調配使用者和組以通過OKTA安全訪問
簡介
本檔案介紹如何將使用者群組從OKTA布建到Cisco Secure Access。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco Secure Access
- OKTA
採用元件
本文件所述內容不限於特定軟體和硬體版本。
- Cisco Secure Access控制面板
- OKTA
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Cisco Secure Access支援從OKTA調配使用者和組。
此設定使Secure Access能夠維護授權以下使用者的目錄:
- 註冊零信任訪問(ZTA)。
- 連線到VPNaaS。
- 將基於身份的策略應用於Umbrella漫遊使用者。
附註:本文檔專門介紹如何從OKTA調配使用者和組。為ZTA註冊、VPNaaS身份驗證或特定Umbrella漫遊設定配置Entra ID或其他身份提供程式(IdP)不在本指南範圍內。
設定
配置思科安全訪問
要開始調配流程,您必須首先在Cisco Secure Access控制面板中配置目錄整合。此步驟生成與OKTA建立安全連線所需的必要憑證和配置引數。
-
登入到Cisco Secure Access Dashboard。
登入到CSA -
導覽至Connect > Users, Groups and Endpoint Devices。
使用者和組 -
按一下「Configuration management」。
組態管理 - 按一下Integrate Directory。
整合目錄 - 在Provision Method下,按一下Identity Provider。
- IdP目錄名稱:OKTA整合。
- 選擇Identity Provider:好吧。
- 按「Next」(下一步)。
Directory Configuration
-
按一下Generate Token。儲存生成的令牌和預配URL,然後按一下Done。
生成令牌
在OKTA中配置調配
在Cisco Secure Access控制面板中生成憑證後,必須在OKTA租戶中配置調配設定,以啟用使用者和組的同步。
- 登入到OKTA。
- 導航到Applications > Browser App Catalog。
瀏覽應用目錄 - 選擇Cisco User Management Connector應用程式。
思科應用程式 - 按一下Add Integration。
新增整合 - 按一下「完成」。
新增應用 - 按一下Provisioning > Configure API Integration。
配置API整合 - 按一下Enable API Integration,然後輸入Based URL 和API 標籤,它們儲存在安全訪問配置的步驟#6。按一下Test API Credentials,然後按一下Save。
API測試 - 導航到調配>到應用。啟用選項Create Users、Update User Attributes和Deactivate Users,然後按一下Save。
調配到應用
附註:驗證是否選擇這些屬性以同步到Secure Access。「安全訪問」僅列出使用者的「顯示名稱」和「使用者名稱」屬性,而不列出「指定名稱」和「姓氏」屬性:使用者名稱、指定名稱、系列、名稱、顯示名稱、電子郵件
(可選)新增objectGUID屬性並建立使用者配置檔案對映。如果需要匯入使用者的objectGUID屬性,請新增新的屬性並對映配置檔案對映中的屬性。 - 要新增人員/組,請按一下「分配」>「分配」>「分配給人員/分配給組」。
分配 - 選擇要設定為Secure Access的組/人員,然後按一下Assign,然後按一下Done。
分配組
驗證
思科安全訪問中的真實性
- 導覽至Connect > Users, Groups and Endpoint Devices。
CSA中的使用者和組 - 按一下「Users」。
驗證CSA中的使用者
奧克塔的維里蒂
- 導航到Reports > System Log。
OKTA日誌
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
11-May-2026
|
初始版本 |
意見