Configuration de l'authentification unique (SSO) OKTA sur SD-WAN

Options de téléchargement

  • PDF     (1.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 novembre 2024
ID du document:220326

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment intégrer OKTA Single Sing-On (SSO) sur un réseau étendu défini par logiciel (SD-WAN).

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Présentation générale du SD-WAN
    • SAML (Security Assertion Markup Language)
    • Fournisseur d'identité (IdP)
    • Certificats

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco vManage version 18.3.X ou ultérieure
    • Cisco vManage version 20.6.3
    • Cisco vBond version 20.6.3
    • Cisco vSmart version 20.6.3

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Fond

    Le langage SAML (Security Assertion Markup Language) est une norme ouverte pour l'échange de données d'authentification et d'autorisation entre les parties, en particulier entre un fournisseur d'identité et un fournisseur de services. Comme son nom l'indique, SAML est un langage de balisage XML pour les assertions de sécurité (instructions que les fournisseurs de services utilisent pour prendre des décisions de contrôle d'accès).


    Un fournisseur d'identité (IdP) est un fournisseur de confiance qui vous permet d'utiliser l'authentification unique (SSO) afin d'accéder à d'autres sites Web. SSO réduit la fatigue des mots de passe et améliore leur convivialité. Il réduit la surface d'attaque potentielle et offre une meilleure sécurité.

    Configurer

    Configuration vManage

    1.  Dans Cisco vManage, accédez à Administration > Settings > Identity Provider Settings > Edit.

    Configuration > SettingsConfiguration > Paramètres

    2. Cliquez sur Activé.

    3. Cliquez pour télécharger les métadonnées SAML et enregistrer le contenu dans un fichier. C'est nécessaire du côté de l'OKTA.

    Download SAMLTélécharger SAML

    tip-icon

    Conseil : Vous avez besoin de ces informations de METADATA pour configurer OKTA avec Cisco vManage.

    a. ID entité

    b. Signer le certificat

    c. Certificat de cryptage

    d. URL de déconnexion

    e. Se connecter UR

    note-icon

    Remarque : Les certificats doivent être au format x.509 et les enregistrer avec l'extension .CRT.

    X.509 CertificateCertificat X.509

    Configuration OKTA

    1. Connectez-vous au compte OKTA.

    2. Accédez à Applications > Applications.

    Applications > ApllicationsApplications > Applications

    3. Cliquez sur Créer une intégration d'application.

    Create ApplicationCréer une application

    4.  Cliquez sur SAML 2.0 et sur next.

    Configure SAML2.0Configuration de SAML2.0

    Paramètres généraux

    1. Entrez le nom de l'application.

    2. Ajoutez un logo pour l'application (facultatif).

    3. Visibilité des applications (facultatif).

    4. Cliquez sur SUIVANT.

    SAML General SettingsParamètres généraux SAML

    Configurer SAML

    Ce tableau décrit les paramètres qui doivent être configurés dans cette section.

                  

    Composante

    Valeur

    Configuration

    URL d'authentification unique

    https://XX.XX.XX.XX:XXXX/samlLoginResponse

    Tirez-le des métadonnées.

    URI du public (ID d'entité SP)

     XX.XX.XX.XX

    Adresse IP ou DNS pour Cisco vManage

    ÉtatRelais par défaut

    VIDE

    Format ID nom 

    Selon vos préférences

    Nom d'utilisateur

    Selon vos préférences

    Mettre à jour le nom d'utilisateur

     Créer et mettre à jour

    Créer et mettre à jour

    Réponse

     Signé

    Signé

    Signature d'assertion

    Signé

    Signé

    Algorithme de signature

    RSA-SHA256

    RSA-SHA256

    Algorithme Digest

    SHA256

    SHA256

    Chiffrement d'assertion

    Chiffré

    Chiffré

    Algorithme de chiffrement

    AES256-CBC

    AES256-CBC

    Algorithme de transport de clé

    RSA-OAEP

    RSA-OAEP

    Certificat de chiffrement

    Le certificat de chiffrement des métadonnées doit être au format x.509.

    Activer la déconnexion unique

    doit être vérifiée.

    URL de déconnexion unique

    https://XX.XX.XX.XX:XXXX/samlLogoutResponse

    Obtenez des métadonnées.

    Émetteur SP

     XX.XX.XX.XX

    Adresse IP ou DNS pour vManage

    Certificat de signature

    Le certificat de chiffrement des métadonnées doit être au format x.509.

    Crochet En Ligne D'Assertion

    Aucun(désactivé)

    Aucun(désactivé)

    Classe de contexte d'authentification

    Certificat X.509

    Authentification Honor Force

    Oui

    Oui

    Chaîne ID émetteur SAML

    Chaîne ID émetteur SAML

     Tapez un texte de chaîne

    Instructions d'attributs (facultatif)

    Nom ► Nom d'utilisateur

    Format du nom (facultatif) ► Non spécifié
    Valeur ►user.login

    Nom ► Nom d'utilisateur

    Format du nom (facultatif) ► Non spécifié
    Valeur ►user.login

    Instructions d'attribut de groupe (facultatif)

    Nom ► Groupes

    Format du nom (facultatif) ► Non spécifié

    Filtre ►Correspond à regex ►.*

    Nom ► Groupes

    Format du nom (facultatif) ►Non spécifié

    Filtre ►Correspond à regex ►.*
    note-icon

    Remarque : Vous devez utiliser Username et Groups, exactement comme indiqué dans la table CONFIGURE SAML.

    Configure SAML Part 1Configuration de SAML - Partie 1

    Configure SAML Part 2Configuration de SAML - Partie 2

    okta_1

    okta_2

    • Cliquez sur Next (Suivant).

    Commentaires

    1. Sélectionnez l'une des options de votre choix.

    2. Cliquez sur Terminer.

    SMAL FeedbackPETIT feedback

    Configurer des groupes dans OKTA

    1. Accédez à Répertoire > Groupes.

    OKTA GroupsGroupes OKTA

    2. Cliquez sur Ajouter un groupe et créez un nouveau groupe.

    Add GroupAjouter un groupe

    note-icon

    Remarque : Les groupes doivent correspondre aux groupes Cisco vManage et ils doivent être en minuscules.

    Configurer des utilisateurs dans OKTA

    1. Accédez à Répertoire > Personnes.

    OKTA UsersUtilisateurs OKTA

    2. Cliquez sur Ajouter une personne, créez un nouvel utilisateur, affectez-le au groupe et enregistrez-le.

    Add UserAjouter un utilisateur

    note-icon

    Remarque : Active Directory peut être utilisé à la place des utilisateurs OKTA.

    Affecter des groupes et des utilisateurs dans l'application

    1. Accédez à Applications > Applications > Sélectionnez la nouvelle application.

    2. Cliquez sur Assign > Assign to Groups.

    Application > GroupsApplication > Groupes

    3. Identifiez le groupe et cliquez sur Affecter > Terminé.

    Assign Group and UserAffecter un groupe et un utilisateur

    4. Le groupe et les utilisateurs doivent maintenant être affectés à l'application.

    Vérifier

    Une fois la configuration terminée, vous pouvez accéder à Cisco vManage via OKTA.

    SSO Login VmanageSSO Login Vmanage

    Vmanage GUIInterface graphique utilisateur Vmanage

    note-icon

    Remarque : Pour contourner la connexion SSO, utilisez https://<vmanage>/login.html

    Dépannage

    Dans Cisco vManage, pour afficher les journaux associés à SSO, vérifiez le fichier : var/log/nms/vmanage-server.log

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    20-Nov-2024
    Instructions de mise à jour des attributs Usergroup
    1.0
    03-Apr-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Rodolfo Rico Mora
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits