SAML認証用のESAとのOKTAの統合

Updated: 2023 年 4 月 28 日
Document ID:220434

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Security Assertion Markup Language(SAML)認証用のEメールセキュリティアプライアンス(ESA)とOKTAの統合について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Active Directory
    • Cisco Eメールセキュリティアプライアンス13.x.x以降のバージョン
    • オクタ

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    OKTAは、SAML認証にセキュリティレイヤを追加する2要素認証サービスプロバイダーです。

    SAMLは、認証のフェデレーション方式です。これは、セキュアなアクセスを提供し、IDプロバイダーとサービスプロバイダーを分離するために開発されました。

    アイデンティティプロバイダー(IdP)は、認証を許可するためにユーザのすべての情報を保存するIDです(つまり、OKTAは認証要求を確認および承認するためのすべてのユーザ情報を持ちます)。

    サービスプロバイダー(SP)はESAです。

    ESA OKTA SAML ProcessESA OKTA SAMLプロセス

    設定

    OKTAの設定

    1. OKTAの作成  Applicationを参照。次に、 Applicationsを参照。

    OKTA gets StartedOktaを開始する

    1. クリック  Create App Integrationを参照。

    OKTA Integration ProcessOkta統合プロセス

    1. 選択  SAML 2.0  図に示すように。

    OKTA SAML 2.0Okta SAML 2.0

    1. 統合の設定を編集し、統合、ロゴ、可視性に関するオプションの名前を設定します。クリック  next図に示すように。

    OKTA Application NameOktaアプリケーション名

    1. この手順では、ユーザがSAMLで正しいパラメータを認証して送信できるように、IdPの最も重要な部分を設定します。

    OKTA ConfigurationOktaの設定

    • シングルサインオンURL:SAMLアサーションがHTTP POSTで送信される場所。これは、アプリケーションのSAMLアサーションコンシューマサービス(ACS)URLと呼ばれることがよくあります。

       これは、OKTAの動作に関するステップ5と6の図で使用されます。

    • これを受信者URLと宛先URLに使用します:そのオプションをマークします。
    • 対象者URI(SPエンティティID):SAMLアサーションの対象となる対象者であるアプリケーション定義の一意の識別子。これは通常、アプリケーションのSPエンティティIDです。シングルサインオンURLと同じものを設定します。
    • アプリケーションユーザ名:ユーザアプリケーションユーザ名のデフォルト値を決定します。アサーションのsubject文には、アプリケーションのユーザ名が使用されます。電子メールを使用します。

    このためには、同じESAをから設定する必要があります  System Administration > SAML > Service Provider Settings.

    ESA SAML SettingsESA SAML設定

    :サインオンURLと対象ユーザURIは、ESAログインURLと同じである必要があります。

    • 名前ID形式:アサーションサブジェクトステートメントのSAML処理ルールと制約を識別します。アプリケーションが明示的に特定のフォーマットを要求しない限り、デフォルト値の「Unspecified」を使用します。名前IDの形式が指定されていないため、ESAでは指定されたIDの形式は必要ありません。

    ESA Name ID FormatESA名IDの形式

    1. 次の手順では、グループで選択されたユーザと一致するように、ESAがIdPによって受信されたパラメータを検索する方法を設定します。

    ステップ5と同じウィンドウで、  Group Attribute Statements 次のパラメータを設定して、認証を許可します。

    OKTA Group Attribute StatementsOKTAグループ属性ステートメント

    • 名前:ESAで使用する単語を設定します。  External Authentication Settigns saml経由(大文字と小文字が区別されます)。
    • フィルタ:設定  equals ESAデバイスで一致を作成するために使用するグループの名前  External Authentication Settingsを参照。

    (次の図は、ESAの設定部分を完了したときの表示例です)。

    ESA SAML External Authentication ConfigurationESA SAML外部認証設定

    1. 検証ステップでのみ、SAMLアサーションのプレビューを確認してください。

    OKTA Metadata InformationOKTAメタデータ情報

    その後、  nextを参照。

    1. OKTAでアプリケーションを完了するには、次の図に示すようにパラメータを設定できます。

    OKTA Finalizing App IntegrationOkta確定アプリの統合

    ポリシーの横の [レポート(Report)]  Finish ボタンをクリックします。

    1. OKTAの設定を完了するには、アプリケーションに移動し、アプリケーションで認証を許可する割り当てとユーザまたはグループを選択する必要があります。

    OKTA Assigning User GroupsOKTA割り当て,ユーザーグループ

    1. 結果は次の図のようになります。

    OKTA Assigned GroupsOKTAによって割り当てられたグループ

    ESA の設定

    1. SAML設定の構成次に、  System Administration > SAML.

    ESA SAML ConfigurationESA SAML設定

    1. 選択  Add Service Provider 前の図のように表示されます。

    ESA SAML SettingsESA SAML設定

    • エンティティID:サービスプロバイダーエンティティIDは、サービスプロバイダーを一意に識別するために使用されます。サービスプロバイダーエンティティIDの形式は、通常はURIです。

    :このパラメータはESAとOKTAで同じにする必要があります。

    ESA Entity IDESAエンティティID

    • アサーションコンシューマURL:アサーションコンシューマURLは、認証が成功した後にアイデンティティプロバイダーがSAMLアサーションを送信する必要があるURLです。アプライアンスのWebインターフェイスへのアクセスに使用するURLは、アサーションコンシューマURLと同じである必要があります。この値は、アイデンティティプロバイダーでサービスプロバイダー設定を構成するときに必要です。

    :このパラメータはESAとOKTAで同じにする必要があります。

    ESA Assertion URLESAアサーションURL

    • SP証明書:これは、アサーションコンシューマURLを設定したホスト名の証明書です。

    ESA CertificateESA証明書

    使用するのが最適です。  openssl  (WindowsまたはLinux)。自己署名証明書を設定する場合は、次の手順を実行するか、証明書を使用します。

    1.秘密キーを作成します。これにより、暗号化または復号化が可能になります。

    openssl genrsa -out domain.key 2048

    2.証明書署名要求(CSR)を作成します。

    openssl req -key domain.key -new -out domain.csr

    3.自己署名証明書を作成します。

    openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

    日数を増やす場合は、次の日数が経過した後に値を変更できます。  -days .

    note-icon

    :ベストプラクティスでは、証明書の有効期間を5年を超えないようにしてください。

    その後、オプションでESAにアップロードする証明書とキーが用意されます  upload certificate and keyを参照。

    note-icon

    :証明書をPKCS #12形式でアップロードする場合は、ステップ3の後で作成できます。

    (オプション)PEM形式からPKCS#12形式へ。

    openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

    組織の詳細については、必要に応じて入力し、「送信」をクリックします。

    1. 移動先 System Administration > SAML  選択します  Add Identity Provider.

    ESA SAML IdP ConfigurationESA SAML IdP設定

    ESA IdP Settings ConfigurationESA IdP設定の設定

    この手順には2つのオプションがあります。これらの情報は手動で、または  XML 出力を提供してください。

    これを行うには、OKTAアプリケーションに移動し、  IDP metadata を参照。

    OKTA IdP MetadataOKTA IdPメタデータ

    下にスクロールして OKTA Sign On option オプションを見つける SAML Setupを参照。

    OKTA SAML Metadata InstructionsOKTA SAMLメタデータの手順

    選択  View SAML setup instructionsを参照。下にスクロールして、  optional  step.

    OKTA IdP Metadata InformationOKTA IdPメタデータ情報

    すべての情報をコピーしてメモ帳に貼り付け、名前を付けて保存します  IDP.xmlオプションにアップロードします。  Import IDP metadata ESAでの設定  Identity Providerを参照。

    ESA Metadata ImportESAメタデータのインポート

    その後、submitをクリックすると、設定の概要が次のように表示されます。

    ESA SAML Configuration OverviewESA SAML設定の概要

    SAMLを設定したら、外部認証を設定する必要があります。

    1. 移動先  System Administration > Users. Csamlを使用するための外部認証の設定を変更します。

    ESA External Authentication ConfigurationESA外部認証設定

    選択 Edit Global Settings グループのOKTAで設定されたパラメータと同じ次のパラメータを設定します。

    ESA External Authentication ConfigurationESA外部認証設定

    OKTA External Authentication ConfigurationOKTA外部認証設定

    その後、クリックします。  Commitを参照。

    確認

    確認するには、  Use Single Onを参照。

    ESA Authentication via SSOSSOを介したESA認証

    をクリックした後、  Use Single Sign-On ボタンをクリックすると、IdPサービス(OKTA)にリダイレクトされ、認証するユーザ名とパスワードを入力する必要があります。ドメインと完全に統合されている場合は、ESAで自動的に認証されます。

    ESA OKTA AuthenticationESA OKTA認証

    OKTAログインクレデンシャルを入力すると、ESAにリダイレクトされ、次の図のように認証されます。

    ESA Authentication SuccessfulESA認証が成功しました

    トラブルシュート

    現在、この設定に関する特定のトラブルシューティング情報はありません。

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    28-Apr-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています