Integre OKTA con ESA para la autenticación SAML

Actualizado:28 de abril de 2023
ID del documento:220434

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la integración de la autenticación de Email Security Appliance (ESA) y OKTA for Security Assertion Markup Language (SAML).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Directorio activo
    • Cisco Email Security Appliance 13.x.x o versiones posteriores
    • OKTA

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    OKTA es un proveedor de servicios de autenticación de dos factores que agrega una capa de seguridad a la autenticación SAML.

    SAML es un método de federación para las autenticaciones. Se desarrolló para proporcionar acceso seguro y separar al proveedor de identidad y al proveedor de servicios.

    El proveedor de identidad (IdP) es la identidad que almacena toda la información de los usuarios para permitir la autenticación (lo que significa que OKTA tiene toda la información del usuario para confirmar y aprobar una solicitud de autenticación).

    El proveedor de servicios (SP) es el ESA.

    ESA OKTA SAML ProcessProceso SAML ESA OKTA

    Configurar

    Configuración de OKTA

    1. Crear OKTA  Application. A continuación, vaya a Applications.

    OKTA gets StartedEmpiece bien

    1. Haga clic en  Create App Integration.

    OKTA Integration ProcessProceso de integración Okta

    1. Elegir  SAML 2.0  como se muestra en la imagen.

    OKTA SAML 2.0Okta SAML 2.0

    1. Edite la configuración de su integración y configure un nombre para la integración, el logotipo y las opciones sobre visibilidad. Haga clic en  nextcomo se muestra en la imagen.

    OKTA Application NameNombre de aplicación Okta

    1. En este paso, usted configura la parte más importante del IdP para permitir que los usuarios autentiquen y envíen los parámetros correctos en SAML.

    OKTA Configurationconfiguración Okta

    • URL de inicio de sesión único: la ubicación a la que se envía la afirmación SAML con HTTP POST. A menudo se denomina URL de SAML Assertion Consumer Service (ACS) para su aplicación.

       Esto se utiliza en la imagen de los pasos 5 y 6 sobre cómo funciona OKTA.

    • Utilice esta opción para la URL de destinatario y la URL de destino: márquela.
    • URI de la audiencia (ID de entidad SP): identificador único definido por la aplicación que es la audiencia prevista de la afirmación SAML. Suele ser el ID de entidad SP de la aplicación. Configure lo mismo que una URL de inicio de sesión único.
    • Nombre de Usuario de la Aplicación: Determina el valor por defecto del nombre de usuario de una aplicación de usuario. El nombre de usuario de la aplicación se utiliza para la sentencia de asunto de aserción. Usar correo electrónico.

    Para ello, debe configurar el mismo ESA desde  System Administration > SAML > Service Provider Settings.

    ESA SAML SettingsConfiguración de SAML de ESA

    Nota: recuerde que la URL de inicio de sesión y la URI de público deben ser iguales que la URL de inicio de sesión de ESA.

    • Formato de ID de nombre: Identifica las reglas de procesamiento SAML y las restricciones para la sentencia de asunto de aserción. Utilice el valor predeterminado 'Unspecified' a menos que la aplicación requiera explícitamente un formato específico. El formato de ID de nombre no está especificado y el ESA no requiere un formato de ID especificado.

    ESA Name ID FormatFormato de ID de nombre ESA

    1. Para el siguiente paso, configure cómo el ESA busca los parámetros recibidos por el IdP para hacer una coincidencia para los usuarios seleccionados en el grupo.

    En las mismas ventanas del paso 5, vaya a  Group Attribute Statements y configure los siguientes parámetros para permitir la autenticación.

    OKTA Group Attribute StatementsInstrucciones de atributo de grupo OKTA

    • Nombre: configure la palabra que utiliza en el ESA para  External Authentication Settigns mediante SAML (distingue entre mayúsculas y minúsculas).
    • Filtro: Configurar  equals y el nombre del grupo que desea utilizar para hacer una coincidencia en el dispositivo ESA para  External Authentication Settings.

    (La siguiente imagen es solo un ejemplo de cómo se ve cuando finaliza la parte de configuración de ESA).

    ESA SAML External Authentication ConfigurationConfiguración de autenticación externa de ESA SAML

    1. Solo para el paso de verificación, verifique la vista previa de la afirmación SAML.

    OKTA Metadata Informationinformación de metadatos OKTA

    A continuación, puede hacer clic en  next.

    1. Para finalizar la aplicación en OKTA, puede configurar los parámetros como se muestra en la siguiente imagen.

    OKTA Finalizing App IntegrationOkta finalizando la integración de aplicaciones

    Haga clic en el  Finish como en la imagen.

    1. Para finalizar la configuración en OKTA debe navegar a su aplicación y elegir las asignaciones y los usuarios o grupos a los que permite la autenticación en su aplicación.

