SAML-Single-Sign-On mit Okta konfigurieren

Sie können Ihr ExtraHop-System so konfigurieren, dass sich Benutzer über den Okta Identity Management Service beim System anmelden können.

Before you begin

  • Sie sollten mit der Verabreichung von Okta vertraut sein. Diese Verfahren basieren auf der Okta Classic-Benutzeroberfläche. Wenn Sie Okta über die Developer Console konfigurieren, ist das Verfahren möglicherweise etwas anders.
  • Sie sollten mit der Verwaltung von ExtraHop-Systemen vertraut sein.

Bei diesen Verfahren müssen Sie Informationen zwischen dem ExtraHop-System und der Okta Classic-Benutzeroberfläche kopieren und einfügen. Daher ist es hilfreich, jedes System nebeneinander zu öffnen .

SAML auf dem ExtraHop-System aktivieren

  1. Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
  2. Klicken Sie im Abschnitt Zugriffseinstellungen auf Fernauthentifizierung.
  3. Wählen Sie in der Dropdownliste Remoteauthentifizierungsmethode die Option SAML.
  4. klicken Weiter.
  5. klicken SP-Metadaten anzeigen. Sie müssen die ACS-URL und die Entitäts-ID kopieren, um sie im nächsten Verfahren in die Okta-Konfiguration einzufügen.

SAML-Einstellungen in Okta konfigurieren

Bei diesem Verfahren müssen Sie Informationen zwischen den ExtraHop-Administrationseinstellungen und der Okta Classic-Benutzeroberfläche kopieren und einfügen. Daher ist es hilfreich, beide Benutzeroberflächen nebeneinander zu öffnen.

  1. Loggen Sie sich bei Okta ein.
  2. Ändern Sie in der oberen rechten Ecke der Seite die Ansicht von Entwickler-Konsole zu Klassische Benutzeroberfläche.
  3. Klicken Sie im oberen Menü auf Bewerbungen.
  4. klicken Anwendung hinzufügen.
  5. klicken Neue App erstellen.
  6. Aus dem Plattform Drop-down-Liste, wählen Netz.
  7. Für die Methode zur Anmeldung, wählen SAML 2.0 .
  8. klicken Erstellen.
  9. In der Allgemeine Einstellungen Abschnitt, geben Sie einen eindeutigen Namen in das App Namensfeld zur Identifizierung des ExtraHop-Systems.
  10. Optional: Konfigurieren Sie den Logo der App und Sichtbarkeit der App Felder, die für Ihre Umgebung erforderlich sind.
  11. klicken Weiter.
  12. In der SAML-Einstellungen Fügen Sie in den Abschnitten die URL des Assertion Consumer Service (ACS) aus dem ExtraHop-System in das Feld Single Sign On URL in Okta ein.
    Hinweis:Möglicherweise müssen Sie die ACS-URL manuell bearbeiten, wenn die URL einen nicht erreichbaren Hostnamen enthält, z. B. den Standardhostnamen des Systems extrahop. Wir empfehlen, dass Sie den vollqualifizierten Domänenname für das ExtraHop-System in der URL angeben.
  13. Fügen Sie die SP Entity ID aus dem ExtraHop-System in das Zielgruppen-URI (SP-Entitäts-ID) Feld in Okta.
  14. Aus dem Format der Namens-ID Drop-down-Liste, wählen Hartnäckig.
  15. Aus dem Nutzername der Anwendung Drop-down-Liste, wählen Sie ein Benutzernamenformat aus.
  16. In der Attributaussagen Abschnitt, fügen Sie die folgenden Attribute hinzu. Diese Attribute identifizieren den Benutzer im gesamten ExtraHop-System.
    Name Format des Namens Wert
    urn:oid:0.9.2342.19200300.100.1.3 URI-Referenz benutzer.email
    urn:oid:2.5.4.4 URI-Referenz Benutzer.Nachname
    urn:oid:2.5.4.42 URI-Referenz Benutzer.Vorname
  17. In der Anweisung zum Gruppenattribut Abschnitt, geben Sie eine Zeichenfolge in den Name Feld und Konfiguration eines Filters. Sie geben den Namen des Gruppenattributs an, wenn Sie Benutzerberechtigungsattribute auf dem ExtraHop-System konfigurieren.
    Die folgende Abbildung zeigt eine Beispielkonfiguration.

  18. klicken Weiter und dann klicken Fertig stellen.
    Sie kehren zur Seite mit den Anmeldeeinstellungen zurück.
  19. Klicken Sie im Bereich Einstellungen auf Anweisungen zur Einrichtung anzeigen.
    Ein neues Browserfenster wird geöffnet und zeigt Informationen an, die für die Konfiguration des ExtraHop-Systems erforderlich sind.

Weisen Sie das ExtraHop-System Okta-Gruppen zu

Wir gehen davon aus, dass Sie bereits Benutzer und Gruppen in Okta konfiguriert haben. Falls nicht, schlagen Sie in der Okta-Dokumentation nach, um neue Benutzer und Gruppen hinzuzufügen.
  1. Wählen Sie im Menü Verzeichnis Gruppen.
  2. Klicken Sie auf den Gruppennamen.
  3. klicken Apps verwalten.
  4. Suchen Sie den Namen der Anwendung, die Sie für das ExtraHop-System konfiguriert haben, und klicken Sie auf Zuweisen.
  5. klicken Erledigt.

Fügen Sie Informationen zum Identitätsanbieter im ExtraHop-System hinzu

  1. Kehren Sie zu den Administrationseinstellungen des ExtraHop-Systems zurück. Schließen Sie das Service Provider-Metadatenfenster, falls es noch geöffnet ist, und klicken Sie dann auf Identitätsanbieter hinzufügen.
  2. Geben Sie einen eindeutigen Namen in das Feld Anbietername ein. Dieser Name erscheint auf der Anmeldeseite des ExtraHop-Systems.


  3. Kopieren Sie von Okta das Single Sign-On-URL des Identitätsanbieters und fügen Sie es in das SSO-URL-Feld auf dem ExtraHop-System ein.
  4. Kopieren Sie von Okta das URL des Ausstellers des Identitätsanbieters und füge es in das Entitäts-ID Feld auf dem ExtraHop-System.
  5. Kopieren Sie von Okta aus das X.509-Zertifikat und fügen Sie es in das Öffentliches Zertifikat Feld auf dem ExtraHop-System.
  6. Wählen Sie aus einer der folgenden Optionen aus, wie Sie Benutzer bereitstellen möchten.
    • Wählen Sie Benutzer automatisch bereitstellen, um ein neues Remote-SAML-Benutzerkonto auf dem ExtraHop-System zu erstellen, wenn sich der Benutzer zum ersten Mal anmeldet.
    • Deaktivieren Sie das Kontrollkästchen Benutzer automatisch bereitstellen und konfigurieren Sie neue Remote-Benutzer manuell über die ExtraHop-Administrationseinstellungen oder die REST-API. Zugriffs- und Berechtigungsstufen werden durch die Benutzerkonfiguration in Okta bestimmt.
  7. Die Diesen Identitätsanbieter aktivieren Die Option ist standardmäßig ausgewählt und ermöglicht es Benutzern, sich beim ExtraHop-System anzumelden. Um zu verhindern, dass sich Benutzer anmelden, deaktivieren Sie das Kontrollkästchen.
  8. Konfigurieren Sie Benutzerberechtigungsattribute. Sie müssen den folgenden Satz von Benutzerattributen konfigurieren, bevor sich Benutzer über einen Identitätsanbieter beim ExtraHop-System anmelden können. Werte sind vom Benutzer definierbar; sie müssen jedoch mit den Attributnamen übereinstimmen, die in der SAML-Antwort Ihres Identity Providers enthalten sind. Bei Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden und sie können Leerzeichen enthalten. Weitere Informationen zu Berechtigungsstufen finden Sie unter Benutzer und Benutzergruppen.
    Wichtig:Sie müssen den Attributnamen angeben und mindestens einen anderen Attributwert konfigurieren als Kein Zugriff um Benutzern die Anmeldung zu ermöglichen.
    In den folgenden Beispielen ist Name des Attributs Feld ist das Gruppenattribut, das bei der Erstellung der ExtraHop-Anwendung auf dem Identity Provider konfiguriert wurde, und Attributwerte sind die Namen Ihrer Benutzergruppen. Wenn ein Benutzer Mitglied von mehr als einer Gruppe ist, wird ihm die zulässige Zugriffsberechtigung gewährt.
  9. Konfigurieren Sie den Zugriff auf das NDR-Modul.
  10. Konfigurieren Sie den NPM-Modulzugriff.
  11. Optional: Konfigurieren Sie Pakete und den Zugriff auf Sitzungsschlüssel. Dieser Schritt ist optional und nur erforderlich, wenn Sie einen Packetstore und das Packet Forensics Modul verbunden haben.
  12. klicken Speichern.
  13. Speichern Sie die laufende Konfiguration.

Loggen Sie sich in das ExtraHop-System ein

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Loggen Sie sich ein mit <provider name>.
  3. Melden Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort bei Ihrem Anbieter an. Sie werden automatisch zur ExtraHop-Übersichtsseite weitergeleitet.
Last modified 2023-11-07