المقدمة
يصف هذا وثيقة كيف أن يشكل OKTA كال SAML 2.0 هوية موفر ل cisco يأمن بريد إلكتروني SMA للمستخدم النهائي عزل منفذ.
المتطلبات الأساسية
- المنتج: أجهزة إدارة أمان البريد الإلكتروني الآمن (SMA) من Cisco
- الميزة: SAML SSO لحجر المستخدم النهائي (EUQ)
- موفر الهوية: OKTA (SAML 2.0)
- ينطبق على: عمليات نشر SMA التي توفر وصول EUQ على الأنظمة الافتراضية أو الأجهزة. استبدلت مثال مضيف اسم وميناء مع قيمة من بيئتك.
- سياق الإصدار: ينطبق هذا الإجراء على إصدارات SMA التي تدعم SAML ل EUQ. تحقق من الحقول المتاحة وخيارات القائمة في الإصدار المثبت لديك.
ملاحظة: يركز هذا المستند على تكوين SMA EUQ SAML. تتم الإشارة إلى ESA فقط لإنشاء الشهادة عندما لا تتمكن SMA من إنشاء شهادة موقعة ذاتيا.
المتطلبات
قبل البدء، تحقق من توفر ما يلي:
- الوصول الإداري إلى واجهة ويب SMA.
- أذونات إدارية في OKTA لإنشاء تطبيقات SAML 2.0 وتعيين مستخدمين أو مجموعات.
- شهادة ومفتاح خاص لتكوين مزود خدمة SMA. الشهادة الموقعة ذاتيا مقبولة للاختبار.
- اسم المجال المؤهل بالكامل (FQDN) الخاص ب SMA القابل للوصول إليه (EUQ) والمنفذ الذي يمكن للمستخدمين النهائيين الوصول إليه من المستعرضات الخاصة بهم.
- عنوان URL لتأكيد SMA SAML وقيم معرف كيان SP (من إدارة النظام > SAML بعد إنشاء إدخال SP).
- حسابات المستخدمين في OKTA التي تم تعيينها لتطبيق OKTA.
- المستخدمون المتزامنون مع الدليل، إذا كان النشر الخاص بك يستخدم تكامل الدليل.
ملاحظة: أوكتا مزود هوية طرف ثالث. يقدم هذا المستند نموذجا لتكوين مرجع العميل.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
الهدف هو تكوين تسجيل الدخول الأحادي (SSO) لمدخل عزل البريد العشوائي بحيث يتم إعادة توجيه المستخدمين إلى OKTA للمصادقة، وإكمال المصادقة متعددة العوامل (MFA) إذا تم تمكينها في OKTA، ثم العودة إلى مدخل SMA EUQ. ينطبق هذا المستند على SMA فقط. تتم الإشارة إلى عبارة البريد الإلكتروني الآمنة من Cisco، المعروفة سابقا باسم جهاز أمان البريد الإلكتروني (ESA)، فقط لإنشاء الشهادة عندما لا يتمكن SMA من إنشاء شهادة موقعة ذاتيا.
المشكلة: يجب على المستخدمين التصديق على مدخل العزل العشوائي ل SMA مع OKTA باستخدام SAML SSO و MFA الاختياري.
الدقة: قم بتكوين SMA كموفر الخدمة، وتكوين تطبيق SAML في OKTA، واستيراد إعدادات Okta IdP إلى SMA، وتعيين المستخدمين في OKTA، والتحقق من الوصول.
تدفق SAML:

التكوين
تكوين مزود الخدمة (SP) على جهاز SMA
لتكوين SMA كموفر خدمة SAML للوصول إلى EUQ، أكمل الخطوات التالية:
- سجل الدخول إلى واجهة ويب SMA .
- انتقل إلى إدارة النظام > SAML.
- حدد إضافة موفر خدمة.
- في معرف كيان مزود الخدمة، أدخل معرف الكيان الذي يمكنك أيضا تكوينه في OKTA.
- تحقق من ملء تنسيق معرف الاسم وعنوان URL خدمة المستهلك لتأكيد الاسم (ACS) لواجهة EUQ.
- في شهادة SP، قم بتحميل شهادة لتوقيع طلبات SAML.
ملاحظة: يتعذر على SMA إنشاء شهادة موقعة ذاتيا. يمكنك أيضا إنشاء شهادة على ESA وتصديرها للاستخدام على SMA.
إعداد موفر الخدمة في واجهة المستخدم الرسومية (GUI)
تكوين تطبيق SAML في OKTA
لإنشاء تطبيق SAML 2.0 في OKTA لوصول SMA EUQ، أكمل الخطوات التالية:
- سجل الدخول إلى OKTA كمسؤول.
- انتقل إلى تطبيقات > تطبيقات، ثم حدد إنشاء تكامل التطبيق.
- حدد SAML 2.0، ثم حدد التالي.
- أدخل اسم التطبيق، على سبيل المثال، SMA EUQ، ثم حدد التالي.
- في عنوان URL لتسجيل الدخول الأحادي، أدخل عنوان URL ل SMA ACS من إعدادات مزود خدمة SMA.
- في URI للجمهور (معرف كيان SP)، أدخل نفس معرف الكيان المكون على SMA.
- لتنسيق معرف الاسم، حدد عنوان البريد الإلكتروني.
- بالنسبة لاسم مستخدم التطبيق، حدد تنسيق اسم مستخدم OKTA المناسب لعملية النشر الخاصة بك.
- أكمل المعالج، ثم افتح التطبيق الجديد وانسخ ملف بيانات تعريف IdP XML أو بيانات التعريف URL.
عرض مدخل OKTA
تكوين موفر الهوية (IDp) على جهاز SMA
لتكوين OKTA كموفر الهوية (IDp) على SMA، أكمل الخطوات التالية:
- سجل الدخول إلى واجهة ويب SMA .
- انتقل إلى إدارة النظام > SAML.
- تحت إعدادات موفر الهوية، قم باستيراد بيانات تعريف Okta IdP من القسم السابق أو قم بإدخال القيم يدويا.
إعدادات توصيفات IDp في واجهة المستخدم الرسومية SMA
تعيين مستخدمين لتطبيق OKTA
للسماح للمستخدمين بالمصادقة على SMA EUQ من خلال OKTA، قم بتعيين مستخدمين أو مجموعات لتطبيق OKTA:
- في OKTA، افتح التطبيق الذي أنشأته.
- انتقل إلى المهام > الأشخاص، ثم حدد تعيين.
- حدد تعيين بجوار كل مستخدم، ثم حدد تم.
تعيين مستخدمين في مدخل OKTA
ملاحظة: يمكنك تعيين المستخدمين يدويا ومزامنة المستخدمين من Active Directory أو إستخدام تكامل دليل آخر يدعمه OKTA.
تكوين MFA في OKTA (إختياري)
إذا كنت تريد مصادقة متعددة العوامل (MFA) للوصول إلى EUQ، فقم بتكوين سياسات MFA في OKTA للتطبيق:
- في إدارة OKTA، انتقل إلى الأمان > المصادقة.
- قم بتكوين العوامل المطلوبة، على سبيل المثال، OKTA Verify أو Google Authenticator أو SMS، وقم بتطبيق السياسة على تطبيق SMA EUQ.
التحقق من تسجيل دخول SAML
النتيجة المتوقعة: للتحقق من التكوين، أكمل الخطوات التالية:
- قم بالاستعراض للوصول إلى عنوان URL SMA EUQ، على سبيل المثال، https://<sma-fqdn>:<port>/.
- تأكد من إعادة توجيه المستعرض إلى OKTA للمصادقة.
- إذا تم تمكين MFA، أكمل تحدي MFA.
- تأكد من إعادة توجيهك مرة أخرى إلى مدخل عزل البريد العشوائي ل SMA، كما يمكنك الوصول إلى وظائف العزل.
تسجيل الدخول باستخدام OKTA
إدخال رمز للتحقق من OKTA
عرض عزل البريد العشوائي بعد تسجيل الدخول باستخدام OKTA