为CRES配置OKTA SSO外部身份验证

下载选项

PDF (1.0 MB)
在各种设备上使用 Adobe Reader 查看
ePub (689.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (378.1 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2022 年 10 月 24 日

文档 ID:218342

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何配置OKTA SSO外部身份验证以登录思科安全邮件加密服务（注册信封）。

先决条件

管理员有权访问思科安全邮件加密服务（注册信封）。

OKTA的管理员访问权限。

自签名或CA签名（可选）PKCS #12或PEM格式（由OKTA提供）的X.509 SSL证书。

背景信息

思科安全邮件加密服务（注册信封）为使用SAML的最终用户启用SSO登录。
OKTA是一个身份管理器，为您的应用提供身份验证和授权服务。
思科安全邮件加密服务（注册信封）可以设置为连接到OKTA进行身份验证和授权的应用。
SAML是基于XML的开放标准数据格式，使管理员能够在登录其中一个应用后无缝访问一组已定义的应用。
要了解有关SAML的详细信息，请参阅SAML一般信息

要求

思科安全邮件加密服务（注册信封）管理员帐户。
OKTA管理员帐户。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备都以清除（默认）配置开头。如果网络处于活动状态，请确保您了解任何命令的潜在影响。

配置

在Okta下。

1.定位至“应用程序”门户，然后选择 Create App Integration,如图所示:

Applications Portal - Create App Integration selection

2.选择 SAML 2.0 作为应用类型，如图所示：

Select SAML 2.0 application type

3.输入应用名称 CRES 并选择 Next,如图所示:

Assign app name of CRES

4.在 SAML settings，如图所示，填空隙：

— 单点登录URL：这是从思科安全邮件加密服务获取的断言消费者服务。

— 受众URI（SP实体ID）：这是从思科安全邮件加密服务获取的实体ID。

— 名称ID格式：保留为未指定。

— 应用用户名：邮件，提示用户在身份验证过程中输入其邮件地址。

— 更新上的应用程序用户名：创建和更新。

Fill in SAML Settings

向下滚动到 Group Attibute Statements (optional),如图所示:

输入下一个属性语句：

-姓名 : group

-姓名格式: Unspecified

— 过滤器： Equals 和 OKTA

Enter Group attributes

选择 Next .

5.当被要求时 Help Okta to understand how you configured this application，请输入当前环境的适用原因，如图所示：

Reason for app configuration

选择 Finish 继续下一步。

6.选择 Assignments 选项卡，然后选择 Assign > Assign to Groups,如图所示:

Assignments - Assign to Groups

7.选择OKTA组，该组为具有有权访问环境的用户的组。

8.选择 Sign On,如图所示:

Select Sign On

9.向下滚动至右角，选择 View SAML setup instructions 选项，如图所示：

View SAML setup instructions

10.将下一个需要输入的信息保存到记事本 Cisco Secure Email Encryption Service 门户，如图所示：

— 身份提供程序单点登录URL

— 身份提供程序颁发者

- X.509证书

Cisco Secure Email Encryption Service portal details

11.完成OKTA配置后，您可以返回思科安全邮件加密服务。

在思科安全邮件加密服务（注册信封）下：

1.以管理员身份登录您的组织门户，链接为：CRES Administration Portal，如图所示：

Administration Console Log In dialog box

2.在 Accounts 选项卡，选择 Manage Accounts 选项卡，如图所示：

Select Manage Accounts tab

3.单击帐号并选择 Details 选项卡，如图所示：

Select Details tab

4.向下滚动到 Authentication Method 并选择 SAML 2.0,如图所示:

Select SAML 2.0 as Authentication Method

5.对于 SSO Alternate Email Attribute，将其留空，如图所示：

Leave SSO Alternate Email Attribute blank

6.对于 SSO Service Provider Entity ID*，输入 https://res.cisco.com/ ,如图所示:

Enter SSO Service Provider Entity ID

7.对于 SSO Customer Service URL*，输入 Identity Provider Single Sign-On URL 由Okta提供，如图所示：

Enter the Identity Provider Single Sign-On URL

8.对于 SSO Logout URL，将其留空，如图所示：

Leave SSO Logout URL blank

9.对于 SSO Identity Provider Verification Certificate上传OKTA提供的X.509证书。

10.选择 Save 要保存设置，如图所示：

Select Save

11.选择 Activate SAML 要启动SAML身份验证过程并实施SSO身份验证，如图所示：

Select Activate SAML

12.将打开一个新窗口，通知SAML身份验证在与SAML身份提供方成功身份验证后变为活动状态。选择 Continue,如图所示:

SAML Identity Provider Authentication message

13.将打开一个新窗口，以使用OKTA凭证进行身份验证。输入 Username 并选择 Next,如图所示:

OKTA credentials Sign In

14.如果身份验证过程成功， SAML Authentication Successful 显示。选择 Continue 要关闭此窗口，如图所示：

SAML Authentication Successful message

15.确认 SSO Enable Date 设置为SAML身份验证成功的日期和时间，如图所示：

Confirm SSO Enable Date is the same as SAML Authentication date

SAML配置已完成。从此时起，属于CRES组织的用户在输入其电子邮件地址时，将被重定向以使用其OKTA凭证。

验证

1.导航到安全邮件加密服务门户。输入注册到CRES的邮件地址，如图所示：

Secure Email verification

2.打开一个新窗口，以使用OKTA凭证进行OKTA身份验证登录，如图所示：

OKTA Authentication Login

3.如果身份验证成功，安全邮件加密服务会打开 Compose Message 窗口，如图所示：

Compose Message dialog box

现在，最终用户可以访问安全邮件加密服务门户，以撰写安全邮件或使用OKTA凭证打开新信封。

为CRES配置OKTA SSO外部身份验证

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

背景信息

要求

配置

验证

相关信息

修订历史记录

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品