Configuration de l'authentification unique (SSO) OKTA sur SD-WAN

Introduction

Ce document décrit comment intégrer OKTA Single Sing-On (SSO) sur un réseau étendu défini par logiciel (SD-WAN).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Présentation générale du SD-WAN
• SAML (Security Assertion Markup Language)
• Fournisseur d'identité (IdP)
• Certificats

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco vManage version 18.3.X ou ultérieure
• Cisco vManage version 20.6.3
  
• Cisco vBond version 20.6.3
• Cisco vSmart version 20.6.3

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Fond

Le langage SAML (Security Assertion Markup Language) est une norme ouverte pour l'échange de données d'authentification et d'autorisation entre les parties, en particulier entre un fournisseur d'identité et un fournisseur de services. Comme son nom l'indique, SAML est un langage de balisage XML pour les assertions de sécurité (instructions que les fournisseurs de services utilisent pour prendre des décisions de contrôle d'accès).

Un fournisseur d'identité (IdP) est un fournisseur de confiance qui vous permet d'utiliser l'authentification unique (SSO) afin d'accéder à d'autres sites Web. SSO réduit la fatigue des mots de passe et améliore leur convivialité. Il réduit la surface d'attaque potentielle et offre une meilleure sécurité.

Configurer

Configuration vManage

1. Dans Cisco vManage, accédez à Administration > Settings > Identity Provider Settings > Edit.

Settings" />Configuration > Settings

2. Cliquez sur Activé.

3. Cliquez pour télécharger les métadonnées SAML et enregistrer le contenu dans un fichier. C'est nécessaire du côté de l'OKTA.

Télécharger SAML

Certificat X.509

Configuration OKTA

1. Connectez-vous au compte OKTA.

2. Accédez à Applications > Applications.

Applications" />Applications > Applications

3. Cliquez sur Créer une intégration d'application.

Créer une application

4. Cliquez sur SAML 2.0 et sur next.

Configuration de SAML2.0

Paramètres généraux

1. Entrez le nom de l'application.

2. Ajoutez un logo pour l'application (facultatif).

3. Visibilité des applications (facultatif).

4. Cliquez sur SUIVANT.

Paramètres généraux SAML

Configurer SAML

Ce tableau décrit les paramètres qui doivent être configurés dans cette section.

              

Composante	Valeur	Configuration
URL d'authentification unique	https://XX.XX.XX.XX:XXXX/samlLoginResponse	Tirez-le des métadonnées.
URI du public (ID d'entité SP)	XX.XX.XX.XX	Adresse IP ou DNS pour Cisco vManage
ÉtatRelais par défaut		VIDE
Format ID nom		Selon vos préférences
Nom d'utilisateur		Selon vos préférences
Mettre à jour le nom d'utilisateur	Créer et mettre à jour	Créer et mettre à jour
Réponse	Signé	Signé
Signature d'assertion	Signé	Signé
Algorithme de signature	RSA-SHA256	RSA-SHA256
Algorithme Digest	SHA256	SHA256
Chiffrement d'assertion	Chiffré	Chiffré
Algorithme de chiffrement	AES256-CBC	AES256-CBC
Algorithme de transport de clé	RSA-OAEP	RSA-OAEP
Certificat de chiffrement		Le certificat de chiffrement des métadonnées doit être au format x.509.
Activer la déconnexion unique		doit être vérifiée.
URL de déconnexion unique	https://XX.XX.XX.XX:XXXX/samlLogoutResponse	Obtenez des métadonnées.
Émetteur SP	XX.XX.XX.XX	Adresse IP ou DNS pour vManage
Certificat de signature		Le certificat de chiffrement des métadonnées doit être au format x.509.
Crochet En Ligne D'Assertion	Aucun(désactivé)	Aucun(désactivé)
Classe de contexte d'authentification	Certificat X.509
Authentification Honor Force	Oui	Oui
Chaîne ID émetteur SAML	Chaîne ID émetteur SAML	Tapez un texte de chaîne
Instructions d'attributs (facultatif)	Nom ► Nom d'utilisateur Format du nom (facultatif) ► Non spécifié Valeur ►user.login	Nom ► Nom d'utilisateur Format du nom (facultatif) ► Non spécifié Valeur ►user.login
Instructions d'attribut de groupe (facultatif)	Nom ► Groupes Format du nom (facultatif) ► Non spécifié Filtrer ► .*	Nom ► Groupes Format du nom (facultatif) ►Non spécifié Filtrer ► .*

Configuration de SAML - Partie 1

Configuration de SAML - Partie 2

Configuration de SAML - Partie 3

• Cliquez sur Next (Suivant).

Commentaires

1. Sélectionnez l'une des options de votre choix.

2. Cliquez sur Terminer.

PETIT feedback

Configurer des groupes dans OKTA

1. Accédez à Répertoire > Groupes.

Groupes OKTA

2. Cliquez sur Ajouter un groupe et créez un nouveau groupe.

Ajouter un groupe

Configurer des utilisateurs dans OKTA

1. Accédez à Répertoire > Personnes.

Utilisateurs OKTA

2. Cliquez sur Ajouter une personne, créez un nouvel utilisateur, affectez-le au groupe et enregistrez-le.

Ajouter un utilisateur

Affecter des groupes et des utilisateurs dans l'application

.

1. Accédez à Applications > Applications > Sélectionnez la nouvelle application.

2. Cliquez sur Assign > Assign to Groups.

Groups" />Application > Groupes

3. Identifiez le groupe et cliquez sur Affecter > Terminé.

Affecter un groupe et un utilisateur

4. Le groupe et les utilisateurs doivent maintenant être affectés à l'application.

Vérifier

Une fois la configuration terminée, vous pouvez accéder à Cisco vManage via OKTA.

SSO Login Vmanage

Interface graphique utilisateur Vmanage

Dépannage

Dans Cisco vManage, pour afficher les journaux associés à SSO, consultez le fichier : var/log/nms/vmanage-server.log

Informations connexes

• Assistance technique et téléchargements Cisco