SD-WANでのOKTAシングルサインオン(SSO)の設定

ダウンロード オプション

  • PDF     (1.5 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.3 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 11 月 20 日
Document ID:220326

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ソフトウェア定義型ワイドエリアネットワーク(SD-WAN)でOKTAシングルサインオン(SSO)を統合する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • SD-WANの概要
    • Security Assertion Markup Language(SAML)
    • アイデンティティプロバイダー(IdP)
    • 証明書

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco vManageリリース18.3.X以降
    • Cisco vManageバージョン20.6.3
    • Cisco vBondバージョン20.6.3
    • Cisco vSmartバージョン20.6.3

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景

    Security Assertion Markup Language(SAML)は、パーティ間、特にアイデンティティプロバイダーとサービスプロバイダーの間で認証および許可データを交換するためのオープンスタンダードです。その名前が示すように、SAMLはセキュリティアサーション(サービスプロバイダーがアクセス制御の決定に使用するステートメント)用のXMLベースのマークアップ言語です。


    アイデンティティプロバイダー(IdP)は、シングルサインオン(SSO)を使用して他のWebサイトにアクセスできる信頼されたプロバイダーです。SSOは、パスワードの疲労を軽減し、使いやすさを向上させます。潜在的な攻撃対象領域が減少し、セキュリティが向上します。

    設定

    vManageの設定

    1. Cisco vManageで、Administration > Settings > Identify Provider Settings > Editの順に移動します。

    Configuration > Settings設定>設定

    2. Enabledをクリックします。

    3. SAMLメタデータをダウンロードしてファイルに保存する場合にクリックします。これはOKTA側で必要です。

    Download SAMLSAMLのダウンロード

    tip-icon

    ヒント:Cisco vManageでOKTAを設定するには、METADATAの次の情報が必要です。

    a.エンティティID

    ロ。署名証明書

    d.暗号証明書

    d.ログアウトURL

    e. URにログインします

    note-icon

    :証明書はx.509形式で、.CRT拡張子を付けて保存する必要があります。

    X.509 CertificateX.509証明書

    OKTAの設定

    1. OKTAアカウントにログインします。

    2. 「アプリケーション」> 「アプリケーション」にナビゲートします。

    Applications > Apllicationsアプリケーション>アプリケーション

    3. クリック アプリケーション統合の作成。

    Create Applicationアプリケーションの作成

    4. SAML 2.0をクリックし、nextをクリックします。

    Configure SAML2.0SAML2.0の設定

    一般設定

    1. アプリケーションの名前を入力します。

    2. アプリケーションのロゴを追加します(オプション)。

    3. アプリケーションの可視性(オプション)

    4. NEXTをクリックします。

    SAML General SettingsSAMLの一般設定

    SAMLの設定

    次の表では、このセクションで設定する必要があるパラメータについて説明します。

                  

    コンポーネント

    コンフィギュレーション

    シングルサインオンURL

    https://XX.XX.XX.XX:XXXX/samlLoginResponse

    メタデータから取得します。

    対象ユーザーURI (SPエンティティID)

     XX.XX.XX.XX

    Cisco vManageのIPアドレスまたはDNS

    既定のRelayState

    名前IDの形式 

    お客様の好みに応じて

    アプリケーションユーザ名

    お客様の好みに応じて

    アプリケーションのユーザー名の更新

     作成と更新

    作成と更新

    応答

     署名済

    署名済

    アサーションシグニチャ

    署名済

    署名済

    署名アルゴリズム

    RSA-SHA256

    RSA-SHA256

    ダイジェストアルゴリズム

    SHA256

    SHA256

    アサーション暗号化

    [Encrypted]

    [Encrypted]

    暗号化アルゴリズム

    AES256-CBC

    AES256-CBC

    キー転送アルゴリズム

    RSA-OAEP

    RSA-OAEP

    暗号化証明書

    メタデータからの暗号化証明書(x.509形式)を保持している必要があります。

    シングルログアウトの有効化

    確認する必要があります。

    シングルログアウトURL

    https://XX.XX.XX.XX:XXXX/samlLogoutResponse

    メタデータから取得します。

    SP発行者

     XX.XX.XX.XX

    vManageのIPアドレスまたはDNS

    署名証明書

    メタデータからの暗号化証明書が、x.509形式である必要があります。

    アサーションインラインフック

    なし(無効)

    なし(無効)

    認証コンテキストクラス

    X.509証明書

    認証の強制

    Yes

    Yes

    SAML発行者ID文字列

    SAML発行者ID文字列

     文字列テキストを入力します

    属性ステートメント(オプション)

    名前►ユーザ名

    名前の形式(オプション) ►未指定
    値►user.login

    名前►ユーザ名

    名前の形式(オプション) ►未指定
    値►user.login

    グループ属性ステートメント(オプション)

    グループ►名前

    名前の形式(オプション) ►未指定

    フィルタ►正規表現►に一致します。*

    グループ►名前

    名前の形式(オプション) ►未指定

    フィルタ►正規表現►に一致します。*
    note-icon

    :SAMLの設定の表に示されているとおりに、ユーザ名グループを使用する必要があります。

    Configure SAML Part 1SAMLパート1の設定

    Configure SAML Part 2SAMLパート2の設定

    okta_1

    okta_2

    • [Next] をクリックします。

    フィードバック

    1. いずれかのオプションを選択します。

    2. Finishをクリックします。

    SMAL FeedbackSMALフィードバック

    OKTAでのグループの設定

    1. Directory > Groupsの順に移動します。

    OKTA GroupsOKTAグループ

    2. Add groupをクリックして、新しいグループを作成します。

    Add Groupグループの追加

    note-icon

    :グループはCisco vManageグループと一致している必要があり、小文字にする必要があります。

    OKTAでのユーザの設定

    1. Directory > Peopleの順に移動します。

    OKTA UsersOKTAユーザー

    2. Add personをクリックし、新しいユーザを作成し、グループに割り当てて保存します。

    Add Userユーザの追加

    note-icon

    :OKTAユーザの代わりにActive Directoryを使用できます。

    アプリケーションでのグループとユーザの割り当て

    1. 「アプリケーション」>「アプリケーション」に移動し、新しいアプリケーションを選択します。

    2. Assign > Assign to Groupsの順にクリックします。

    Application > Groupsアプリケーション>グループ

    3. グループを識別し、「割り当て」 > 「完了」の順にクリックします。

    Assign Group and Userグループとユーザの割り当て

    4. グループとユーザーをアプリケーションに割り当てる必要があります。

    確認

    設定が完了すると、OKTAからCisco vManageにアクセスできます。

    SSO Login VmanageSSOログインVmanage

    Vmanage GUIVmanageのGUI

    note-icon

    :SSOをバイパスするには、https://<vmanage>/login.htmlを使用できます。

    トラブルシュート

    Cisco vManageでSSOに関連するログを表示するには、var/log/nms/vmanage-server.logのファイルを確認します。

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    20-Nov-2024
    Usergroup属性ステートメントの更新
    1.0
    03-Apr-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • ロドルフォ・リコ・モラ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています