Condividi tramite

Integrare Okta con Microsoft Defender per identità (anteprima)

Okta gestisce il modo in cui utenti e clienti accedono e ottengono l'accesso ai sistemi chiave. Poiché svolge un ruolo centrale nella gestione delle identità e degli accessi, qualsiasi compromissione accidentale o intenzionale può comportare gravi rischi per la sicurezza. Integrando Microsoft Defender per identità con Okta, si ottiene una maggiore protezione delle identità. Defender per identità monitora l'attività di accesso, rileva comportamenti insoliti ed evidenzia le minacce correlate a identità compromesse o usate in modo improprio. Identifica anche i rischi, ad esempio assegnazioni di ruolo sospette o account con privilegi elevati inutilizzati, usando i dati Okta per fornire informazioni dettagliate chiare e interattive che consentono di proteggere l'organizzazione.

Prerequisiti

Prima di connettere l'account Okta a Microsoft Defender per identità, verificare che siano soddisfatti i prerequisiti seguenti:

  1. L'ambiente Okta deve avere una delle licenze seguenti:

    • Developer

    • Enterprise

Nota

Il ruolo Super Amministrazione è necessario solo per creare il token API. Dopo aver creato il token, rimuovere il ruolo e assegnare i ruoli personalizzati Read-Only Administrator e Defender for Identity per l'accesso API in corso.

Nota

Se l'ambiente Okta è già integrato con Microsoft Defender for Cloud Apps, la connessione a Microsoft Defender per identità potrebbe causare la visualizzazione di dati Okta duplicati, ad esempio l'attività dell'utente, nel portale di Defender.

Connettere Okta a Microsoft Defender per identità

Questa sezione fornisce istruzioni per la connessione di Microsoft Defender per identità all'account Okta dedicato usando le API del connettore. Questa connessione offre visibilità e controllo sull'uso di Okta.

Creare un account Okta dedicato

  1. Creare un account Okta dedicato che viene usato solo per Microsoft Defender per identità.
  2. Assegnare l'account Okta come ruolo Super Amministrazione.
  3. Verificare l'account Okta.
  4. Archiviare le credenziali dell'account per un uso successivo.
  5. Accedere all'account Okta dedicato creato nel passaggio 1 per creare un token API.

Creare un token API

  1. Nella console di Okta selezionare Amministrazione.

    Screenshot che mostra come accedere al pulsante Amministrazione nella console di Okta.

  2. Selezionare API di sicurezza>.

    Screenshot del menu di spostamento della console di amministrazione di Okta con le opzioni sicurezza e API evidenziate nel riquadro sinistro.

  3. Selezionare i token

  4. Selezionare Crea token.

    Screenshot della scheda Token API Okta con il pulsante Crea token evidenziato.

  5. Nella finestra popup Crea token:

    1. Immettere un nome per il token di Defender per identità
    2. Selezionare qualsiasi indirizzo IP
    3. Selezionare Crea token.

    Screenshot del modulo Okta Create token con i campi per il nome del token e la restrizione IP e il pulsante Crea token evidenziato.

  6. Nel popup Token creato correttamente copiare il valore token e archiviarlo in modo sicuro. Questo token viene usato per connettere Okta a Defender per identità.

    Screenshot del messaggio di riuscita della creazione del token Okta.

Aggiungere attributi utente personalizzati

  1. Selezionare Editor profilo directory>.

  2. Selezionare Utente (impostazione predefinita).

  3. Selezionare Aggiungi attributi.

    1. Impostare Tipo di dati su String.
    2. Immettere il nome visualizzato.
    3. Immettere il nome variabile.
    4. Impostare l'autorizzazione Utente su Sola lettura.

  4. Immettere gli attributi seguenti:

    Nome visualizzato Nome variabile
    ObjectSid ObjectSid
    ObjectGuid ObjectGuid
    DistinguishedName DistinguishedName

  5. Seleziona Salva.

  6. Verificare che i tre attributi personalizzati aggiunti siano visualizzati correttamente.

    Screenshot della pagina Attributi okta. Vengono visualizzati tre attributi: ObjectGuid, DistinguishedName e ObjectSid.

Creare un ruolo Okta personalizzato

Per supportare l'accesso alle API in corso, sono necessari Read-Only ruolo Amministratore e il ruolo defender per identità personalizzato.

Dopo aver assegnato entrambi i ruoli, è possibile rimuovere il ruolo Super Amministrazione. In questo modo si garantisce che solo le autorizzazioni pertinenti vengano assegnate all'account Okta in qualsiasi momento.

  1. Passare a Amministratore della sicurezza>.
  2. Selezionare la scheda Ruoli .
  3. Selezionare Crea nuovo ruolo.
  4. Impostare il nome del ruolo su Microsoft Defender per identità.
  5. Selezionare le autorizzazioni da assegnare a questo ruolo. Includere le autorizzazioni seguenti:
    • Modificare gli stati del ciclo di vita dell'utente
    • Modificare le operazioni di autenticazione dell'utente
    • Visualizzare ruoli, risorse e assegnazioni di amministratore
  6. Selezionare Salva ruolo.

Screenshot che mostra un elenco di autorizzazioni Okta che devono essere assegnate quando si aggiunge un ruolo personalizzato.

Creare un set di risorse

  1. Selezionare la scheda Risorse .

  2. Selezionare Crea nuovo set di risorse.

  3. Assegnare al set di risorse il nome Microsoft Defender per identità.

  4. Aggiungere le risorse seguenti:

    • Tutti gli utenti
    • Tutte le risorse di Gestione identità e accesso

    Screenshot che mostra il nome del set di risorse Microsoft Defender per identità.

  5. Selezionare Salva selezione.

Assegnare il ruolo personalizzato e il set di risorse

Per completare la configurazione in Okta, assegnare il ruolo personalizzato e il set di risorse all'account dedicato.

  1. Assegnare i ruoli seguenti all'account Okta dedicato:

    • Read-Only amministratore.

    • Ruolo Microsoft Defender per identità personalizzato

  2. Assegnare il set di risorse Microsoft Defender per identità all'account Okta dedicato.

  3. Al termine, rimuovere il ruolo Super Amministrazione dall'account.

Connettere Okta a Defender per identità

  1. Passare al portale di Microsoft Defender

  2. Selezionare l'integrazioneoktadelle identità delle impostazioni>>

    Screenshot che mostra la pagina delle impostazioni Microsoft Defender per identità con l'opzione Integrazione Okta evidenziata.

  3. Selezionare +Connetti istanza di Okta.

  4. Immettere il dominio Okta, ad esempio acme.okta.com.

  5. Incollare il token API copiato dall'account Okta.

  6. Seleziona Salva.

    Screenshot che mostra come connettere l'istanza di Okta.

  7. Verificare che l'ambiente Okta sia visualizzato nella tabella come abilitato.

    Screenshot che mostra che l'ambiente Okta è stato aggiunto ed è abilitato.