Configurazione di OKTA Single Sign-On (SSO) su SD-WAN

Opzioni per il download

  • PDF     (1.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.3 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:20 novembre 2024
ID documento:220326

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come integrare OKTA Single Sign-On (SSO) su una rete Wide Area Network (SD-WAN) definita dal software.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Panoramica generale su SD-WAN
    • SAML (Security Assertion Markup Language)
    • Provider di identità (IdP)
    • Certificati

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco vManage release 18.3.X o successive
    • Cisco vManage versione 20.6.3
    • Cisco vBond versione 20.6.3
    • Cisco vSmart versione 20.6.3

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Introduzione

    Il linguaggio SAML (Security Assertion Markup Language) è uno standard aperto per lo scambio di dati di autenticazione e autorizzazione tra parti, in particolare tra un provider di identità e un provider di servizi. Come indica il nome, SAML è un linguaggio di markup basato su XML per le asserzioni di sicurezza (istruzioni utilizzate dai provider di servizi per prendere decisioni sul controllo dell'accesso).


    Un provider di identità (IdP) è un provider attendibile che consente di utilizzare Single Sign-On (SSO) per accedere ad altri siti Web. L'SSO riduce l'usura delle password e migliora la fruibilità. Diminuisce la superficie di attacco potenziale e fornisce una migliore sicurezza.

    Configurazione

    Configurazione vManage

    1.  In Cisco vManage, selezionare Administration > Settings > Identify Provider Settings > Edit (Amministrazione > Impostazioni > Identifica impostazioni provider).

    Configuration > SettingsConfigurazione > Impostazioni

    2. Fare clic su Abilitato.

    3. Fare clic per scaricare i metadati SAML e salvare il contenuto in un file. Ciò è richiesto dalla parte dell'OKTA.

    Download SAMLScarica SAML

    tip-icon

    Suggerimento: Queste informazioni provenienti da METADATA sono necessarie per configurare OKTA con Cisco vManage.

    r. ID entità

    b. Firma certificato

    c. Certificato di crittografia

    d. URL di disconnessione

    e. URL di accesso

    note-icon

    Nota: I certificati devono essere nel formato x.509 e devono essere salvati con estensione .CRT.

    X.509 CertificateCertificato X.509

    Configurazione OKTA

    1. Accedere all'account OKTA.

    2. Passare a Applicazioni > Applicazioni.

    Applications > ApllicationsApplicazioni > Applicazioni

    3. Fare clic su Creare l'integrazione delle applicazioni.

    Create ApplicationCrea applicazione

    4.  Fare clic su SAML 2.0 e avanti.

    Configure SAML2.0Configurazione di SAML2.0

    Impostazioni generali

    1. Inserire il nome dell'applicazione.

    2. Aggiungere il logo per l'applicazione (facoltativo).

    3. Visibilità dell'app (opzionale).

    4. Fare clic su NEXT (AVANTI).

    SAML General SettingsImpostazioni generali SAML

    Configura SAML

    Questa tabella descrive i parametri che devono essere configurati in questa sezione.

                  

    Componente

    Valore

    Configurazione

    URL Single Sign-On

    https://XX.XX.XX.XX:XXXX/samlLoginResponse

    Ottenetelo dai metadati.

    URI gruppo di destinatari (ID entità SP)

     XX.XX.XX.XX

    Indirizzo IP o DNS per Cisco vManage

    RelayState predefinito

    VUOTO

    Formato ID nome 

    In base alle tue preferenze

    Nome utente applicazione

    In base alle tue preferenze

    Aggiorna nome utente applicazione in

     Crea e aggiorna

    Crea e aggiorna

    Risposta

     Firmato

    Firmato

    Firma asserzione

    Firmato

    Firmato

    Algoritmo della firma

    RSA-SHA256

    RSA-SHA256

    Algoritmo con classificazione

    SHA256

    SHA256

    Assertion Encryption

    Crittografia

    Crittografia

    Algoritmo di crittografia

    AES256-CBC

    AES256-CBC

    Algoritmo di trasporto chiave

    RSA-OAEP

    RSA-OAEP

    Certificato di crittografia

    Il certificato di crittografia dai metadati deve essere nel formato x.509.

    Abilita disconnessione singola

    devono essere controllate.

    URL di disconnessione singolo

    https://XX.XX.XX.XX:XXXX/samlLogoutResponse

    Ottieni dai metadati.

    Emittente SP

     XX.XX.XX.XX

    Indirizzo IP o DNS per vManage

    Certificato di firma

    Il certificato di crittografia dai metadati deve essere nel formato x.509.

    Hook inline asserzione

    Nessuno(disabilita)

    Nessuno(disabilita)

    Classe contesto di autenticazione

    Certificato X.509

    Rispetta autenticazione forzata

    Stringa ID autorità emittente SAML

    Stringa ID autorità emittente SAML

     Digitare una stringa di testo

    Istruzioni Attributes (facoltativo)

    Nome ► Nome utente

    Formato del nome (facoltativo) ► Non specificato
    Valore ► user.login

    Nome ► Nome utente

    Formato del nome (facoltativo) ► Non specificato
    Valore ► user.login

    Istruzioni attributi gruppo (facoltativo)

    Nome ► Gruppi

    Formato del nome (facoltativo) ► Non specificato

    Filter ► Corrisponde a regex ►.*

    Nome ► Gruppi

    Formato del nome (facoltativo) ► Non specificato

    Filter ► Corrisponde a regex ►.*
    note-icon

    Nota: È necessario utilizzare Username e Groups, esattamente come mostrato nella tabella CONFIGURE SAML.

    Configure SAML Part 1Configurazione SAML parte 1

    Configure SAML Part 2Configurazione di SAML parte 2

    okta_1

    okta_2

    • Fare clic su Next (Avanti).

    Feedback

    1. Selezionare una delle opzioni come preferenza.

    2. Fare clic su Fine.

    SMAL FeedbackFeedback di piccole dimensioni

    Configura gruppi in OKTA

    1. Passare a Directory > Gruppi.

    OKTA GroupsGruppi OKTA

    2. Fare clic su Aggiungi gruppo e creare un nuovo gruppo.

    Add GroupAggiungi gruppo

    note-icon

    Nota: I gruppi devono corrispondere ai gruppi Cisco vManage e devono essere scritti in minuscolo.

    Configura utenti in OKTA

    1. Selezionare Directory > Persone.

    OKTA UsersUtenti OKTA

    2. Fare clic su Aggiungi persona, creare un nuovo utente, assegnarlo al gruppo e salvarlo.

    Add UserAggiungi utente

    note-icon

    Nota: È possibile utilizzare Active Directory al posto degli utenti OKTA.

    Assegna gruppi e utenti nell'applicazione

    1. Passare a Applicazioni > Applicazioni > Selezionare la nuova applicazione.

    2. Fare clic su Assegna > Assegna a gruppi.

    Application > GroupsApplicazione > Gruppi

    3. Identificate il gruppo e fate clic su Assegna (Assign) > Fatto (Done).

    Assign Group and UserAssegna gruppo e utente

    4. A questo punto, Gruppo e Utenti devono essere assegnati all'applicazione.

    Verifica

    Una volta completata la configurazione, è possibile accedere a Cisco vManage tramite OKTA.

    SSO Login VmanageSSO Login Vmanage

    Vmanage GUIInterfaccia grafica di Vmanage

    note-icon

    Nota: Per ignorare l'accesso SSO, è possibile utilizzare https://<vmanage>/login.html

    Risoluzione dei problemi

    In Cisco vManage per visualizzare i log relativi a SSO, controllare il file: var/log/nms/vmanage-server.log

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    20-Nov-2024
    Istruzioni Update Usergroup Attribute
    1.0
    03-Apr-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Rodolfo Rico Mora
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti