Guide de configuration du CASB
Un agent de sécurité des accès au cloud (CASB) est un outil ou service logiciel placé entre l'infrastructure locale d'une organisation et l'infrastructure cloud d'un fournisseur. Un CASB agit comme un opérateur de contrôle, permettant à l'organisation d'étendre la portée de ses politiques de sécurité au-delà de sa propre infrastructure.
CASB et OIN Okta5
Pour simplifier l'intégration aux CASB à chemin d'accès ou à proxy inversé, Oktaa développé une fonctionnalité permettant aux administrateurs de remplacer plusieurs paramètres par défaut associés aux applications OIN publiées d'Okta qui utilisent SAML pour la fédération. Les paramètres peuvent également être appliqués à l'application Microsoft Office 365.
Les valeurs qui peuvent être remplacées sont les suivantes :
- Assertion Consumer Service URL (ACS)
- Public
- Destination
- Destinataire
Pour remplacer ces paramètres, les administrateurs doivent utiliser l'API d'Okta API afin de renseigner l'objet $application.settings.signOn avec les valeurs de remplacement appropriées, à savoir :
| Propriété SAML | SignOn | Valeur d'exemple |
|---|---|---|
| Assertion Consumer Service URL | ssoAcsUrlOverride | https://casb-provider.com/ssoAcsUrlOverride |
| Public | audienceOverride | https://casb-provider.com/audienceOverride |
| Destination | destinationOverride | https://casb-provider.com/destinationOverride |
| Destinataire | recipientOverride | https://casb-provider.com/recipientOverride |
Configurer CASB pour une application spécifique
Voici un exemple de configuration de CASB pour une application spécifique :
Vous pouvez utiliser un iFrame pour intégrer la page d'accueil d'un utilisateur final à votre portail existant.
-
Dans la Admin Console, accédez à .
-
Créez Gérer les jetons API Okta.
-
Obtenez les détails de l'application en effectuant un appel d'API de la manière suivante :
Copiercurl -X GET \
https://{{Okta host}}/api/v1/applications/{{App ID}} \
-H 'Authorization: SSWS {{ API Key }}' \
-H 'Accept: application/json'L'identifiant d'API peut être obtenu à partir de l'URL de votre application, comme indiqué ci-dessous :
-
Copiez la réponse d'API dans un éditeur de texte.
-
Mettez à jour les données de l'application au moyen d'un appel d'API comme indiqué dans l'exemple ci-dessous.
Les attributs affichés sont les attributs minimum requis. Remplacez les valeurs actuelles par vos données enregistrées (consultez la section Authentification de votre réponse d'API).
Copier
curl -X PUT \
https://{{Okta host}}/api/v1/applications/{{App ID}} \
-H 'Authorization: SSWS {{ API Key }}' \
-H 'Accept: application/json' \
-H 'Content-Type: application/json' \
-d '{
"label": "Amazon Web Services",
"name": "amazon_aws",
"signOnMode": "SAML_2_0",
"settings": {
"application": {
"applicationFilter": null,
"awsEnvironmentType": "aws.amazon",
"groupFilter": "aws_(?{{accountid}}\\d+)_(?{{role}}[a-zA-Z0-9+=,.@\\-_]+)",
"secretKey": null,
"accessKey": null,
"loginURL": "https://console.aws.amazon.com/ec2/home",
"identityProviderArn": "arn:aws:iam::456272127071:saml-provider/OktaRainVladDobrikov2,arn:aws:iam::456272127071:role/RoleOktaRainVladDobrikov",
"overrideAcsURL": null,
"sessionDuration": 3600,
"secretKeyEnc": null,
"roleValuePattern": "arn:aws:iam::${accountid}:saml-provider/OKTA,arn:aws:iam::${accountid}:role/${role}"
},
"signOn": {
"defaultRelayState": "defaultRelayStateOverride",
"ssoAcsUrlOverride": "https://casb-provider.com/ssoAcsUrlOverride",
"audienceOverride": "https://casb-provider.com/audienceOverride",
"recipientOverride": "https://casb-provider.com/recipientOverride",
"destinationOverride": "https://casb-provider.com/destinationOverride"
}
}
}'Pour Office 365, assurez-vous que la Configuration de WS-Federation est définie sur Manuelle. Les configurations automatiques qui comportent une fédération de plusieurs domaines entraîneront une erreur.
-
Effectuez une connexion SAML depuis Okta dans l'application que vous venez de mettre à jour.