Configuración de OKTA Single Sign-On (SSO) en SD-WAN

Actualizado:31 de marzo de 2023
ID del documento:220326

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo integrar OKTA Single Sing-On (SSO) en una red de área extensa definida por software (SD-WAN).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Descripción general de SD-WAN
    • Lenguaje de marcado de aserción de seguridad (SAML)
    • Proveedor de identidad (IdP)
    • Certificados

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco vManage versión 18.3.X o posterior
    • Cisco vManage versión 20.6.3
    • Cisco vBond versión 20.6.3
    • Cisco vSmart versión 20.6.3

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Background

    El lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto para intercambiar datos de autenticación y autorización entre partes, en particular, entre un proveedor de identidad y un proveedor de servicios. Como su nombre indica, SAML es un lenguaje de marcado basado en XML para las afirmaciones de seguridad (instrucciones que utilizan los proveedores de servicios para tomar decisiones de control de acceso).


    Un proveedor de identidad (IdP) es un proveedor de confianza que le permite utilizar el inicio de sesión único (SSO) para acceder a otros sitios web. SSO reduce la fatiga de las contraseñas y mejora la facilidad de uso. Reduce la superficie de ataque potencial y proporciona una mayor seguridad.

    Configurar

    Configuración de vManage

    1. En Cisco vManage, navegue hasta Administration > Settings > Identity Provider Settings > Edit.

    Administration Settings Settings" />Configuration > Settings

    2. Haga clic en Habilitado.

    3. Haga clic para descargar los metadatos SAML y guardar el contenido en un archivo. Esto es necesario en el lado de OKTA.

    Download SMALDescargar SAML

    tip-icon

    Sugerencia: necesita esta información de METADATA para configurar OKTA con Cisco vManage.

    a. ID de entidad

    b. Firmar certificado

    c. Certificado de cifrado

    d. URL de cierre de sesión

    e. Iniciar sesión en UR

    note-icon

    Nota: los certificados deben estar en formato x.509 y deben guardarse con la extensión .CRT.

    x.509 CertificateCertificado X.509

    Configuración de OKTA

    1. Inicie sesión en la cuenta OKTA.

    2. Acceda a Aplicaciones > Aplicaciones.

    Applications Applications" />Aplicaciones > Applications

    3. Haga clic Crear integración de aplicaciones.

    Create AppCrear aplicación

    4. Haga clic en SAML 2.0 y siguiente.

    SMAl2.0Configuración de SAML2.0

    Configuración general

    1. Introduzca un nombre de aplicación.

    2. Añadir logotipo para la aplicación (opcional).

    3. Visibilidad de la aplicación (opcional).

    4. Haga clic en NEXT.

    General SettingsConfiguración general de SAML

    Configurar SAML

    Esta tabla describe los parámetros que deben configurarse en esta sección.

                  

    Componente

    Valor

    Configuración

    URL de inicio de sesión único

    https://XX.XX.XX.XX:XXXX/samlLoginResponse

    Consígalo a partir de los metadatos.

    URI de público (ID de entidad SP)

     XX.XX.XX.XX

    Dirección IP o DNS para Cisco vManage

    Estado de retransmisión predeterminado

    EMPTY

    Formato de ID de nombre 

    Según sus preferencias

    Nombre de usuario de aplicación

    Según sus preferencias

    Actualizar nombre de usuario de aplicación en

     Crear y actualizar

    Crear y actualizar

    Respuesta

     Firmado

    Firmado

    Firma de aserción

    Firmado

    Firmado

    Algoritmo de firma

    RSA-SHA256

    RSA-SHA256

    Algoritmo de resumen

    SHA256

    SHA256

    Cifrado de aserción

    Cifrados

    Cifrados

    Algoritmo de encripción

    AES256-CBC

    AES256-CBC

    Algoritmo de transporte de claves

    RSA-OAEP

    RSA-OAEP

    Certificado de cifrado

    El certificado de cifrado de los metadatos debe estar en el formato x.509.

    Activar cierre de sesión único

    debe estar comprobado.

    URL de cierre de sesión único

    https://XX.XX.XX.XX:XXXX/samlLogoutResponse

    Obtenga de los metadatos.

    Emisor SP

     XX.XX.XX.XX

    Dirección IP o DNS para vManage

    Certificado de firma

    El certificado de cifrado de los metadatos debe estar en el formato x.509.

    Gancho en línea de aserción

    Ninguno (deshabilitar)

    Ninguno (deshabilitar)

    Clase de contexto de autenticación

    Certificado X.509

    Autenticación de fuerza de honor

    Yes

    Yes

    cadena de ID del emisor SAML

    cadena de ID del emisor SAML

     Escriba un texto de cadena

    Sentencias Attributes (opcional)

    Nombre ► Nombre de usuario

    Formato de nombre (opcional) ► No especificado
    Valor ►usuario.login

    Nombre ► Nombre de usuario

    Formato de nombre (opcional) ► No especificado
    Valor ►usuario.login

    Sentencias de atributo de grupo (opcional)

    Nombre ► Grupos

    Formato de nombre (opcional) ► No especificado

    Filtro ► .*

    Nombre ► Grupos

    Formato de nombre (opcional) ►Sin especificar

    Filtro ► .*
    note-icon

    Nota: Debe utilizar Username y Groups, exactamente como se muestra en la tabla CONFIGURE SAML.

    Configure SAML 1Configuración de SAML Parte 1

    Configure SAML 2Configuración de SAML Parte 2

    Configure SAML 3Configuración de SAML parte 3

    • Haga clic en Next (Siguiente).

    Comentarios

    1. Seleccione una de las opciones que prefiera.

    2. Haga clic en Finalizar.

    OKTA FeedbackComentarios sobre SMALL

    Configurar grupos en OKTA

    1. Navegue hasta Directorio > Grupos.

    GroupsGrupos OKTA

    2. Haga clic en Agregar grupo y cree un nuevo grupo.

    Add GroupAgregar grupo

    note-icon

    Nota: Los grupos deben coincidir con los grupos de Cisco vManage y deben estar en minúsculas.

    Configurar usuarios en OKTA

    1. Acceda a Directorio > Personas.

    Users GroupsUsuarios de OKTA

    2. Haga clic en Agregar persona, cree un nuevo usuario, asígnelo al grupo y guárdelo.

    Add UserAgregar usuario

    note-icon

    Nota: Active Directory se puede utilizar en lugar de usuarios de OKTA.

    Asignar grupos y usuarios en la aplicación

    .

    1. Acceda a Aplicaciones > Aplicaciones > Seleccione la nueva aplicación.

    2. Haga clic en Asignar > Asignar a grupos.

    Assign Groups to Application Grupos" />Aplicación > Grupos

    3. Identifique el grupo y haga clic en Asignar > Finalizado.

    Group AssignedAsignar grupo y usuario

    4. El grupo y los usuarios ahora deben ser asignados a la aplicación.

    Verificación

    Una vez completada la configuración, puede obtener acceso a Cisco vManage a través de OKTA.

    vManage LoginLogin Vmanage de SSO

    vManageGUI de Vmanage

    note-icon

    Nota: para omitir el inicio de sesión de SSO, puede utilizar https://<vmanage>/login.html

    Troubleshoot

    En Cisco vManage para ver los registros relacionados con SSO, compruebe el archivo: var/log/nms/vmanage-server.log

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    03-Apr-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Rodolfo Rico Mora
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos