配置OKTA SSO外部身份验证以实现高级网络钓鱼保护

简介

本文档介绍如何配置OKTA SSO外部身份验证以登录思科高级网络钓鱼防护。

先决条件

管理员有权访问思科高级网络钓鱼防护门户。

Okta idP的管理员访问权限。 

自签名或CA签名（可选）PKCS或PEM格式的X.#12 SSL证书。

背景信息

• 思科高级网络钓鱼防护允许管理员使用SAML启用SSO登录。 
• OKTA是一个身份管理器，为您的应用提供身份验证和授权服务。 
• 思科高级网络钓鱼防护可以设置为连接到OKTA进行身份验证和授权的应用。
• SAML是基于XML的开放标准数据格式，使管理员能够在登录到其中某个应用程序后，无缝访问一组定义的应用程序。
• 要了解有关SAML的更多信息，您可以访问下一个链接:SAML一般信息

要求

• 思科高级网络钓鱼防护门户。
• OKTA管理员帐户。 

配置

在Cisco Advanced Phishing Protection Portal下：

1.登录到您的组织门户，然后选择Manage > Organizations，如图所示：

2.选择您的组织名称编辑组织，如图所示：

3.在Administrative选项卡上，向下滚动到User Account Settings，然后在SSO下选择Enable，如图所示：

4.下一个窗口提供要在OKTA SSO配置下输入的信息。将以下信息粘贴到记事本，使用它来配置OKTA设置：

      — 实体ID:apcc.cisco.com

      — 断言消费者服务：此数据专为您的组织量身定制。 

    选择指定格式的电子邮件，以使用电子邮件地址登录，如图所示：

5.目前尽可能减少思科高级网络钓鱼防护配置，因为您需要首先在OKTA中设置应用程序，然后再继续下一步。 

在Okta下。 

1.定位至“应用程序”门户，然后选择创建应用程序集成，如图所示：

2.选择SAML 2.0作为应用类型，如图所示：

3.输入应用名称高级网络钓鱼保护，然后选择Next，如图所示：

4.在SAML设置下，填补空白，如图所示：

    — 单点登录URL：这是通过思科高级网络钓鱼防护获取的断言消费者服务。 

    — 收件人URL：这是从思科高级网络钓鱼防护获取的实体ID。 

    — 名称ID格式：保留为未指定。

    — 应用用户名：电子邮件，提示用户在身份验证过程中输入其电子邮件地址。

    — 更新上的应用程序用户名：创建和更新。 

    向下滚动到Group Attribute Statements(可选)，如图所示：

    输入下一个属性语句：

        — 名称：组

        — 名称格式：未指定。

        — 过滤器：“Equals”和“OKTA”

    选择 Next（下一步）。

5.当要求帮助Okta了解您如何配置此应用程序时，请输入当前环境的适用原因，如图所示：

选择Finish继续下一步。

6.选择分配标签，然后选择分配 > 分配到组，如图所示：

7.选择OKTA组，该组是授权用户访问环境的组

8.选择登录，如图所示：

9.向下滚动到右角，输入查看SAML设置说明选项，如图所示：

9.将思科高级网络钓鱼防护门户所需的下一个信息保存到记事本，如图所示：

    — 身份提供程序单点登录URL。

    — 确定提供商颁发者（对于思科高级网络钓鱼防护来说不是必需的，但对于其他应用而言是必需的）。

    - X.509证书。 

10.完成OKTA配置后，您可以返回到思科高级网络钓鱼防护

在Cisco Advanced Phishing Protection Portal下：

1.使用名称标识符格式，输入以下信息：

    - SAML 2.0终端（HTTP重定向）：Okta提供的识别提供程序单点登录URL。

    — 公共证书(Public Certificate)：输入Okta提供的X.509证书。 

2.选择测试设置以验证配置是否正确

    如果配置中没有错误，您将看到“测试成功”(Test Successful)条目，现在可以保存设置，如图所示：

3.保存设置

验证

1.对于不使用SSO的任何现有管理员，系统会通过电子邮件通知他们组织的身份验证策略已更改，并要求管理员使用外部链接激活其帐户，如图所示：

2.激活帐户后，请输入您的电子邮件地址，然后它将您重定向到OKTA登录网站进行登录，如图所示：

3.完成OKTA登录过程后，登录思科高级网络钓鱼防护门户，如图所示：

相关信息

思科高级网络钓鱼防护 — 产品信息

思科高级网络钓鱼防护 — 最终用户指南

OKTA支持