Configurer l'authentification unique SAML avec Okta

Vous pouvez configurer votre système ExtraHop pour permettre aux utilisateurs de se connecter au système via le service de gestion des identités Okta.

Before you begin

  • Vous devez être familiarisé avec l'administration d'Okta. Ces procédures sont basées sur l'interface utilisateur Okta Classic. Si vous configurez Okta via la Developer Console, la procédure peut être légèrement différente.
  • Vous devez être familiarisé avec l'administration des systèmes ExtraHop.

Ces procédures vous obligent à copier-coller des informations entre le système ExtraHop et l'interface utilisateur Okta Classic. Il est donc utile d'ouvrir chaque système côte à côte.

Activez SAML sur le système ExtraHop

  1. Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
  2. Dans le Paramètres d'accès section, cliquez sur Authentification à distance.
  3. À partir du méthode dqu`authentification à distance liste déroulante, sélectionnez SAML.
  4. Cliquez Continuer.
  5. Cliquez Afficher les métadonnées SP.
    Vous devrez copier l'URL ACS et l'ID d'entité à coller dans la configuration Okta lors de la procédure suivante.

Configurer les paramètres SAML dans Okta

Cette procédure vous oblige à copier-coller des informations entre les paramètres d'administration d'ExtraHop et l'interface utilisateur Okta Classic. Il est donc utile d'ouvrir chaque interface utilisateur côte à côte.

  1. Connectez-vous à Okta.
  2. Dans le coin supérieur droit de la page, modifiez la vue depuis Console pour développeurs pour Interface utilisateur classique.
  3. Dans le menu supérieur, cliquez sur Demandes.
  4. Cliquez Ajouter une application.
  5. Cliquez Créer une nouvelle application.
  6. À partir du Plateforme liste déroulante, sélectionnez Web.
  7. Pour le Méthode de connexion, sélectionnez SAML 2.0 .
  8. Cliquez Créez.
  9. Dans le Réglages généraux section, dans la Appli dans le champ name, saisissez un nom unique pour identifier le système ExtraHop.
  10. Facultatif : Configurez le Logo de l'application et Visibilité de l'application champs selon les besoins de votre environnement.
  11. Cliquez Suivant.
  12. Dans le Paramètres SAML sections, collez l'URL ACS (Assertion Consumer Service) du système ExtraHop dans le champ URL d'authentification unique d'Okta.
    Remarque :Vous devrez peut-être modifier manuellement l'URL ACS si celle-ci contient un nom d'hôte inaccessible, tel que le nom d'hôte du système par défaut extrahop. Nous vous recommandons de spécifier le nom de domaine complet pour le système ExtraHop dans l'URL.
  13. Collez l'ID d'entité SP du système ExtraHop dans URI de l'audience (ID d'entité SP) champ dans Okta.
  14. À partir du Format d'identifiant du nom liste déroulante, sélectionnez Persistant.
  15. À partir du Nom utilisateur de l'application liste déroulante, sélectionnez un format de nom d'utilisateur.
  16. Dans le Déclarations d'attributs section, ajoutez les attributs suivants.
    Ces attributs identifient l'utilisateur dans l'ensemble du système ExtraHop.
    Nom Format du nom Valeur
    urn:oid:0.9.2342.19200300.100.1.3 Référence URI utilisateur.email
    urn:oid:2.5.4.4 Référence URI Nom d'utilisateur.
    urn:oid:2.5.4.42 Référence URI Nom d'utilisateur. Prénom
  17. Dans le Déclaration d'attribut de groupe section, dans la Nom champ, saisissez une chaîne et configurez un filtre.
    Vous spécifierez le nom de l'attribut du groupe lorsque vous configurerez les attributs de privilèges utilisateur sur le système ExtraHop.
    La figure suivante montre un exemple de configuration.

  18. Cliquez Suivant puis cliquez sur Terminer.
    Vous êtes renvoyé au Paramètres de connexion page.
  19. Dans le Réglages section, cliquez sur Afficher les instructions de configuration.
    Une nouvelle fenêtre de navigateur s'ouvre et affiche les informations nécessaires à la configuration du système ExtraHop.

Assignez le système ExtraHop à des groupes Okta

Nous partons du principe que vous avez déjà configuré des utilisateurs et des groupes dans Okta. Si ce n'est pas le cas, consultez la documentation Okta pour ajouter de nouveaux utilisateurs et groupes.
  1. Dans le menu Répertoire, sélectionnez Groupes.
  2. Cliquez sur le nom du groupe.
  3. Cliquez Gérer les applications.
  4. Localisez le nom de l'application que vous avez configurée pour le système ExtraHop et cliquez sur Attribuer.
  5. Cliquez Terminé.

Ajouter les informations du fournisseur d'identité sur le système ExtraHop

  1. Revenez aux paramètres d'administration du système ExtraHop.
    Fermez la fenêtre de métadonnées du fournisseur de services si elle est toujours ouverte, puis cliquez sur Ajouter un fournisseur d'identité.
  2. Dans le Nom du fournisseur dans le champ, saisissez un nom unique.
    Ce nom apparaît sur la page de connexion du système ExtraHop.


  3. Depuis Okta, copiez le URL d'authentification unique du fournisseur d'identité et collez-le dans le champ URL SSO du système ExtraHop.
  4. Depuis Okta, copiez le URL de l'émetteur du fournisseur d'identité et collez-le dans ID d'entité champ sur le système ExtraHop.
  5. Depuis Okta, copiez le certificat X.509 et collez-le dans Certificat public champ sur le système ExtraHop.
  6. Choisissez la manière dont vous souhaitez approvisionner les utilisateurs parmi l'une des options suivantes.
    • Sélectionnez Auto-provisionnement des utilisateurs pour créer un nouveau compte utilisateur SAML distant sur le système ExtraHop lors de la première connexion de l'utilisateur.
    • Décochez la case Provisionnement automatique des utilisateurs et configurez manuellement les nouveaux utilisateurs distants via les paramètres d'administration ExtraHop ou l'API REST. Les niveaux d'accès et de privilèges sont déterminés par la configuration utilisateur dans Okta.
  7. Le Activer ce fournisseur d'identité L'option est sélectionnée par défaut et permet aux utilisateurs de se connecter au système ExtraHop.
    Pour empêcher les utilisateurs de se connecter, décochez la case.
  8. Configurez les attributs de privilèges utilisateur.
    Vous devez configurer l'ensemble d'attributs utilisateur suivant pour que les utilisateurs puissent se connecter au système ExtraHop via un fournisseur d'identité. Les valeurs peuvent être définies par l'utilisateur ; elles doivent toutefois correspondre aux noms d'attributs inclus dans la réponse SAML de votre fournisseur d'identité. Les valeurs ne font pas la distinction entre majuscules et minuscules et peuvent inclure des espaces. Pour plus d'informations sur les niveaux de privilèges, consultez Utilisateurs et groupes d'utilisateurs.
    Important :Vous devez spécifier le nom de l'attribut et configurer au moins une valeur d'attribut autre que Pas d'accès pour permettre aux utilisateurs de se connecter.
    Dans les exemples ci-dessous, Nom de l'attribut le champ est l'attribut de groupe configuré lors de la création de l'application ExtraHop sur le fournisseur d'identité et Valeurs d'attribut sont les noms de vos groupes d'utilisateurs. Si un utilisateur est membre de plusieurs groupes, il bénéficie du privilège d'accès le plus permissif.
  9. Configurez l'accès au module NDR.
  10. Configurez l'accès au module NPM.
  11. Facultatif : Configurez l'accès aux paquets et aux clés de session.
    Cette étape est facultative et n'est requise que si vous disposez d'un stockage des paquets connecté et du module Packet Forensics.
  12. Cliquez Enregistrer.
  13. Enregistrez le fichier de configuration en cours.

Connectez-vous au système ExtraHop

  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. Cliquez Connectez-vous avec <provider name>.
  3. Connectez-vous à votre fournisseur à l'aide de votre adresse e-mail et de votre mot de passe. Vous êtes automatiquement dirigé vers la page d'aperçu d'ExtraHop.
Last modified 2024-09-26