Introduzione
In questo documento viene descritto come configurare l'autenticazione esterna OKTA SSO per l'accesso a Cisco Advanced Phishing Protection.
Prerequisiti
Accesso come amministratore al portale Cisco Advanced Phishing Protection.
Accesso come amministratore a Okta idP.
Certificati SSL X.509 autofirmati o firmati dalla CA (facoltativi) in formato PKCS #12 o PEM.
Informazioni generali
- Cisco Advanced Phishing Protection consente di abilitare l'accesso SSO per gli amministratori che utilizzano SAML.
- OKTA è un programma di gestione delle identità che fornisce servizi di autenticazione e autorizzazione alle applicazioni.
- Cisco Advanced Phishing Protection può essere impostata come applicazione connessa a OKTA per l'autenticazione e l'autorizzazione.
- SAML è un formato di dati standard aperto basato su XML che consente agli amministratori di accedere senza problemi a un set definito di applicazioni dopo aver eseguito l'accesso a una di tali applicazioni.
- Per ulteriori informazioni su SAML, è possibile accedere al collegamento seguente: SAML Informazioni generali
Requisiti
- Portale Cisco Advanced Phishing Protection.
- Account amministratore OKTA.
Configurazione
In Cisco Advanced Phishing Protection Portal:
1. Accedere al portale dell'organizzazione, quindi selezionare Gestisci > Organizzazioni, come mostrato nell'immagine:
![josedav_0-1664389780846](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-00.png)
2. Selezionare il nome dell'organizzazione, Modifica organizzazione, come mostrato nell'immagine:
![josedav_1-1664389831147](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-01.png)
3. Nella scheda Amministrativo, scorrere verso il basso fino a Impostazioni account utente e selezionare Abilita in SSO, come mostrato nell'immagine:
![josedav_2-1664389891689](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-02.png)
4. La finestra successiva fornisce le informazioni da inserire nella configurazione di OKTA SSO. Incollare in un blocco note le informazioni seguenti, utilizzarle per configurare le impostazioni OKTA:
- ID entità: apcc.cisco.com
- Assertion Consumer Service: questi dati sono personalizzati in base all'organizzazione.
Selezionare il formato di posta elettronica denominato per utilizzare un indirizzo di posta elettronica per l'accesso, come mostrato nell'immagine:
![josedav_3-1664390079525](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-03.png)
5. Ridurre al minimo la configurazione di Cisco Advanced Phishing Protection in questo momento, in quanto è necessario impostare prima l'applicazione in OKTA prima di procedere con i passaggi successivi.
Sotto Okta.
1. Passare al portale delle applicazioni e selezionare Crea integrazione applicazioni, come mostrato nell'immagine:
![josedav_0-1664315790823](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-04.png)
2. Selezionare SAML 2.0 come tipo di applicazione, come mostrato nell'immagine:
![josedav_1-1664315833813](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-05.png)
3. Immettere il nome dell'app Advanced Phishing Protection e selezionare Avanti, come mostrato nell'immagine:
![josedav_0-1664391515572](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-06.png)
4. Nelle impostazioni SAML, riempire gli spazi vuoti, come mostrato nell'immagine:
- URL Single Sign-On: questo è il servizio consumer di asserzione ottenuto da Cisco Advanced Phishing Protection.
- URL destinatario: ID entità ottenuto da Cisco Advanced Phishing Protection.
- Formato ID nome: mantienilo come Non specificato.
- Nome utente applicazione: email, che richiede all'utente di inserire il proprio indirizzo e-mail nel processo di autenticazione.
- Aggiorna nome utente applicazione in: crea e aggiorna.
![josedav_1-1664391566377](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-07.png)
Scorrere verso il basso fino a Istruzioni attributi gruppo (facoltativo), come mostrato nell'immagine:
Immettere l'istruzione dell'attributo successiva:
- Nome: group
- Formato nome: non specificato.
- Filter: "Equals" e "OKTA"
![josedav_0-1664322550779](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-08.png)
Selezionare Avanti.
5. Quando viene richiesto a Okta di comprendere come è stata configurata questa applicazione, immettere il motivo applicabile all'ambiente corrente, come mostrato nell'immagine:
![josedav_1-1664322614742](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-09.png)
Selezionare Finish (Fine) per continuare con il passaggio successivo.
6. Selezionare la scheda Assegnazioni, quindi selezionare Assegna > Assegna a gruppi, come mostrato nell'immagine:
![josedav_2-1664322771611](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-10.png)
7. Selezionare il gruppo OKTA, ovvero il gruppo con gli utenti autorizzati ad accedere all'ambiente
8. Selezionare Sign On (Accedi), come illustrato nell'immagine:
![josedav_3-1664322839620](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-11.png)
9. Scorrere verso il basso e verso l'angolo destro, immettere l'opzione View SAML setup instructions (Visualizza istruzioni di impostazione SAML), come mostrato nell'immagine:
![josedav_4-1664322884319](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-12.png)
9. Salva in un blocco note le informazioni successive, necessarie per l'inserimento nel portale Cisco Advanced Phishing Protection, come mostrato nell'immagine:
- URL Single Sign-On del provider di identità.
- Identificare l'emittente del provider (non richiesto per Cisco Advanced Phishing Protection, ma obbligatorio per altre applicazioni).
- Certificato X.509.
![josedav_0-1664474359342](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-13.png)
10. Dopo aver completato la configurazione dell'OKTA, è possibile tornare a Cisco Advanced Phishing Protection
In Cisco Advanced Phishing Protection Portal:
1. Con il formato identificativo del nome, inserire le informazioni seguenti:
- Endpoint SAML 2.0 (reindirizzamento HTTP): URL di identificazione del provider Single Sign-On fornito da Okta.
- Certificato pubblico: immettere il certificato X.509 fornito da Okta.
2. Selezionare Test Settings per verificare la corretta configurazione
Se non ci sono errori nella configurazione, viene visualizzata una voce Test riuscito e ora è possibile salvare le impostazioni, come mostrato nell'immagine:
![josedav_2-1664392098430](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-14.png)
3. Salva impostazioni
Verifica
1. Gli amministratori esistenti che non utilizzano SSO vengono informati tramite posta elettronica che il criterio di autenticazione è stato modificato per l'organizzazione e agli amministratori viene richiesto di attivare il proprio account utilizzando un collegamento esterno, come mostrato nell'immagine:
![josedav_3-1664392950765](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-15.png)
2. Una volta attivato l'account, immettere l'indirizzo di posta elettronica e quindi reindirizzare l'utente al sito Web di login OKTA per l'accesso, come mostrato nell'immagine:
![josedav_5-1664393183984](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-16.png)
![josedav_6-1664393291858](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-17.png)
3. Una volta completato il processo di login OKTA, accedere al portale Cisco Advanced Phishing Protection, come mostrato nell'immagine:
![josedav_8-1664393942037](/c/dam/en/us/support/docs/security/secure-email-gateway/218226-configure-okta-sso-external-authenticati-18.png)
Informazioni correlate
Cisco Advanced Phishing Protection - Informazioni sul prodotto
Cisco Advanced Phishing Protection - Guida per l'utente
Supporto OKTA