دمج OKTA مع ESA لمصادقة SAML

تم التحديث:٢٨ أبريل ٢٠٢٣
معرّف المستند:220434

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكامل Email Security Appliance (ESA) و OKTA لمصادقة لغة تمييز تأكيد الأمان (SAML).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • OKTA، يمكن العثور على المزيد من المعلومات في فهم SAML | مطور أوكتا
    • معرفة البنية الأساسية للمفتاح العام (PKI)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • الدليل النشط
    • جهاز أمان البريد الإلكتروني 13.x.x من Cisco أو الإصدارات الأحدث
    • أوكتا

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    OKTA هو مزود خدمة مصادقة ثنائية العوامل يضيف طبقة تأمين إلى مصادقة SAML.

    SAML هي طريقة إتحاد للمصادقة. وقد تم تطويرها لتوفير وصول آمن وفصل موفر الهوية ومزود الخدمة.

    موفر الهوية (IdP) هو المعرف الذي يخزن جميع معلومات المستخدمين للسماح بالمصادقة (مما يعني أن OKTA لديه كافة معلومات المستخدم لتأكيد طلب المصادقة والموافقة عليه).

    مزود الخدمة (SP) هو ESA.

    ESA OKTA SAML Processعملية ESA OKTA SAML

    التكوين

    تكوين OKTA

    1. إنشاء OKTA  Application. ثم انتقل إلى Applications.

    OKTA gets Startedأوكتا ابدأ

    1. انقر  Create App Integration.

    OKTA Integration Processعملية تكامل أوكتا

    1. نختار  SAML 2.0  كما هو موضح في الصورة.

    OKTA SAML 2.0أوكتا سامل 2.0

    1. قم بتحرير التكوين للتكامل الخاص بك وقم بتكوين اسم للتكامل والشعار وخيارات الرؤية. انقر  nextكما هو موضح في الصورة.

    OKTA Application Nameاسم تطبيق Okta

    1. في هذه الخطوة، تقوم بتكوين الجزء الأكثر أهمية من IdP للسماح للمستخدمين بالمصادقة وإرسال المعلمات الصحيحة في SAML.

    OKTA Configurationتكوين OKTA

    • عنوان URL أحادي لتسجيل الدخول: الموقع الذي يتم فيه إرسال تأكيد SAML مع HTTP POST. غالبا ما يشار إلى هذا باسم URL خدمة العملاء لتأكيد SAML (ACS) للتطبيق الخاص بك.

       هذا استعملت في الصورة للsteps 5 و 6 حول كيف يعمل OKTA.

    • أستخدم هذا لعنوان URL الخاص بالمستلم وعنوان URL للوجهة: وضع علامة على هذا الخيار.
    • URI للجمهور (معرف كيان SP): المعرف الفريد المحدد بواسطة التطبيق الذي هو الجمهور المقصود لتأكيد SAML. غالبا ما يكون هذا هو معرف كيان SP الخاص بتطبيقك. قم بتكوين نفس URL لتسجيل الدخول الأحادي.
    • اسم مستخدم التطبيق: يحدد القيمة الافتراضية لاسم مستخدم التطبيق. يتم إستخدام اسم مستخدم التطبيق لبيان موضوع التأكيد. إستخدام البريد الإلكتروني.

    لهذا، يجب عليك إعداد نفس ESA من  System Administration > SAML > Service Provider Settings.

    ESA SAML Settingsإعدادات ESA SAML

    ملاحظة: تذكر عنوان URL لتسجيل الدخول ويجب أن يكون URI للجمهور هو نفس عنوان URL لتسجيل الدخول إلى ESA الخاص بك.

    • تنسيق معرف الاسم: يحدد قواعد وقيود معالجة SAML لعبارة موضوع التأكيد. أستخدم القيمة الافتراضية ل 'غير محدد' ما لم يتطلب التطبيق تنسيقا محددا بشكل صريح. تنسيق معرف الاسم غير محدد، ولا يتطلب ESA تنسيق معرف محدد.

