檢視次數:

將 Okta 配置為 Trend Vision One 使用的 SAML (2.0) 身分提供者。

Okta 是一個符合標準的 OAuth 2.0 授權伺服器,為您的組織提供雲端身份解決方案。Okta 是一個單一登入提供者,允許您管理使用者對 Trend Vision One 的存取。
在您開始配置 Okta 之前,請確保:
  • 您有一個有效的 Okta 訂閱,負責處理登錄過程,並最終向 Trend Vision One 管理控制台提供驗證憑證。
  • 您以Trend Vision One管理員的身份登入管理控制台。

步驟

  1. 以具有管理權限的使用者身份登入您的 Okta 組織。
  2. Trend Vision One 新增應用程式。
    1. 點選Admin在右上角,然後導航到ApplicationsApplications
    2. 點選Add Application,然後點選Create New App
      Create a New Application Integration畫面出現。
    3. 選擇Web作為Platform,並選擇SAML 2.0作為Sign on method,然後點選Create
      一般設定 區段會出現在 Create SAML Integration 畫面上。
    4. 一般設定畫面中,在App name中輸入Trend Vision One的名稱,例如 "Trend Vision One",然後點選下一步
      Create SAML Integration 畫面的 Configure SAML 區段顯示。
  3. Trend Vision One 應用程式配置 SAML 設定。
    1. Configure SAML 畫面中,在 Single sign on URL 中輸入 Trend Vision One 登錄 URL。
      可以從從Trend Vision One下載的 SP 中繼資料檔案中獲取登錄 URL。
      在文字編輯器中打開 SP 中繼資料檔案,然後複製 md:AssertionConsumerService 元素的 位置 屬性值。使用複製的值作為登入 URL。
      在以下範例中,登入 URL 是 https://example.com/xdr-logon-url
      ...
          <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/xdr-logon-url" index="0"/>
        </md:SPSSODescriptor>
      </md:EntityDescriptor>
    2. 選擇Use this for Recipient URL and Destination URL
    3. Audience URI (SP Entity ID)中指定受眾 URI。
      受眾 URI 可以從從 Trend Vision One 下載的 SP 元數據文件中獲取。
      在文字編輯器中打開 SP 中繼資料檔案,然後複製 md:EntityDescriptor 元素的 entityID 屬性值。使用複製的值作為受眾 URI。
      在以下範例中,受眾 URI 是 https://example.com/xdr-audience-uri
      <?xml version="1.0"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://example.com/xdr-audience-uri">
        <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true" WantAssertionsSigned="true">
      ...
    4. 對於Name ID format,選擇Email Address
    5. 對於Application username,選擇Okta username
    6. 若要支援僅限 IdP 的 SAML 群組帳戶,請配置屬性聲明和群組屬性聲明。

      屬性聲明

      屬性
      名稱
      名稱格式
      使用者
      名稱
      未指定
      範例,user.email
      使用者顯示名稱
      顯示名稱
      未指定
      String.append (user.firstName + " " + user.lastName)
      注意
      注意
      上述 SAML 屬性宣告是建議。您可以根據需要自訂宣告。

      群組屬性聲明

      屬性
      名稱
      名稱格式
      過濾器
      群組
      群組
      未指定
      明確定義您想要允許訪問的群組。對於任何群組,使用Matches regex + .*
    7. 點選下一步
      Feedback 區段會出現在 Create SAML Integration 畫面上。
  4. 對於Are you a customer or partner,選擇I'm an Okta customer adding an internal app,然後點選Finish
    您新建立的Trend Vision One應用程式的Sign On標籤頁顯示出來。
  5. 設定表格中,於Sign on Methods下,下載並儲存Identity Provider metadata的檔案。
    注意
    注意
    將此中繼資料檔案匯入到Trend Vision One
  6. 將應用程式指派給群組並將人員新增到群組。
    1. 選擇DirectoryGroups
    2. 點選您想要指派應用程式的群組,然後點選Manage Apps
      Assign Applications畫面出現。
    3. 找到您新增的Trend Vision One並點選Assign
    4. 點選Manage People
      Add People to Groups畫面出現。
    5. 找到您想要允許存取Trend Vision One的使用者,並將該使用者新增到Trend Vision One群組。
    6. 確認該應用程式已分配給使用者和群組。
      將應用程式分配到群組後,系統會自動將該應用程式分配給群組中的所有使用者。
    7. 重複上述步驟以根據需要將應用程式指派給更多群組。