    OKTA Assigning User GroupsOKTA asignando grupos de usuarios

    1. El resultado es como se muestra en esta imagen:

    OKTA Assigned GroupsGrupos asignados OKTA

    Configuración ESA

    1. Configuración de los parámetros de SAML. A continuación, vaya a  System Administration > SAML.

    ESA SAML ConfigurationConfiguración SAML de ESA

    1. Elegir  Add Service Provider como en la imagen anterior.

    ESA SAML SettingsConfiguración de SAML de ESA

    • ID de entidad: la ID de entidad del proveedor de servicios se utiliza para identificar de forma exclusiva a un proveedor de servicios. El formato del ID de entidad del proveedor de servicios suele ser un URI.

    Nota: Recuerde que este parámetro debe ser igual en ESA y OKTA.

    ESA Entity IDID de entidad ESA

    • URL de consumidor de afirmación: la URL de consumidor de afirmación es la URL a la que el proveedor de identidad debe enviar la afirmación SAML después de una autenticación correcta. La URL que utilice para acceder a la interfaz web de su dispositivo debe ser la misma que la URL de consumidor de aserción. Este valor es necesario mientras se configuran los parámetros del proveedor de servicios en el proveedor de identidad.

    Nota: Recuerde que este parámetro debe ser igual en ESA y OKTA.

    ESA Assertion URLURL de aserción ESA

    • Certificado SP: Este es el certificado para el nombre de host para el que ha configurado la URL de consumidor de aserción.

    ESA Certificatecertificado ESA

    Es mejor si utiliza  openssl  en Windows o Linux. Si desea configurar un certificado autofirmado, puede hacerlo con los siguientes pasos o puede utilizar el certificado:

    1. Cree la clave privada. Esto ayuda a habilitar el cifrado o el descifrado.

    openssl genrsa -out domain.key 2048

    2. Cree una solicitud de firma de certificado (CSR).

    openssl req -key domain.key -new -out domain.csr

    3. Cree el certificado autofirmado.

    openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

    Si desea más días, puede cambiar el valor después de  -days .

    note-icon

    Nota: Recuerde que, según las prácticas recomendadas, no debe conceder más de 5 años para los certificados.

    Después de eso, tiene el certificado y las claves para cargar en el ESA en la opción  upload certificate and key.

    note-icon

    Nota: Si desea cargar el certificado en formato PKCS #12, es posible crearlo después del paso 3.

    (Opcional) Del formato PEM al formato PKCS#12.

    openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

    Para obtener información sobre la organización, puede rellenarla como desee y hacer clic en Enviar.

    1. Desplácese hasta System Administration > SAML  y elija  Add Identity Provider.

    ESA SAML IdP ConfigurationConfiguración de IDP de ESA SAML

    ESA IdP Settings ConfigurationConfiguración de configuración de IDP de ESA

    En este paso hay dos opciones, puede cargar esa información manualmente o a través de un  XML archivo.

    Para ello, debe navegar hasta su aplicación OKTA y encontrar el  IDP metadata .

    OKTA IdP MetadataMetadatos de OKTA IdP

    Desplácese hacia abajo en el OKTA Sign On option y encontrar la opción SAML Setup.

    OKTA SAML Metadata InstructionsInstrucciones de metadatos SAML de OKTA

    Elegir  View SAML setup instructions. A continuación, desplácese hacia abajo hasta el  optional  paso.

    OKTA IdP Metadata InformationInformación de metadatos de OKTA IdP

    Copie y pegue toda la información en un bloc de notas, guárdelo como  IDP.xmly cárguela en la opción  Import IDP metadata en el SEC para  Identity Provider.

    ESA Metadata Importimportación de metadatos ESA

    Después de esto, haga clic en Submit (Enviar) y podrá ver una descripción general de la configuración como la siguiente:

    ESA SAML Configuration OverviewIntroducción a la configuración SAML de ESA

    Ahora que SAML está configurado, debe configurar la autenticación externa.

    1. Desplácese hasta  System Administration > Users. CCambie la configuración de la autenticación externa para utilizar SAML.

    ESA External Authentication Configurationconfiguración de autenticación externa ESA

    Elegir Edit Global Settings y configurar los siguientes parámetros iguales a los parámetros configurados en OKTA para el grupo.

    ESA External Authentication Configurationconfiguración de autenticación externa ESA

    OKTA External Authentication ConfigurationConfiguración de autenticación externa OKTA

    Después de ese clic  Commit.

    Verificación

    Para verificarlo, haga clic en  Use Single On.

    ESA Authentication via SSOAutenticación ESA mediante SSO

    Después de hacer clic en el  Use Single Sign-On , se le redirigirá al servicio IdP (OKTA) y deberá proporcionar el nombre de usuario y la contraseña para autenticarse o, si se ha integrado completamente con su dominio, se le autenticará automáticamente en el ESA.

    ESA OKTA AuthenticationAutenticación ESA OKTA

    Después de ingresar sus credenciales de inicio de sesión de OKTA, se le redirige al ESA y se autentica como en la siguiente imagen.

    ESA Authentication SuccessfulAutenticación de ESA satisfactoria

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    28-Apr-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos