Okta im Jitterbit App Builder konfigurieren

Okta ist ein Identitätsanbieter (IdP), der SAML Single Sign-On (SSO)-Authentifizierung unterstützt. App Builder integriert sich als Service Provider (SP) in Okta. Jede App Builder Instanz muss in Okta integriert werden und umgekehrt. Drei Hauptaufgaben sind damit verbunden:

1. Registrieren Sie App Builder als Okta-Anwendung.
2. Konfigurieren Sie Okta als App Builder Sicherheitsanbieter.
3. Ordnen Sie App Builder Benutzer Okta Identitäten zu.

Es wird davon ausgegangen, dass Ihre Organisation bereits über ein bestehendes Okta Konto verfügt.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

	Beispiel	Hinweise
App Builder App-URL	https://example.com/App Builder/	Die URL, unter der App Builder gehostet wird. Enthält den abschließenden Schrägstrich. Der Pfad ist groß- und kleinschreibungsabhängig.
Name des Sicherheitsanbieters	Okta	Jeder App Builder Sicherheitsanbieter erhält einen logischen Namen. Dieser Name wird in der Assertion Consumer Service URL verwendet.
Assertion Consumer Service URL	https://example.com/App Builder/signin-Okta	App Builder stellt automatisch einen Assertion Consumer Service (ACS) Endpoint für SAML Single Sign-On (SSO)-Sicherheitsanbieter bereit. Okta bezeichnet die ACS URL als „Postback-URL“ oder „Single Sign-On URL“. Beachten Sie, dass der Anbietername in der URL erscheint.

App Builder als Okta-Anwendung registrieren

Das folgende Okta Dokument beschreibt, wie eine SAML -Anwendung registriert wird: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Während des Einrichtungsvorgangs werden Sie nach den folgenden Informationen gefragt:

   • Name: Name der App Builder-Umgebung.\

     Beispiel: * App Builder-Entwicklung*

   • Single Sign-On URL: Entspricht der Assertion Consumer Service URL.\

     Beispiel: https://example.com/App Builder/signin-Okta

   • Zielgruppen-URI: Obwohl die Zielgruppen-URI beliebig ist, müssen Okta und App Builder dieselbe Zielgruppen-URI verwenden. Erwägen Sie die Verwendung der App Builder App URL.\

     Beispiel: https://example.com/App Builder/.

   • Namens-ID-Format: EmailAddress

   • Benutzername der Anwendung: Okta username

2. Sie können optional Anspruchszuordnungen für Attributanweisungen oder Gruppenattributanweisungen angeben. Häufig zugeordnete Ansprüche sind:

   • Email-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

   Hinweis

   Siehe Ansprüche für weitere Informationen zu Ansprüchen.

3. Klicken Sie auf Weiter, wählen Sie Ich bin ein Okta-Kunde, der eine interne App hinzufügt und klicken Sie auf Fertig.

4. Nachdem die Okta Anwendung erstellt wurde, kopieren und speichern Sie die folgenden Werte zur späteren Referenz:

   • Metadaten URL. Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • Anmelde URL. Beispiel: https://example.okta.com/app/abcdef012345/sso/saml
   • Aussteller. Beispiel: http://www.okta.com/abcdef012345

Konfigurieren Sie Okta als App Builder Sicherheitsanbieter

Um Okta als App Builder Sicherheitsanbieter zu konfigurieren, melden Sie sich zunächst als Administrator bei App Builder an.

1. Navigieren Sie zur IDE
2. Wählen Sie die Schaltfläche Sicherheitsanbieter
3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

4. Geben Sie Folgendes an:

   • Name: Security Provider Name (siehe oben)\

     Beispiel: * Okta*

   • Typ: * SAML*

   • Aktiviert: Aktivieren

5. Klicken Sie auf die Schaltfläche Speichern

6. Geben Sie im Abschnitt Token Folgendes an:

   • Publikum: Audience URI(siehe oben)

     Beispiel: https://example.com/App Builder/

   • Empfänger: Single sign-on URL(siehe oben)

     Beispiel: https://example.com/App Builder/signin-Okta

   • Aussteller: Issuer(siehe oben)

     Beispiel: http://www.okta.com/abcdef012345

7. Klicken Sie auf die Schaltfläche Speichern

8. Bestätigen Sie im Abschnitt Bereitstellung die folgenden Einstellungen:

   • Benutzerbereitstellung: Prüfen
   • Mitgliedschaft in der Zubehörgruppe: Prüfen
   • Store-Ansprüche: Prüfen

9. Klicken Sie im Bereich Endpoints auf die Schaltfläche + Endpoint

10. Geben Sie Folgendes an:

    • Typ: Metadaten Endpoint

    • URL: Metadata URL(siehe oben)

      Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Klicken Sie auf die Schaltfläche Speichern

12. Im Bereich Claims müssen Sie alle Ansprüche von Okta im App Builder zuordnen. Um beispielsweise die Ansprüche für Gruppen und E-Mail-Adressen zuzuordnen, klicken Sie auf die Schaltfläche + Claim

13. Geben Sie Folgendes an:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: Gruppe

14. Klicken Sie auf die Schaltfläche Speichern.

15. Verlassen Sie den Anspruchsbildschirm und klicken Sie im Bereich Ansprüche auf die Schaltfläche + Anspruch.

16. Geben Sie Folgendes ein:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: E-Mail-Adresse

17. Klicken Sie auf die Schaltfläche Speichern

18. Aktivieren Sie im Abschnitt Anmelden die Option Im Anmeldeformular anzeigen. Dadurch wird auf der Anmeldeseite des App Builder die Schaltfläche Mit Okta anmelden angezeigt.
19. Klicken Sie auf die Schaltfläche Speichern

App Builder Benutzer Okta Identitäten zuordnen

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise mit der folgenden Meldung zum Anmeldeformular des App Builder zurückgeleitet:

Das Benutzerkonto (arthur.dent@example.com) wurde kein Zugriff auf eine Anwendung gewährt.

Obwohl App Builder den Benutzer erfolgreich bereitstellen konnte, hat er standardmäßig keinen Zugriff auf App Builder-Anwendungen. Vorausgesetzt, der Okta Benutzer wurde einer oder mehreren Gruppen hinzugefügt und die Supplies-Gruppenmitgliedschaft ist aktiviert (wie oben beschrieben), müssen Sie die Okta Sicherheitsgruppen den App Builder Sicherheitsgruppen zuordnen.

Um Okta Sicherheitsgruppen App Builder Sicherheitsgruppen zuzuordnen, melden Sie sich zunächst als Administrator bei App Builder an.

1. Navigieren Sie zur IDE
2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
3. Klicken Sie auf die Tab Identitäten
4. Suchen Sie im Bereich Anbietergruppen die Okta-Gruppe und klicken Sie auf das Symbol Details (Popup).
5. Klicken Sie auf die Schaltfläche Bearbeiten
6. Wählen Sie aus der Gruppe-Liste die App Builder-Gruppe aus
7. Klicken Sie auf die Schaltfläche Speichern

Bitte beachten Sie die Benutzer- und Gruppenbereitstellung für weitere Informationen.

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, schlägt die Authentifizierung mit einer Meldung ähnlich der folgenden fehl:

Obwohl Sie sich erfolgreich bei Okta authentifiziert haben, ist das Konto arthur.dent@example.com(arthur.dent@example.com) ist keinem lokalen Konto zugeordnet.

In der obigen Nachricht: arthur.dent@example.com ist der Okta-Benutzername (in der Anspruchsauthentifizierung „Name“ genannt). Der Teil in Klammern ist die Okta-Namenskennung (in der Anspruchsauthentifizierung „Namenskennung“ genannt). Sie benötigen diese beiden Informationen für den nächsten Schritt.

Um ein App Builder Benutzerkonto einer Okta Identität zuzuordnen, melden Sie sich zunächst als Administrator bei App Builder an:

1. Navigieren Sie zur IDE
2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
3. Suchen Sie im Bereich Benutzer den Benutzer, den Sie zuordnen möchten, und wählen Sie ihn aus
4. Klicken Sie im Bereich Identitäten auf die Schaltfläche + Identität

5. Geben Sie Folgendes an:

   • Anbieter: Security Provider Name\

     Beispiel: * Okta*

   • Name: Okta User Name(siehe oben)

   • Kennung: Okta Name Identifier(siehe oben)

6. Klicken Sie auf das Symbol Speichern (Häkchen).

Fehlerbehebung

Nach der Anmeldung wird der Benutzer zurück zur Anmeldeseite geleitet.

Wenn die Benutzerbereitstellung aktiviert ist, wurde der Benutzer möglicherweise erstellt, aber keiner Gruppe zugewiesen, oder die zugewiesenen Gruppen haben keinen Zugriff auf App Builder Anwendungen. Die einzige Gruppe, die neuen Benutzern standardmäßig zugewiesen ist (d. h. die Option Beim Erstellen des Benutzers gewähren ist aktiviert), ist die Gruppe „Benutzer“. Diese Gruppe hat standardmäßig keinen Zugriff auf Anwendungen.

Wenn die Option Supplies-Gruppenmitgliedschaft aktiviert ist, hat App Builder die Okta Gruppen registriert. Melden Sie sich als Administrator an und ordnen Sie die Okta-Gruppen den App Builder Sicherheitsgruppen zu. Wenn die Option Supplies Group Membership nicht aktiviert ist, verfügt der Okta Sicherheitsanbieter über keine Gruppen. Melden Sie sich als Administrator an, definieren Sie eine oder mehrere Okta Sicherheitsanbietergruppen mit aktivierter Option Grant On Identity Create und ordnen Sie die Anbietergruppen den App Builder Sicherheitsgruppen zu.

Wenn der Sicherheitsanbieter „HTTPS erforderlich“ nicht aktiviert wurde, kann der Benutzer den SAML -SSO-Prozess von einer nicht sicheren URL aus starten (z. B. http://example.com/App Builder/). Der Identitätsanbieter leitet den Benutzer jedoch an die sichere Assertion Consumer Service (ACS) URL zurück (https://example.com/App Builder/signin-Okta). App Builder authentifiziert den Benutzer im Kontext der sicheren URL, bevor er zur unsicheren URL zurückgeleitet wird. Dadurch hat der Benutzer zwei separate Sitzungen. Um dieses Problem zu beheben, aktivieren Sie den Sicherheitsanbieter „HTTPS erforderlich“.

Die Okta Anwendung ist möglicherweise deaktiviert.

Fehler: „Die Zielgruppenbeschränkungsbedingung war ungültig, da die angegebene Zielgruppe nicht in AudienceURIS vorhanden ist.“

Dieser Fehler weist darauf hin, dass die Zielgruppen-URI nicht übereinstimmt. Stellen Sie sicher, dass die Eigenschaft Zielgruppe explizit festgelegt wurde. Andernfalls wird standardmäßig die aktuelle URL verwendet, die je nach Benutzer variieren kann. Der Wert berücksichtigt die Groß- und Kleinschreibung.

Fehler: „Am Ende der Pipeline wurde eine nicht behandelte Ausnahme abgefangen.“

Dieser Fehler kann auf eine Nichtübereinstimmung zwischen dem konfigurierten Empfänger-Wert und dem erwarteten Empfängerwert im App Builder hinweisen. Stellen Sie sicher, dass der Empfängerwert richtig konfiguriert ist.