Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Okta 整合为身份提供商

请按照以下步骤完成先决条件,在 Okta 中配置您的证书应用,并将您的身份提供商添加到您的瞻博网络 Mist 组织。

您可以通过瞻博网络 Mist 仪表盘使用 Okta Workforce Identity Cloud,对尝试访问网络的最终用户进行身份验证。瞻博网络 Mist Access Assurance 使用 Okta 作为身份提供商 (IdP),执行各种身份验证任务。

  • 对于基于证书的 (EAP-TTLS) 身份验证,Okta:
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
    • 获取用户帐号的状态(有效或已暂停)
  • 对于基于证书(EAP-TLS 或 EAP-TTLS)的授权,Okta:
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略
    • 获取用户帐号的状态(有效或已暂停)

先决条件

  • 创建 Okta 订阅并获取您的租户 ID。在创建订阅期间,您可以指定用于创建 URL 以访问 Okta 仪表板的租户。您可以在 Okta 仪表板的右上角找到您的租户 ID。租户 ID 不得包含 okta.com。

    注意:

    您的 Okta 登录 URL 格式如下:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started

    替换 {your-okta-account-id} 为您的 Okta 租户 ID。
  • 您必须拥有瞻博网络 Mist 门户的超级用户权限。

OKTA 资源所有者密码凭据应用集成

  1. 登录 Okta 管理控制台,然后选择 Applications > Applications。
  2. 点击创建新的应用集成。
    在“登录方法”下,选择“ OICD-OpenID Connect ”,然后在“应用程序类型”下,选择 “本机应用程序”。结果如下所示:<需要图像>
    单击 下一步
  3. 在“登录方法”下,选择“OIDC-OpenID 连接”,然后在“应用程序类型”下,选择“本机应用程序”
  4. 在“新建本机应用集成”页面上,选择:
    • 应用集成名称 - 输入与您产生共鸣的名称。
    • 授权类型 - 选择 资源所有者密码
    • 受控访问 - 选择 允许组织中的每个人都访问。在此示例中,我们授予每个人访问应用程序的权限。
  5. 点击保存

    将系统另存为新的应用集成后,应用程序将重新加载并选中“常规”选项卡。

  6. 在常规选项卡上,单击编辑并选择以下选项:。
    • 客户端身份验证 — 选择 客户端密码
  7. 点击保存继续
    在此步骤之后,Okta 会生成客户端 ID 和客户端密码。

    记下客户端 ID 和客户端密码。您稍后将需要这些信息。

  8. 转到 Okta API 范围选项卡并选中以下复选框以授予读取权限:
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self
现在,前往瞻博网络 Mist 云门户,开始将 Okta 集成为 IdP。

Okta 客户端凭证应用集成

  1. 登录 Okta 管理控制台,然后选择 Applications > Applications。
  2. 单击创建应用集成。
    此时将打开“创建新的应用集成”页。
  3. 在“登录方法”下,选择“API 服务”。
    此时将打开“新建 API 服务应用集成”页面。
  4. 输入应用集成名称的名称,然后单击保存
  5. 转到新应用集成页面中的常规选项卡,然后单击编辑。
  6. 单击“编辑”,将客户端身份验证方法选择为“公钥/私钥”,然后单击“公钥”部分中的“添加密钥”。
  7. 在私有密钥部分选择文件格式为 PEM,然后复制私钥并将其保存在安全的地方。
    将 Okta 生成的私钥文件保存在安全的地方。

    您将无法再次检索此私钥。

    单击 完成。
  8. 单击保存以存储和激活密钥。

    您可以注意到密钥的状态现在为“活动”。复制屏幕上显示的客户端 ID 和密码。

  9. 向下滚动,直到看到常规设置部分。单击 编辑并取消选中 在令牌请求中需要证明拥有证明 (DPoP) 标头选项。
    General settings configuration screen with fields for App integration name set to User AuthZ - Mist Access Assurance, Application type set to Service, and Proof of possession option requiring DPoP header unchecked. Grant type options include Client acting on behalf of itself with Client Credentials selected and Client acting on behalf of a user with Token Exchange unselected. Proof of possession section highlighted in red. Save and Cancel buttons at the bottom.
  10. 转到 Okta API 范围选项卡并允许以下读取权限:
    • okta.roles.read
    • okta.users.read
    • okta.groups.read

瞻博网络 Mist 仪表板上的配置

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择组织>访问>标识提供者
    “身份提供程序”页面显示任何已配置的身份提供程序。
  2. 单击添加 IDP 以添加新的身份提供商。
  3. New Identity Provider 页面上,输入以下信息:
    1. 名称 - 输入 IdP 名称。
    2. IDP 类型 - 选择 IDP 类型作为 OAuth
      表 1:身份提供程序类型 OAuth 的设置

      参数

      描述

      OAuth 类型

      		 选择 Okta

      OAuth 租户 ID

      输入 OAuth 租户 ID。使用您在 Okta 应用程序配置期间收到的 ID。

      域名

      输入您的 Okta 用户域名。示例:abc.com

      默认 IDP

      如果未指定用户域名,则将选定的身份提供程序设置为默认。

      OAuth 客户端凭据 (CC) 客户端 ID

      使用您在 Okta 应用程序配置期间收到的 ID。

      Okta 客户端凭证应用集成
      OAuth 客户端凭据 (CC) 客户端私钥 输入在配置 Okta 应用期间生成的私钥。请参阅 Okta 客户端凭证应用集成

      OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

      输入您在 Okta 应用程序配置期间收到和存储的密钥 ID。

      请参阅 OKTA 资源所有者密码凭据应用集成
      OAuth 资源所有者密码凭据 (ROPC) 客户端密码

      提供您在 Okta 应用程序配置期间收到和存储的客户端密钥值。

      请参阅 OKTA 资源所有者密码凭据应用集成
  4. 单击“创建”以保存更改。

在瞻博网络Mist门户中,转到 监控 > 见解 > 客户端事件

当用户通过 Okta 使用 EAP-TLS 进行身份验证时,您可以看到名为 NAC IDP 组查找成功的 事件,如下所示:

如果是 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件指示 Azure AD 已验证用户凭据。您还可以查看获取用户组成员资格的 NAC IDP 组查找成功 事件。

也可以看看