Integrar OKTA com ESA para autenticação SAML

Atualizado:28 de abril de 2023
ID do documento:220434

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a integração do Email Security Appliance (ESA) e do OKTA para a autenticação do Security Assertion Markup Language (SAML).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Diretório ativo
    • Cisco Email Security Appliance 13.x.x ou versões posteriores
    • OKTA

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O OKTA é um provedor de serviços de autenticação de dois fatores que adiciona uma camada de segurança à autenticação SAML.

    SAML é um método de federação para autenticações. Ele foi desenvolvido para fornecer acesso seguro e separar o provedor de identidade e o provedor de serviços.

    O Identity Provider (IdP) é a identidade que armazena todas as informações dos usuários para permitir a autenticação (o que significa que o OKTA tem todas as informações do usuário para confirmar e aprovar uma solicitação de autenticação).

    O provedor de serviços (SP) é o ESA.

    ESA OKTA SAML ProcessProcesso ESA OKTA SAML

    Configurar

    Configuração do OKTA

    1. Criar OKTA  Application. Em seguida, navegue até Applications.

    OKTA gets StartedIntrodução ao Okta

    1. Clique em  Create App Integration.

    OKTA Integration ProcessProcesso de integração do Okta

    1. Escolher  SAML 2.0  conforme mostrado na imagem.

    OKTA SAML 2.0SAML 2.0 do Okta

    1. Edite a configuração da integração e configure um nome para a integração, o logotipo e as opções sobre visibilidade. Clique em  nextconforme mostrado na imagem.

    OKTA Application NameNome do aplicativo Okta

    1. Nesta etapa, você configura a parte mais importante do IdP para permitir que os usuários autentiquem e enviem os parâmetros corretos no SAML.

    OKTA ConfigurationConfiguração do Okta

    • URL de signon único: O local para onde a asserção SAML é enviada com HTTP POST. Isso é geralmente conhecido como URL do SAML Assertion Consumer Service (ACS) para seu aplicativo.

       Isso é usado na imagem das Etapas 5 e 6 sobre como o OKTA funciona.

    • Use esta opção para URL do destinatário e URL de destino: marque essa opção.
    • URI da Audiência (ID da Entidade SP): O identificador exclusivo definido pelo aplicativo que é o público-alvo da asserção SAML. Geralmente é a ID da entidade SP do aplicativo. Configure o mesmo que um URL de logon único.
    • Nome de Usuário da Aplicação: Determina o valor default para um nome de usuário da aplicação do usuário. O nome de usuário do aplicativo é usado para a instrução de assunto da asserção. Use o e-mail.

    Para isso, você deve configurar o mesmo ESA a partir de  System Administration > SAML > Service Provider Settings.

    ESA SAML SettingsConfigurações SAML de ESA

    Observação: lembre-se de que o URL de início de sessão e o URI do público devem ser iguais ao seu URL de início de sessão do ESA.

    • Formato do ID do Nome: Identifica as regras de processamento SAML e restrições para a instrução do assunto da asserção. Use o valor padrão 'Não especificado', a menos que o aplicativo exija explicitamente um formato específico. O formato de ID do nome não é especificado e o ESA não requer um formato de ID especificado.

    ESA Name ID FormatFormato de ID de nome ESA

    1. Para a próxima etapa, configure como o ESA pesquisa os parâmetros recebidos pelo IdP para fazer uma correspondência para os usuários selecionados no grupo.

    Nas mesmas janelas da Etapa 5, navegue até  Group Attribute Statements e configurar os próximos parâmetros para permitir a autenticação.

    OKTA Group Attribute StatementsInstruções de atributo de grupo OKTA

    • Nome: Configure a palavra usada no ESA para  External Authentication Settigns via SAML (distinção entre maiúsculas e minúsculas).
    • Filtro: Configurar  equals e o nome do grupo que você deseja usar para fazer uma correspondência no Dispositivo ESA para  External Authentication Settings.

    (A próxima imagem é apenas um exemplo de como ela fica quando você termina a parte de configuração do ESA).

    ESA SAML External Authentication ConfigurationConfiguração de autenticação externa SAML ESA

    1. Somente para a etapa de verificação, verifique a visualização da SAML Assertion.

    OKTA Metadata InformationInformações de metadados OKTA

    Depois disso, você pode clicar em  next.

    1. Para finalizar o aplicativo no OKTA, você pode configurar os parâmetros como mostrado na próxima imagem.

    OKTA Finalizing App IntegrationFinalizando integração de aplicativos no Okta

    Clique no botão  Finish como na imagem.

    1. Para finalizar a configuração no OKTA, você deve navegar para seu aplicativo e escolher as atribuições e os usuários ou grupos aos quais você permite a autenticação em seu aplicativo.

    OKTA Assigning User GroupsOKTA atribuindo grupos de usuários

    1. O resultado é como mostrado nesta imagem:

    OKTA Assigned GroupsGrupos atribuídos OKTA

    Configuração do ESA

    1. Definir configurações SAML. Em seguida, navegue até  System Administration > SAML.

    ESA SAML ConfigurationConfiguração SAML ESA

    1. Escolher  Add Service Provider como na imagem anterior.

    ESA SAML SettingsConfigurações SAML de ESA

    • ID da entidade: A ID da entidade do provedor de serviços é usada para identificar exclusivamente um provedor de serviços. O formato da ID da entidade do provedor de serviços é geralmente um URI.

    Observação: lembre-se de que esse parâmetro deve ser igual em ESA e OKTA.

    ESA Entity IDID da entidade ESA

    • URL do Consumidor de Asserção: O URL do Consumidor de Asserção é o URL que o Provedor de Identidade deve enviar para a asserção SAML após a autenticação bem-sucedida. A URL usada para acessar a interface da Web do equipamento deve ser a mesma que a URL do consumidor de asserção. Você precisa desse valor ao definir as configurações do provedor de serviços no provedor de identidade.

    Observação: lembre-se de que esse parâmetro deve ser igual em ESA e OKTA.

    ESA Assertion URLURL de Asserção ESA

    • Certificado SP: este é o certificado para o nome de host para o qual você configurou o URL do consumidor de asserção.

    ESA CertificateCertificado ESA

    É melhor se você usar  openssl  no Windows ou Linux. Se quiser configurar um certificado autoassinado, você pode fazer isso com as próximas etapas ou pode usar seu certificado:

    1. Crie a chave privada. Isso ajuda a habilitar a criptografia ou a descriptografia.

    openssl genrsa -out domain.key 2048

    2. Crie uma CSR (Certificate Signing Request, Solicitação de assinatura de certificado).

    openssl req -key domain.key -new -out domain.csr

    3. Crie o certificado autoassinado.

    openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

    Se desejar mais dias, você poderá alterar o valor após  -days .

    note-icon

    Observação: lembre-se de que, de acordo com as melhores práticas, você não deve colocar mais de 5 anos para os certificados.

    Depois disso, você terá o certificado e as chaves para carregar no ESA na opção  upload certificate and key.

    note-icon

    Observação: se você quiser fazer upload do certificado no formato PKCS #12, é possível criá-lo após a Etapa 3.

    (Opcional) Do formato PEM para o formato PKCS#12.

    openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

    Para obter detalhes sobre a organização, você pode preenchê-la como desejar e clicar em enviar.

    1. Navegue até System Administration > SAML  e escolher  Add Identity Provider.

    ESA SAML IdP ConfigurationConfiguração de IdP SAML de ESA

    ESA IdP Settings ConfigurationConfiguração de definições de IdP ESA

    Nesta etapa, há duas opções: você pode carregar essas informações manualmente ou por meio de um  XML arquivo.

    Para fazer isso, você deve navegar para o seu aplicativo OKTA e encontrar o  IDP metadata .

    OKTA IdP MetadataMetadados de IdP OKTA

    Role para baixo na OKTA Sign On option e encontrar a opção SAML Setup.

    OKTA SAML Metadata InstructionsInstruções de metadados SAML OKTA

    Escolher  View SAML setup instructions. Em seguida, role para baixo até a  optional  etapa.

    OKTA IdP Metadata InformationInformações de metadados IdP OKTA

    Copie e cole todas as informações em um bloco de notas, salve-o como  IDP.xmle carregá-lo na opção  Import IDP metadata no SEC para  Identity Provider.

    ESA Metadata ImportImportação de metadados ESA

    Depois disso, clique em enviar e você poderá ver uma visão geral da sua configuração como esta:

    ESA SAML Configuration OverviewVisão geral da configuração do ESA SAML

    Agora que o SAML está configurado, você deve configurar a autenticação externa.

    1. Navegue até  System Administration > Users. CAltere a configuração da autenticação externa para usar SAML.

    ESA External Authentication ConfigurationConfiguração de autenticação externa ESA

    Escolher Edit Global Settings e configure os próximos parâmetros iguais aos parâmetros configurados no OKTA para o grupo.

    ESA External Authentication ConfigurationConfiguração de autenticação externa ESA

    OKTA External Authentication ConfigurationConfiguração de autenticação externa OKTA

    Depois disso, clique em  Commit.

    Verificar

    Para verificar, clique em  Use Single On.

    ESA Authentication via SSOAutenticação ESA via SSO

    Depois de clicar no botão  Use Single Sign-On , você será redirecionado para o serviço IdP (OKTA) e deverá fornecer o nome de usuário e a senha para autenticação ou, se tiver se integrado totalmente ao seu domínio, será automaticamente autenticado no ESA.

    ESA OKTA AuthenticationAutenticação OKTA ESA

    Depois de inserir suas credenciais de login OKTA, você será redirecionado para o ESA e autenticado como na próxima imagem.

    ESA Authentication SuccessfulAutenticação ESA bem-sucedida

    Troubleshooting

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    28-Apr-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos