Descripción
Este artículo describe cómo configurar SAML SSO para el inicio de sesión de administrador con Okta actuando como SAML IdP.
Alcance
FortiManager/FortiAnalyzer 6.2, 6.4, 7.0
Solución
- En la consola de administración de Okta, vaya a Aplicaciones -> Aplicaciones -> Crear integración de aplicaciones:
- Seleccione SAML 2.0 como método de inicio de sesión:
- Configure el nombre de la aplicación y cargue el logotipo de la aplicación:
- En la pestaña Configurar SAML «Descargar certificado Okta»:
- Importe el certificado Okta en FortiManager/FortiAnalyzer -> Configuración del sistema -> Certificados -> Certificados remotos:
- Vaya a FortiManager/FortiAnalyzer -> Configuración del sistema -> SAML SSO -> Proveedor de servicios,
cambie a IdP personalizado y seleccione el certificado Okta, importado en el paso 5 como Certificado IdP: - Copie las URL de SP de FortiManager/FortiAnalyzer (consulte el paso anterior) a Okta de la siguiente manera:
1) URL de SP ACS (Inicio de sesión) -> URL de inicio de sesión único
2) ID de entidad de SP -> URI de audiencia (ID de entidad de SP)
3) Establezca el formato de ID de nombre en dirección de correo electrónico y el nombre de usuario de la aplicación en el correo electrónico
4) En Declaraciones de atributos, cree el atributo «nombre de usuario» con el valor «usuario.email»
Nota: «nombre de usuario» es un atributo obligatorio para la implementación SAML de Fortinet - Haga clic en Siguiente y Finalizar, lo que abrirá automáticamente la pestaña Iniciar sesión de la aplicación.
- En la pestaña Iniciar sesión, haga clic en el botón «Ver instrucciones de configuración»:
- Copie las direcciones URL de IdP en la configuración SAML de FortiManager/FortiAnalyzer de la siguiente manera:
URL de inicio de sesión único del proveedor de identidad -> URL de inicio de sesión de IdP
Emisor del proveedor de identidad -> ID de entidad IdP
https://.okta.com/login/signout -> URL de cierre de sesión de IdP - En la página SSO SAML de FortiManager/FortiAnalyzer, habilite «Crear administrador automáticamente» (opción disponible a partir de 7.0) y seleccione un «Perfil de administrador predeterminado». Por lo general, un perfil de permiso bajo.
Esto creará automáticamente entradas locales para los usuarios de Okta después de su primer inicio de sesión.
Después de eso, un superadministrador puede asignarles diferentes perfiles de administrador. - En Okta -> Aplicaciones -> Aplicaciones, edite la aplicación y asigne usuarios/grupos
O en Directorio -> Personas (Grupos), edite el usuario y asígnele la aplicación: - Inicie sesión en FortiManager/FortiAnalyzer usando la opción «Iniciar sesión con inicio de sesión único»
- El usuario de SSO creado automáticamente puede ser editado en FortiManager/FortiAnalyzer por otro administrador con permisos suficientes y se le puede asignar un perfil diferente si es necesario.