    ESA Name ID Formatتنسيق معرف اسم ESA

    1. للخطوة التالية، قم بتكوين كيفية بحث ESA عن المعلمات التي تم تلقيها بواسطة IdP لإجراء تطابق للمستخدمين المحددين في المجموعة.

    في نفس نوافذ الخطوة 5.، انتقل إلى  Group Attribute Statements وتكوين المعلمات التالية للسماح بالمصادقة.

    OKTA Group Attribute Statementsعبارات سمة مجموعة OKTA

    • الاسم: قم بتكوين الكلمة التي تستخدمها في ESA ل  External Authentication Settigns عبر SAML (حساس لحالة الأحرف).
    • التصفية: التكوين  equals واسم المجموعة التي تريد إستخدامها لعمل تطابق في جهاز ESA ل  External Authentication Settings.

    (الصورة التالية هي مجرد مثال على كيف تبدو عند انتهائك من جزء التكوين من ESA).

    ESA SAML External Authentication Configurationتكوين المصادقة الخارجية ESA SAML

    1. فقط لخطوة التحقق، تحقق من معاينة تأكيد SAML.

    OKTA Metadata Informationمعلومات بيانات تعريف OKTA

    بعد ذلك، يمكنك النقر  next.

    1. لإنهاء التطبيق في OKTA، يمكنك تكوين المعلمات كما هو موضح في الصورة التالية.

    OKTA Finalizing App Integrationإنهاء تكامل التطبيق من OKTA

    انقر فوق  Finish زر كما في الصورة.

    1. من أجل إنهاء التكوين في OKTA، يجب عليك الانتقال إلى التطبيق الخاص بك واختيار التعيينات والمستخدمين أو المجموعات التي تسمح بها للمصادقة في التطبيق الخاص بك.

    OKTA Assigning User Groupsتعيين مجموعات مستخدمين OKTA

    1. النتيجة كما هو موضح في هذه الصورة:

    OKTA Assigned Groupsالمجموعات المعينة ل OKTA

    تكوين ESA

    1. تكوين إعدادات SAML. ثم انتقل إلى  System Administration > SAML.

    ESA SAML Configurationتكوين ESA SAML

    1. نختار  Add Service Provider كما في الصورة السابقة.

    ESA SAML Settingsإعدادات ESA SAML

    • معرف الكيان: يتم إستخدام معرف كيان مزود الخدمة لتحديد موفر الخدمة بشكل فريد. تنسيق معرف كيان موفر الخدمة هو عادة URI.

    ملاحظة: تذكر أن هذه المعلمة يجب أن تكون متساوية في ESA و OKTA.

    ESA Entity IDمعرف كيان ESA

    • URL لمستهلك التأكيد: URL لمستهلك التأكيد هو URL الذي يجب أن يرسل موفر الهوية تأكيد SAML بعد المصادقة الناجحة. يجب أن يكون عنوان URL الذي تستخدمه للوصول إلى واجهة الويب الخاصة بالجهاز الخاص بك هو نفس عنوان URL لمستهلك التأكيد. تحتاج إلى هذه القيمة أثناء تكوين إعدادات موفر الخدمة على موفر الهوية.

    ملاحظة: تذكر أن هذه المعلمة يجب أن تكون متساوية في ESA و OKTA.

    ESA Assertion URLعنوان URL لتأكيد ESA

    • شهادة SP: هذه هي شهادة اسم المضيف الذي قمت بتكوين عنوان URL لمستهلك التأكيد الخاص به.

    ESA Certificateشهادة ESA

    من الأفضل أن تستخدم  openssl  على Windows أو Linux. إذا كنت تريد تكوين شهادة موقعة ذاتيا، يمكنك القيام بذلك باستخدام الخطوات التالية أو يمكنك إستخدام شهادتك:

    1. قم بإنشاء المفتاح الخاص. يساعد ذلك على تمكين التشفير أو فك التشفير.

    openssl genrsa -out domain.key 2048

    2. إنشاء طلب توقيع شهادة (CSR).

    openssl req -key domain.key -new -out domain.csr

    3. قم بإنشاء الشهادة الموقعة ذاتيا.

    openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

    إذا كنت تريد المزيد من الأيام، يمكنك تغيير القيمة بعد  -days .

    note-icon

    ملاحظة: تذكر، من خلال أفضل الممارسات، أنه لا يجب عليك تطبيق أكثر من 5 سنوات على الشهادات.

    بعد ذلك، لديك الشهادة والمفاتيح للتحميل على ESA في الخيار  upload certificate and key.

    note-icon

    ملاحظة: إذا كنت تريد تحميل الشهادة بتنسيق PKCS #12، فمن الممكن إنشاؤها بعد الخطوة 3.

    (إختياري) من تنسيق PEM إلى تنسيق PKCS#12.

    openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

    لتفاصيل المؤسسة، يمكنك ملؤها كما تريد، ثم انقر فوق "إرسال".

    1. انتقل إلى System Administration > SAML  وتختار  Add Identity Provider.

    ESA SAML IdP Configurationتكوين ESA SAML IdP

    ESA IdP Settings Configurationتكوين إعدادات ESA IDp

    في هذه الخطوة هناك خياران، يمكنك تحميل هذه المعلومات يدويا أو عبر  XML ملف.

    للقيام بذلك، يجب الانتقال إلى تطبيق OKTA والعثور على  IDP metadata .

    OKTA IdP Metadataبيانات تعريف OKTA IdP

    تمرير لأسفل في OKTA Sign On option واعثر على الخيار SAML Setup.

    OKTA SAML Metadata Instructionsتعليمات بيانات تعريف OKTA SAML

    نختار  View SAML setup instructions. ثم قم بالتمرير لأسفل إلى  optional  خطوة.

    OKTA IdP Metadata Informationمعلومات بيانات تعريف OKTA IdP

    انسخ جميع المعلومات ولصقها في لوحة ملاحظات، واحفظها باسم  IDP.xml، وتحميله على الخيار  Import IDP metadata في الإيسا عن  Identity Provider.

    ESA Metadata Importإستيراد بيانات تعريف ESA

    بعد ذلك، انقر فوق إرسال ويمكنك مشاهدة نظرة عامة على التكوين الخاص بك بهذه الطريقة:

    ESA SAML Configuration Overviewنظرة عامة على تكوين ESA SAML

    الآن بعد تكوين SAML، يجب تكوين المصادقة الخارجية.

    1. انتقل إلى  System Administration > Users. Cغير التكوين للمصادقة الخارجية لاستخدام SAML.

    ESA External Authentication Configurationتكوين المصادقة الخارجية ل ESA

    نختار Edit Global Settings وتكوين المعلمات التالية مساوية للمعلمات التي تم تكوينها في OKTA للمجموعة.

    ESA External Authentication Configurationتكوين المصادقة الخارجية ل ESA

    OKTA External Authentication Configurationتكوين مصادقة OKTA الخارجية

    بعد تلك النقرة  Commit.

    التحقق من الصحة

    للتحقق، انقر فوق  Use Single On.

    ESA Authentication via SSOمصادقة ESA عبر SSO

    بعد النقر فوق  Use Single Sign-On زر، أنت أعدت إلى ال idP خدمة (OKTA) وأنت ينبغي زودت ال username وكلمة أن يصدق، أو، إن أنت يتلقى كامل تكامل مع مجالك، أنت تلقائيا يصدق في ال ESA.

    ESA OKTA Authenticationمصادقة OKTA ل ESA

    بعد إدخال بيانات اعتماد تسجيل دخول OKTA، تتم إعادة توجيهك إلى ESA وتتم مصادقتك كما هو الحال في الصورة التالية.

    ESA Authentication Successfulمصادقة ESA ناجحة

    استكشاف الأخطاء وإصلاحها

    لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    28-Apr-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات