Okta konfigurieren | Trend Micro Service Central

Ansichten:

Okta als SAML (2.0)-Identitätsanbieter für die Verwendung durch Trend Vision One konfigurieren.

Okta ist ein standardkonformer OAuth 2.0-Autorisierungsserver, der Cloud-Identitätslösungen für Ihr Unternehmen bereitstellt. Okta ist ein Single-Sign-On-Anbieter, mit dem Sie den Benutzerzugriff auf Trend Vision One verwalten können.

Bevor Sie mit der Konfiguration von Okta beginnen, stellen Sie sicher, dass Folgendes zutrifft:

Sie verfügen über ein gültiges Abonnement für Okta, das den Anmeldevorgang abwickelt und schließlich die Authentifizierungsanmeldedaten für die Trend Vision One-Management-Konsole zur Verfügung stellt.
Sie sind bei der Management-Konsole als Trend Vision One-Administrator angemeldet.

Prozedur

Melden Sie sich als Benutzer mit Administratorrechten bei Ihrer Okta-Organisation an.
Fügen Sie eine neue Anwendung für Trend Vision One hinzu.
1. Klicken Sie oben rechts auf Admin und navigieren Sie dann zu Anwendungen → Anwendungen.
2. Klicken Sie auf Anwendung hinzufügen und dann auf Neue App erstellen.
  
  Das Fenster Neue Anwendungsintegration erstellen wird angezeigt.
3. Wählen Sie Web als Plattform und SAML 2.0 als Anmeldemethode aus und klicken Sie dann auf Erstellen.
  
  Der Abschnitt Allgemeine Einstellungen des Bildschirms Create SAML Integration wird angezeigt.
4. Geben Sie im Fenster Allgemeine Einstellungen einen Namen für Trend Vision One im Feld App name ein (z. B. "Trend Vision One") und klicken Sie dann auf Weiter.
  
  Der Abschnitt Configure SAML des Bildschirms Create SAML Integration wird angezeigt.

Konfigurieren Sie die SAML-Einstellungen für die Trend Vision One-Anwendung.

Geben Sie auf dem Bildschirm Configure SAML die Anmelde-URL Trend Vision One in Single sign on URL ein.
Die Anmelde-URL kann aus der SP-Metadatendatei abgerufen werden, die von Trend Vision One heruntergeladen wurde.

Öffnen Sie die SP-Metadatendatei in einem Texteditor und kopieren Sie dann den Wert des Attributs Standort für das Element md:AssertionConsumerService. Verwenden Sie den kopierten Wert als Anmelde-URL.

Im folgenden Beispiel lautet die Anmelde-URL https://example.com/xdr-logon-url.
```
...
    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/xdr-logon-url" index="0"/>
  </md:SPSSODescriptor>
</md:EntityDescriptor>
```
Wählen Sie Für Empfänger-URL und Ziel-URL verwenden aus.
Geben Sie die Zielgruppen-URI in Audience URI (SP Entity ID) ein.
Die Audience-URI kann aus der SP-Metadatendatei abgerufen werden, die von Trend Vision One heruntergeladen wurde.

Öffnen Sie die SP-Metadatendatei in einem Texteditor und kopieren Sie dann den Wert des entityID-Attributs für das md:EntityDescriptor-Element. Verwenden Sie den kopierten Wert als Audience-URI.

Im folgenden Beispiel ist die Zielgruppen-URI https://example.com/xdr-audience-uri.
```
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://example.com/xdr-audience-uri">
  <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true" WantAssertionsSigned="true">
...
```
Für Name ID format wählen Sie E-Mail-Adresse.
Für Application username wählen Sie Okta username.

Um ein IdP-Only SAML-Gruppenkonto zu unterstützen, konfigurieren Sie Attributaussagen und Gruppenattributaussagen.

Attributaussagen

Attribut	Name	Namensformat	Wert
Benutzer	name	Keine Angabe	Beispiel, `user.email`
Anzeigename des Benutzers	Anzeigename	Keine Angabe	String.append (user.firstName + " " + user.lastName)

Hinweis

Die vorhergehenden SAML-Attributansprüche sind Empfehlungen. Sie können die Ansprüche nach Bedarf anpassen.

Gruppenattributaussagen

Attribut	Name	Namensformat	Filter
Gruppe	Gruppen	Keine Angabe	Definieren Sie genau, welchen Gruppen Sie den Zugriff erlauben möchten. Für jede Gruppe verwenden Sie Matches regex + `.*`

Klicken Sie auf Weiter.

Der Abschnitt Feedback des Bildschirms Create SAML Integration wird angezeigt.

Für Are you a customer or partner wählen Sie I'm an Okta customer adding an internal app und klicken Sie dann auf Fertig stellen.

Die Registerkarte Anmelden Ihrer neu erstellten Trend Vision One-Anwendung wird angezeigt.
Im Einstellungen-Tabelle, unter Sign on Methods, laden Sie die Datei für Identity Provider metadata herunter und speichern Sie sie.

Hinweis

Importieren Sie diese Metadatendatei in Trend Vision One.
Weisen Sie die Anwendung den Gruppen zu und fügen Sie Personen zu den Gruppen hinzu.
1. Wählen Sie Verzeichnis → Gruppen aus.
2. Klicken Sie auf die Gruppen, denen Sie die Anwendung zuweisen möchten, und klicken Sie dann auf Manage Apps.
  
  Das Fenster Anwendungen zuweisen wird angezeigt.
3. Suchen Sie nach der von Ihnen hinzugefügten Anwendung Trend Vision One, und klicken Sie auf Zuweisen.
4. Klicken Sie auf Manage People.
  
  Das Fenster Add People to Groups wird angezeigt.
5. Suchen Sie den Benutzer, dem Sie Zugriff auf Trend Vision One gewähren möchten, und fügen Sie den Benutzer der Gruppe Trend Vision One hinzu.
6. Überprüfen Sie, ob die Anwendung dem Benutzer und der Gruppe zugewiesen ist.
  
  Nachdem eine Anwendung einer Gruppe zugewiesen wurde, weist das System die Anwendung automatisch allen Benutzern in der Gruppe zu.
7. Wiederholen Sie die obigen Schritte, um die Anwendung nach Bedarf weiteren Gruppen zuzuweisen.