将 Okta 配置为身份提供程序

除了支持 Active Directory 之外,Tenable Identity Exposure 现在还能与作为身份提供程序 (IdP) 的 Okta 集成,从而将可见性扩展到基于云的现代身份平台。此集成引入新的风险暴露指标来专门监控特定于 Okta 的风险。

本指南提供如何将 Okta 环境连接到 Tenable Identity Exposure 的分步说明。通过启用此集成,Tenable 可以从 Okta 收集与身份相关的元数据,从而帮助您发现潜在漏洞并增强整体身份安全状况。

要将 Okta 与 Tenable Identity Exposure 集成,请严格遵循指导流程:

先决条件

您必须拥有 Tenable 云帐户才能登录“cloud.tenable.com”并使用 Okta 支持功能。

此 Tenable 云帐户就是您接收欢迎电子邮件时所使用的电子邮件地址。如果您不知道“cloud.tenable.com”的电子邮件地址,请联系支持部门。

所有拥有有效许可证(无论是本地部署还是 SaaS 版)的客户都可以通过 cloud.tenable.com 访问 Tenable Cloud。此帐户可让您为 Okta 配置 Tenable 扫描并收集扫描结果。

注意:无需有效的 Tenable Vulnerability Management 许可证即可访问 Tenable Cloud。有当前有效的独立 Tenable Identity Exposure 许可证(无论是本地部署还是 SaaS 版)就足够了。

许可证计数

只有在启用 Tenable 云同步功能时,Tenable 才不会将重复的身份计入许可数量。如果未启用此功能,则系统无法匹配来自 Okta 和 Active Directory 的帐户,导致每个帐户被分别计数。

  • 未启用 Tenable 云同步:一个同时拥有 AD 帐户和 Okta 帐户的用户将被视为两个独立用户,并分别计入许可数量。

  • 启用 Tenable 云同步:系统会将多个帐户合并为一个身份,确保拥有多个帐户的用户仅被计为一个身份。

配置 Okta 设置

注意:Okta 是第三方服务,其界面或配置流程可能随着时间而变化。有关最准确和最新的说明,请始终参阅 Okta 的官方文档

按照以下程序(改编自 Okta 文档)在 Okta 中配置所有必需的设置。

    1. 使用“管理员”帐户登录 Okta。

    2. 导航至“管理员控制台”。

    3. 导航至“安全/API”。

    4. 单击“令牌”选项卡 ->“创建令牌”(例如,https://youroktaorg.okta.com/admin/access/api/tokens)。

    5. 为令牌命名:输入一个描述性名称,帮助您稍后识别此令牌的用途。

    6. 定义令牌使用限制:指定允许使用此令牌进行 API 调用的 IP 范围或位置。

    7. 单击“创建令牌”:此操作会生成一个新的 API 令牌。

      此时会出现一条确认“令牌已成功创建”的消息。

    8. 复制令牌并安全地存储令牌值,因为它只会显示一次。您稍后在配置 Tenable Identity Exposure 时需要用到它。

    9. 验证令牌:新创建的令牌现在应该会在“令牌”页面上列出。

    1. 在 Okta 中配置所有必需的设置后:在 Tenable Vulnerability Management 中,创建 Okta Cloud Identity 类型的新凭据

    2. 选择“密钥”身份验证方法。

    3. 在必填框中输入名称和描述。

    4. 在“设置”下,输入您的组织 URL 以及从之前的程序中检索到的令牌值。

激活 Okta 支持

  • 要使用 Okta,您必须在 Tenable Identity Exposure 设置中激活该功能。

  • 请参阅 Identity 360, Exposure Center, Okta, and Microsoft Entra ID Support Activation 获取相关说明。

启用租户扫描

添加租户会将 Tenable Identity Exposure 与 Okta 关联,以对该租户执行扫描。

  1. 在“配置”页面中,单击“身份提供程序”选项卡。

    租户管理”页面随即打开。

  2. 点击“添加租户”。

    添加租户”页面随即打开。

  3. 在“提供程序”下拉列表框中,选择“Okta”。

  4. 在“租户名称”框中,输入名称。

  5. 在“凭据”框中,点击下拉列表以选择凭据。

  6. 如果您的凭据未出现在列表中,您可以:

    • Tenable Vulnerability Management 中创建一个(通过“Tenable Vulnerability Management”>“设置”>“凭据”)。有关更多信息,请参阅“在 Tenable Vulnerability Management创建 Azure 类型凭据的过程” 。

    • 检查您是否在 Tenable Vulnerability Management 中具有凭据的“可使用”或“可编辑”权限。除非您拥有这些权限,否则 Tenable Identity Exposure 不会在下拉列表中显示凭据。

  7. 单击“刷新”以更新凭据下拉列表。

  8. 选择您已创建的凭据。

  9. 单击“添加”。

    此时会出现一条消息,确认 Tenable Identity Exposure 添加了租户,该租户现在显示在“租户管理”页面的列表中。

注意:租户扫描不会实时发生,而是至少需要间隔一个小时。Okta 数据在 Identity Explorer 中是否可见取决于租户大小。

  • 在列表中选择一个租户,然后点击以切换至“已启用扫描”。

    Tenable Identity Exposure 请求对租户进行扫描,随后结果会显示在“风险暴露指标”页面中。

    注意:两次扫描之间的强制性最短时间延迟为 30 分钟,频率为至少每天一次。根据租户的大小,大多数客户的数据每天都会多次刷新。

对配置进行故障排除

  • 配置后,在 Tenable Identity Exposure > 身份提供程序部分中检查 Okta 身份提供程序的扫描状态。成功扫描几分钟后,状态应显示绿色

  • 此外,您还可以验证 Okta 资源(用户、角色、应用、组)是否开始在各种 Tenable Identity Exposure 屏幕中显示。

  • 如果状态保持为红色或未摄入数据:

    • 仔细检查凭据(组织 URL/令牌)。

    • 检查范围权限。

    • 确认 Okta 端的网络访问和 API 速率限制情况。