调配用户和组以通过OKTA保护访问
简介
本文档介绍如何将用户组从OKTA调配到Cisco Secure Access。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科安全访问
- OKTA
使用的组件
本文档不限于特定的软件和硬件版本。
- 思科安全访问控制面板
- OKTA
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco Secure Access支持从OKTA调配用户和组。
此调配使Secure Access能够维护授权以下用户的目录:
- 注册零信任访问(ZTA)。
- 连接到VPNaaS。
- 将基于身份的策略应用于Umbrella漫游用户。
注意:本文档专门介绍如何从OKTA调配用户和组。为ZTA注册、VPNaaS身份验证或特定Umbrella漫游设置配置Entra ID或其他身份提供程序(IdP)不属于本指南的范围。
配置
配置思科安全访问
要开始调配流程,您必须首先在Cisco Secure Access控制面板中配置目录集成。此步骤生成与OKTA建立安全连接所需的必要凭证和配置参数。
-
登录到Cisco Secure Access控制面板。
登录到CSA -
导航到Connect > Users, Groups and Endpoint Devices。
用户和组 -
单击Configuration management。
配置管理 - 单击Integrate Directory。
集成目录 - 在Provision Method下,单击Identity Provider。
- IdP目录名称:OKTA集成。
- 选择Identity Provider:好吧。
- 单击 Next。
Directory Configuration
-
单击Generate Token。保存生成的令牌和调配URL,然后单击Done。
生成令牌
在OKTA中配置调配
在Cisco Secure Access控制面板中生成凭证后,必须在OKTA租户中配置调配设置,以启用用户和组的同步。
- 登录到OKTA。
- 导航到应用>浏览器应用目录。
浏览应用目录 - 选择Cisco User Management Connector应用。
思科应用 - 单击Add Integration。
添加集成 - 单击Done。
添加应用 - 单击Provisioning > Configure API Integration。
配置API集成 - 单击Enable API Integration并输入Based URL 和API 标记,后者是从Secure Access Configuration步骤#6保存的。单击Test API Credentials,然后单击Save。
API测试 - 导航到调配>至应用。启用选项Create Users、Update User Attributes和Deactivate Users,然后单击Save。
调配到应用
注意:验证您选择这些属性以同步到Secure Access。Secure Access仅列出用户的显示名称和用户名属性,而不列出Given name和Family name属性:用户名、给定名称、系列、名称、显示名称、电子邮件
(可选)添加objectGUID属性并创建用户配置文件映射。如果需要导入用户的objectGUID属性,请添加新属性并映射配置文件映射中的属性。 - 要添加人员/组,请点击分配>分配>分配到人员/分配到组。
分配 - 选择要调配到Secure Access的组/人员,然后点击Assign,然后单击Done。
分配组
验证
思科安全访问中的真实性
- 导航到Connect > Users, Groups and Endpoint Devices。
CSA中的用户和组 - 单击Users。
验证CSA中的用户
OKTA的Verity
- 导航到报告>系统日志。
OKTA日志
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-May-2026
|
初始版本 |
反馈