetar med Microsoft 365 och organisationen använder Conditional Access eller Entra-MFA som central säkerhetskontroll.

Typiska skäl:

  • Användare ska inte behöva hantera separata brandväggslösenord.
  • MFA ska hanteras via Entra ID istället för Sophos OTP.
  • Remote Access ska vara mer kopplat till användarstatus, grupper och Conditional Access.
  • Helpdesk och säkerhetsteam ska hantera identitetsprocesser centralt i Entra ID.
  • Lokala brandväggsanvändare ska minskas.

Inte alla miljöer bör omedelbart byta. I små installationer utan en tydlig Entra-gruppmodell kan Sophos egen MFA vara enklare. För den klassiska OTP-varianten, se Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access.

Förutsättningar och begränsningar

Innan konfigurationen bör dessa punkter vara uppfyllda:

  • Sophos Firewall med en stödd SFOS-version.
  • Microsoft Entra Tenant med behörighet att skapa en App Registration.
  • Offentlig FQDN för VPN Portal eller Remote Access-åtkomst.
  • Giltigt certifikat för det offentliga namnet.
  • VPN Portal är tillgänglig via den nödvändiga zonen.
  • Sophos Connect 2.4 eller senare på Windows om SSO ska användas i klienten.
  • Användare eller grupper finns korrekt i Entra ID.
  • Brandvägg och Entra ID har korrekt tid.
  • Microsoft-login-URL:er är tillgängliga från klienterna och, beroende på trafikväg, från brandväggen.

Viktiga begränsningar:

  • För Sophos Connect SSO nämner Sophos Windows-endpunkter med Sophos Connect 2.4 eller senare.
  • När Microsoft Entra ID SSO används, används MFA i Identity Provider. Sophos brandväggens egen MFA kan inte användas för denna autentiseringsmetod.
  • Per autentiseringsmetod kan endast en Microsoft Entra ID-server väljas.
  • Användare från samma domän bör inte synkroniseras samtidigt via AD och Microsoft Entra ID.
  • I HA-kluster bör man för närvarande inte förvänta sig att Microsoft Entra ID SSO fungerar för WebAdmin på Auxiliary Firewall.

Planera arkitektur

Innan den tekniska konfigurationen bör man bestämma vilka tjänster som ska använda SSO.

OmrådeBeslut
VPN PortalSka inloggning på portalen ske via Entra ID?
SSL VPNSka SSL VPN via Sophos Connect användas med Entra SSO?
IPsec Remote AccessSka IPsec Remote Access via Sophos Connect användas med Entra SSO?
Provisioning-filAnvänds en automatisk provisioning-fil?
GrupperVilka Entra-grupper får använda VPN?
MFAVilka Conditional Access- och MFA-regler gäller för Remote Access?
FallbackVad händer om Entra ID eller internetåtkomst till Microsoft inte är tillgänglig?

Om en provisioning-fil används måste det gateway-värde som anges i den matcha FQDN eller IP som används i Microsoft Entra ID-konfigurationen av brandväggen som Redirect URI. Efter ändringar i Entra ID eller brandväggskonfigurationen måste användare importera den uppdaterade konfigurationen igen.

Skapa Microsoft Entra ID-server på brandväggen

Menypath är:

Authentication > Servers

Gör så här på brandväggen:

  1. Öppna Add.
  2. Välj Microsoft Entra ID SSO som Server type.
  3. Ge servern ett beskrivande namn.
  4. Ange Application (client) ID från Entra-appen.
  5. Ange Directory (tenant) ID.
  6. Ange Client secret.
  7. Kontrollera eller ställ in Redirect-URI-FQDN manuellt.
  8. Ange fallback-grupp.
  9. Om WebAdmin-SSO behövs, planera roll- eller gruppmappning till administratörsprofiler.
  10. Kör Test connection.
  11. Spara.

För rena VPN-SSO-scenarier behövs ingen administratörsrollmappning. Då bör servern planeras som en användartjänst, inte som en generell administratörsåtkomst.

⚠️ Client Secrets är produktiva åtkomstdata. Utgångsdatum, rotation, ansvar och dokumentation bör klargöras innan utrullning.

Ställ in autentiseringsmetoder

Efter att ha skapat Microsoft Entra ID-servern måste den tilldelas rätt tjänster under Authentication > Services.

För Remote Access är dessa områden relevanta:

  • VPN portal authentication methods
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods
  • SSL VPN authentication methods

Om en provisioning-fil används bör samma Microsoft Entra ID-server användas för VPN Portal, IPsec och SSL VPN. Vid provisioning-filer är samma serverval för autentiseringsmetoder viktigt så att klientprofil, portal och Remote Access-metod passar ihop.

Efter varje ändring:

  1. Välj server i respektive metod.
  2. Dra servern till rätt position om flera servrar finns.
  3. Kör Apply för varje ändrad tjänst.
  4. Använd testanvändare innan ändringen rullas ut brett.

Ange Redirect URIs i Microsoft Entra ID

För att SSO ska fungera måste brandväggs-URL:erna anges som Redirect URIs i Entra-appen.

Gör så här:

  1. Öppna Authentication > Servers på brandväggen.
  2. Öppna Microsoft Entra ID-servern.
  3. Kopiera de nödvändiga URL:erna:
    • Web admin console URL, om WebAdmin-SSO används
    • Captive portal URL, om Captive Portal används
    • VPN portal and remote access URL för VPN Portal, Remote Access IPsec och SSL VPN
  4. Gå till Microsoft Entra ID > App registrations i Azure Portal.
  5. Öppna applikationen för Sophos Firewall.
  6. Under Manage > Authentication lägg till en webbplattform eller redigera den befintliga webbplattformen.
  7. Klistra in de kopierade Redirect URIs.
  8. Spara.

Ett vanligt fel är en annan värdnamn i klientprofil, Redirect URI, certifikat och offentlig DNS. Dessa värden bör medvetet jämföras innan utrullning.

Om inte Remote Access utan Captive Portal skyddas, bör dessutom den Captive Portal-specifika processen kontrolleras: Device Access för klientzonen, Captive Portal-autentiseringsmetod, användargrupp och senare brandväggsregelmatchning.

Tillåt VPN Portal via Device Access

Microsoft Entra ID SSO för Remote Access använder VPN Portal-porten för kommunikation med brandväggen. Därför måste VPN Portal tillåtas för den nödvändiga zonen under Administration > Device access.

Det betyder inte att man bör öppna VPN Portal globalt utan eftertanke. Remote Access är en offentligt tillgänglig attackyta. För produktionsmiljöer bör man dessutom kontrollera:

  • giltigt offentligt certifikat
  • MFA och Conditional Access i Entra ID
  • så snäv land- eller källbegränsning som möjligt, om realistiskt
  • loggning och granskning av inloggningsförsök
  • tydlig avaktivering av användare som inte längre behövs

Härdningen av lokala brandväggstjänster beskrivs i Device Access och Local Service ACL på Sophos Firewall.

Tillåt Microsoft-login-URL:er

Klienter och berörda brandväggsvägar måste kunna nå Microsoft Entra ID-endpunkter. Detta inkluderar flera Microsoft-login- och CDN-URL:er, till exempel login.microsoftonline.com, login.microsoft.com, *.login.live.com, *.msauth.net och andra Azure-/Microsoft Online-domäner.

I restriktiva miljöer bör man inte upptäcka först vid utrullning att inloggningssidor, JavaScript eller token-endpunkter blockeras. Det är lämpligt att:

  • Kontrollera Microsoft-URL-listan från den aktuella Sophos- och Microsoft-dokumentationen.
  • Namnge FQDN Hosts eller FQDN Host Groups korrekt.
  • Medvetet ställa in brandväggsregel för DNS och HTTPS.
  • Vid direkt Web Proxy dessutom kontrollera Web Exceptions.
  • Aktivera loggning tills SSO-inloggningen är stabil.

Kontrollera grupper och VPN-behörigheter

SSO ger inte automatiskt VPN-åtkomst. Användaren måste också vara tillåten i den lämpliga Remote Access-konfigurationen.

Att kontrollera:

  • Entra-gruppen har importerats till brandväggen eller mappas korrekt.
  • Gruppen är vald under Allowed users and groups för Remote Access IPsec.
  • Gruppen är vald under Policy members för SSL VPN.
  • Brandväggsregler tillåter trafik från VPN-zonen endast till de nödvändiga målen.
  • Användaren är inte bara autentiserad utan får också den förväntade policyn.

Om tunneln är ansluten men ingen trafik flödar, är det ofta inte SSO som är orsaken, utan regelverk, routing, DNS eller NAT. För analys passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Kontrollera UPN, e-post och gruppmatchning

Vid Microsoft Entra ID SSO bör man noggrant kontrollera användaridentitet och gruppmatchning. En inloggning kan lyckas hos Identity Provider men ändå felaktigt tilldelas på brandväggen om UPN, e-postadress, importerad grupp eller lokal användaridentifiering inte stämmer överens.

Detta är särskilt relevant i miljöer där användare historiskt har olika värden:

Entra-värdeExempelRisk på brandväggen
User Principal Namemax.muster@example.comFörväntas ofta som det faktiska inloggningsnamnet
E-postadressm.muster@example.comKan avvika och förvirra vid tilldelning eller portalinloggning
VisningsnamnMax MusterLäsbart för människor, men inte lämpligt som teknisk identifiering
GruppVPN-UsersMåste importeras till brandväggen och användas i rätt Remote Access-konfiguration

I listan över kända problem är ett specialfall dokumenterat där Azure AD-användare inte kan logga in på SSL VPN- eller IPsec-portalen om e-postadress och UPN skiljer sig åt. I praktiken betyder det: Vid Entra ID SSO-problem bör man inte bara kontrollera Redirect URI och Client Secret, utan även användarattributen.

Praktisk kontrollprocess:

  1. Öppna testanvändare i Microsoft Entra ID.
  2. Jämför UPN och e-postadress.
  3. Kontrollera om användaren är medlem i den planerade VPN-gruppen.
  4. Öppna den importerade gruppen på brandväggen och kontrollera om användaren visas där som förväntat.
  5. Under Authentication > Services kontrollera om rätt Microsoft Entra ID-server är vald för VPN Portal, SSL VPN och IPsec.
  6. Utför testinloggning och kontrollera Log Viewer samt oauth_sso_vpn.log.

Om endast enskilda användare påverkas är ett attribut- eller gruppproblem mer sannolikt än ett generellt Entra ID-serverfel. Om alla användare påverkas, kontrollera först Tenant ID, Client ID, Client Secret, Redirect URIs, tid och Microsoft-endpunkter.

Vid användarregler efter lyckad VPN-inloggning gäller dessutom: Brandväggsregeln måste se användaren eller gruppen i den faktiska trafiken. Om tunneln är uppe men den planerade användarregeln inte matchar, passar analysen från Sophos Firewall-regel matchar inte: Kontrollera orsaker.

Testa Sophos Connect och Provisioning

För Sophos Connect gäller: Efter Entra ID-konfigurationen eller efter ändringar i SSO-konfigurationen måste klientkonfigurationen importeras igen.

Testprocess:

  1. Installera aktuell Sophos Connect Client på Windows.
  2. Importera lämplig provisioning- eller VPN-konfiguration.
  3. Kontrollera om SSO-alternativet är synligt och klickbart i klienten.
  4. Logga in med Entra ID.
  5. Utlös MFA eller Conditional Access som planerat.
  6. Kontrollera tunnelstatus.
  7. Kontrollera VPN-IP, DNS, interna mål och brandväggsregelmatchning.
  8. På en delad enhet, testa en tvingad SSO-återinloggning.

För klientinstallation på Windows, se Installera Sophos Connect Client på Windows. För SSL VPN med Sophos Connect, se dessutom Konfigurera Sophos SSL VPN med Sophos Connect på Windows.

Drift och säkerhet

Entra ID SSO flyttar inloggningssäkerheten mer till Identity Provider. Detta är bra om Entra ID hanteras korrekt. Det är problematiskt om grupper, Conditional Access eller App Secrets hanteras slarvigt.

I drift bör dessa punkter regelbundet kontrolleras:

  • App Secret löper inte ut oväntat.
  • Entra-grupper innehåller endast behöriga användare.
  • Conditional Access gäller för Remote Access.
  • Break-Glass- och fallback-åtkomster är dokumenterade.
  • VPN Portal är endast så brett tillgänglig som nödvändigt.
  • Sophos Connect-versioner är aktuella.
  • Gamla klientprofiler tas ur bruk efter ändringar.
  • Loggar kontrolleras tidigt vid inloggningsproblem.

För klientsidan bör dessutom en egen uppdateringsprocess finnas. Artikeln Kontrollera och säkert uppdatera Sophos Connect Client-version sammanfattar vilka Windows-, macOS-, SSO-, OTP- och provisioning-ämnen som bör kontrolleras innan en utrullning.

Med SFOS 22 MR1 har Sophos förbättrat den återkommande utvärderingen av Conditional Access-policies vid återanvända SSO-sessioner. För miljöer som använder Entra-MFA som säkerhetsgräns är detta en viktig anledning att hålla brandväggsversionen aktuell.

Felsökning

SSO-knappen är inte användbar i Sophos Connect Client

Om klienten meddelar att SSO inte är konfigurerat, testa först anslutningen till Microsoft Entra ID-servern på brandväggen. Kontrollera sedan under Authentication > Services om Entra ID-servern är korrekt inställd för SSL VPN respektive IPsec och VPN Portal.

Användaren får inte logga in på VPN Portal

Då kan SSO fungera i grunden, men VPN-behörigheten saknas. Kontrollera om Entra-gruppen är inkluderad i Remote Access IPsec-konfigurationen under Allowed users and groups eller vid SSL VPN under Policy members.

Endast enskilda användare kan inte logga in

Kontrollera då först UPN, e-postadress, gruppmedlemskap och importerad brandväggsgrupp. Särskilt för användare med avvikande e-postadress, ändrade namn eller migrerade konton kan den tekniska identifieringen se annorlunda ut än förväntat.

Microsoft rapporterar felaktig Tenant eller felaktig applikation

Då stämmer ofta inte autentiseringsmetoder, Entra-app, Tenant ID eller servervalet på brandväggen överens. Särskilt vid flera Entra ID-servrar måste man kontrollera om VPN Portal, SSL VPN och IPsec använder samma förväntade server.

Redirect eller inloggning slutar på fel sida

Jämför FQDN, certifikat, offentlig DNS, Redirect URI och Gateway-värde i provisioning-filen. Även små avvikelser i värdnamn, port eller sökväg kan störa OAuth/OIDC-flödet.

Gruppimport fungerar inte

Kontrollera brandväggens tid, Tenant-data, app-behörigheter, Client Secret och tillgänglighet för Microsoft-endpunkter. Om befintliga lokala grupper inte matchar Entra-grupper måste man besluta om de ska rensas, mappas eller hanteras manuellt.

Anslutning är uppe, men interna system är inte tillgängliga

Då är autentiseringen troligen inte huvudfelet längre. Kontrollera VPN-IP, DNS, brandväggsregler, NAT, routing och målssystem. I Log Viewer bör det synas vilken regel som träffar trafiken från VPN-zonen.

Checklista

  • Entra-app med Client ID, Tenant ID och Client Secret är dokumenterad.
  • Redirect URIs för VPN Portal och Remote Access är registrerade i Entra ID.
  • Offentlig FQDN, certifikat och provisioning-gateway matchar.
  • VPN Portal är medvetet tillåten under Device Access.
  • Microsoft-login-URL:er är tillgängliga.
  • Authentication Services använder rätt Entra ID-server.
  • VPN-grupper är importerade och tillåtna i SSL/IPsec-policies.
  • UPN, e-postadress och gruppmedlemskap har kontrollerats med en testanvändare.
  • Sophos Connect 2.4 eller senare används på Windows.
  • Klientprofiler har importerats på nytt efter ändringar.
  • Entra-MFA och Conditional Access har testats med testanvändare.
  • oauth_sso_vpn.log, Log Viewer och Access Server-loggar är kända för felsökning.

Vanliga frågor

Stöder Sophos Connect Entra ID SSO på macOS?

För Entra ID SSO i Sophos Connect Client nämner Sophos Windows-enheter med Sophos Connect 2.4 eller senare. macOS-stöd bör därför inte förutsättas, även om Sophos Connect på macOS stöder andra Remote Access-scenarier.

Behöver man fortfarande Sophos MFA när Entra ID SSO används?

För Microsoft Entra ID SSO används MFA i Identity Provider. Brandväggens egen MFA kan inte användas för denna autentiseringsmetod.

Måste VPN Portal vara tillgänglig från internet?

För Remote Access måste VPN Portal vara tillgänglig via den nödvändiga zonen eftersom Entra ID SSO använder VPN Portal-porten. Ändå bör åtkomsten härdas med Device Access, certifikat, loggning, Entra-MFA och om möjligt källa- eller landsbegränsning.

Varför måste Sophos Connect importera konfigurationen på nytt?

Efter ändringar i Microsoft Entra ID eller brandväggskonfigurationen kan den gamla klientkonfigurationen inte längre innehålla rätt gateway- eller SSO-referens. Därför måste användare importera den uppdaterade konfigurationen igen.

Varför misslyckas Entra ID SSO endast för enskilda användare?

Det beror ofta på avvikande användarattribut eller grupper. UPN, e-postadress, importerad Entra-grupp och tillåten Remote Access-grupp bör jämföras noggrant innan man ändrar hela SSO-konfigurationen.

Vilka loggar hjälper vid Entra ID SSO-problem?

För VPN-SSO är oauth_sso_vpn.log relevant. Dessutom hjälper Log Viewer, access_server.log och beroende på VPN-protokoll sslvpn.log eller strongswan.log. En loggöversikt finns i Sophos Firewall Troubleshooting: Services och Logs.