Geïntegreerde OKTA met ESA voor SAML-verificatie

Bijgewerkt:28 april 2023
Document-id:220434

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de integratie van E-mail security applicatie (ESA) en OKTA voor Security Assertion Markup Language (SAML) verificatie.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Active Directory
    • Cisco e-mail security applicatie 13.x.x of latere versies
    • OKTA

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    OKTA is een tweedelige authenticatieprovider die een beveiligingslaag toevoegt aan SAML-verificatie.

    SAML is een federatiemethode voor verificaties. Het werd ontwikkeld om beveiligde toegang te bieden en de identiteitsprovider en dienstverlener te scheiden.

    De Identity Provider (IDP) is de Identity die alle informatie van gebruikers opslaat om de authenticatie mogelijk te maken (wat betekent dat OKTA alle gebruikersinformatie heeft om een verificatieaanvraag te bevestigen en goed te keuren).

    De Service Provider (SP) is de ESA.

    ESA OKTA SAML ProcessESA OKTA SAML-proces

    Configureren

    OKTA-configuratie

    1. OKTA maken  Application. Navigeer vervolgens naar Applications.

    OKTA gets StartedOkta aan de slag

    1. Klik op de knop   Create App Integration.

    OKTA Integration ProcessOkta-integratieproces

    1. Kiezen  SAML 2.0  zoals in de afbeelding.

    OKTA SAML 2.0Okta SAML 2.0

    1. Bewerk de configuratie voor uw integratie en stel een naam in voor de integratie, het logo en de opties voor zichtbaarheid. Klik op de knop   nextzoals in de afbeelding.

    OKTA Application NameNaam Okta-toepassing

    1. In deze stap, vormt u het belangrijkste deel van IdP om de gebruikers toe te staan om de correcte parameters in SAML voor authentiek te verklaren en te verzenden.

    OKTA ConfigurationOkta-configuratie

    • Single sign-on URL: De locatie waar de SAML-bewering wordt verzonden met HTTP POST. Dit wordt vaak de SAML Assertion Consumer Service (ACS) URL voor uw toepassing genoemd.

       Dit wordt gebruikt in de afbeelding voor de stappen 5 en 6 over hoe OKTA werkt.

    • Gebruik dit voor geadresseerde URL en bestemming URL: teken die optie.
    • URI (SP Entity ID): De door de toepassing gedefinieerde unieke identificatiecode die het beoogde publiek van de SAML-bewering is. Dit is meestal de SP Entity ID van uw applicatie. Configureer hetzelfde als een enkele aanmelding-URL.
    • Toepassingsgebruikersnaam: bepaalt de standaardwaarde voor een gebruikersnaam voor de gebruikerstoepassing. De toepassingsgebruikersnaam wordt gebruikt voor de verklaring betreffende het onderwerp. E-mail gebruiken.

    Hiervoor moet u dezelfde ESA instellen vanaf  System Administration > SAML > Service Provider Settings.

    ESA SAML SettingsESA SAML-instellingen

    Opmerking: onthoud dat de URL voor aanmelding en de URI van het publiek hetzelfde moeten zijn als de URL voor de aanmelding bij ESA.

    • Naam ID-formaat: Identificeert de SAML-verwerkingsregels en -beperkingen voor de verklaring betreffende het onderwerp. Gebruik de standaardwaarde van 'Niet gespecificeerd' tenzij de toepassing expliciet een specifiek formaat vereist. Het formaat van de naam-ID is niet gespecificeerd en het ESR heeft geen specifiek ID-formaat nodig.

    ESA Name ID FormatESR-naam-ID-formaat

    1. Voor de volgende stap, vorm hoe de ESA de parameters zoekt die door IdP worden ontvangen om een gelijke voor de gebruikers te maken die in de groep worden geselecteerd.

    Ga in de zelfde vensters van Stap 5. naar  Group Attribute Statements en de volgende parameters te configureren om verificatie toe te staan.

    OKTA Group Attribute StatementsOKTA group attribuut statements

    • Naam: Configureer het woord dat u in de ESA gebruikt voor  External Authentication Settigns via SAML (Case Sensitive).
    • Filter: instellen  equals en de naam van de groep die u wilt gebruiken om een overeenkomst te maken in het ESA-apparaat voor  External Authentication Settings.

    (Het volgende beeld is slechts een voorbeeld van hoe het eruit ziet wanneer u het configuratiegedeelte van ESA beëindigt).

    ESA SAML External Authentication ConfigurationConfiguratie van externe verificatie van ESA SAML

    1. Controleer alleen voor de verificatiestap het voorbeeld van SAML Assertion.

    OKTA Metadata InformationOKTA metadata info

    Daarna kunt u op  next.

    1. Om de toepassing in OKTA te voltooien, kunt u de parameters configureren zoals in de volgende afbeelding.

    OKTA Finalizing App IntegrationOkta-app-integratie voltooien

    Klik op de  Finish zoals in het beeld.

    1. Om de configuratie in OKTA te voltooien, moet u naar uw applicatie navigeren en opdrachten en de gebruikers of groepen kiezen die u de authenticatie in uw applicatie toestaat.

    OKTA Assigning User GroupsOKTA-toewijzing van gebruikersgroepen

    1. Het resultaat is zoals in deze afbeelding:

    OKTA Assigned GroupsAan OKTA toegewezen groepen

    ESA-configuratie

    1. SAML-instellingen configureren. Navigeer vervolgens naar  System Administration > SAML.

    ESA SAML ConfigurationESA SAML-configuratie

    1. Kiezen  Add Service Provider zoals in de eerdere afbeelding.

    ESA SAML SettingsESA SAML-instellingen

    • Identiteitskaart van de entiteit: De ID van de entiteit van de dienstverlener wordt gebruikt om een dienstverlener uniek te identificeren. Het formaat van de ID van de entiteit voor serviceproviders is doorgaans een URI.

    Opmerking: deze parameter moet gelijk zijn in ESA en OKTA.

    ESA Entity IDID ESR-entiteit

    • Assertion Consumer URL: De Assertion Consumer URL is de URL die de Identity Provider moet verzenden de SAML-bewering na succesvolle verificatie. De URL die u gebruikt voor toegang tot de webinterface van uw apparaat moet gelijk zijn aan de Assertion Consumer URL. U hebt deze waarde nodig terwijl u de instellingen van de serviceprovider configureert op de identiteitsprovider.

    Opmerking: deze parameter moet gelijk zijn voor ESA en OKTA.

    ESA Assertion URLESA bevestiging URL

    • SP-certificaat: dit is het certificaat voor de hostnaam waarvoor u de bewering-consument-URL hebt geconfigureerd.

    ESA CertificateESA-certificaat

    Het is het beste als u  openssl  op Windows of Linux. Als u een zelf-ondertekend certificaat wilt configureren, kunt u dat doen met de volgende stappen of u kunt uw certificaat gebruiken:

    1. Maak de privé-sleutel aan. Dit helpt encryptie of decryptie toe te laten.

    openssl genrsa -out domain.key 2048

    2. Maak een aanvraag voor het ondertekenen van een certificaat (CSR) aan.

    openssl req -key domain.key -new -out domain.csr

    3. Maak het zelfondertekende certificaat aan.

    openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

    Als u meer dagen wilt, kunt u de waarde wijzigen na  -days .

    note-icon

    Opmerking: Onthoud dat je op basis van best practices niet meer dan 5 jaar voor de certificaten moet zetten.

    Daarna hebt u het certificaat en de sleutels om te uploaden op de ESA in de optie  upload certificate and key.

    note-icon

    Opmerking: als u het certificaat in PKCS #12-indeling wilt uploaden, kunt u het na stap 3 maken.

    (Optioneel) Van PEM-formaat naar PKCS#12-formaat.

    openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

    Voor organisatiedetails kunt u het invullen zoals u wilt en op Verzenden klikken.

    1. Naar navigeren System Administration > SAML  en kiezen  Add Identity Provider.

    ESA SAML IdP ConfigurationConfiguratie ESA SAML IDP

    ESA IdP Settings ConfigurationConfiguratie ESA IDP-instellingen

    In deze stap zijn er twee opties, kunt u die informatie handmatig of via een  XML bestand.

    Om dat te doen, moet u naar uw OKTA-toepassing navigeren en de  IDP metadata .

    OKTA IdP MetadataOKTA IDP-metagegevens

    Blader naar beneden in de OKTA Sign On option en vind de optie SAML Setup.

    OKTA SAML Metadata InstructionsOKTA SAML metadata instructies

    Kiezen  View SAML setup instructions. Blader vervolgens naar beneden naar de  optional  stap.

    OKTA IdP Metadata InformationInformatie over OKTA IDP-metadata

    Kopieer en plak alle informatie in een blocnote, bewaar het als  IDP.xml, en upload deze naar de optie  Import IDP metadata in het ESR voor  Identity Provider.

    ESA Metadata ImportESR-metagegevensinvoer

    Daarna klikt u op Verzenden en u kunt een overzicht zien van uw configuratie als deze:

    ESA SAML Configuration OverviewESA SAML configuratie overzicht

    Nu SAML is geconfigureerd, moet u de externe verificatie configureren.

    1. Naar navigeren  System Administration > Users. CWijzig de configuratie voor externe verificatie zodat SAML wordt gebruikt.

    ESA External Authentication ConfigurationExterne ESA-verificatieconfiguratie

    Kiezen Edit Global Settings en configureer de volgende parameters die gelijk zijn aan de parameters die in OKTA voor de groep zijn geconfigureerd.

    ESA External Authentication ConfigurationExterne ESA-verificatieconfiguratie

    OKTA External Authentication ConfigurationOKTA externe verificatieconfiguratie

    Daarna klikt u op  Commit.

    Verifiëren

    Om dit te verifiëren klikt u op  Use Single On.

    ESA Authentication via SSOESA-verificatie via SSO

    Nadat u op de  Use Single Sign-On Je wordt doorgestuurd naar de IDP-dienst (OKTA) en je moet de gebruikersnaam en het wachtwoord opgeven om te authenticeren, of als je volledig geïntegreerd bent met je domein, wordt je automatisch geauthenticeerd in de ESA.

    ESA OKTA AuthenticationESA OKTA-verificatie

    Nadat u uw OKTA inloggegevens hebt ingevoerd, wordt u doorgestuurd naar de ESA en geauthenticeerd zoals in de volgende afbeelding.

    ESA Authentication SuccessfulESA-verificatie geslaagd

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    28-Apr-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten