Okta in Jitterbit App Builder konfigurieren

Okta ist ein Identitätsanbieter (IdP), der SAML Single Sign-On (SSO) Authentifizierung unterstützt. App Builder integriert sich mit Okta als Dienstanbieter (SP). Jede App Builder-Instanz muss mit Okta integriert sein und umgekehrt. Es sind drei Hauptaufgaben erforderlich:

1. Registrieren Sie App Builder als Okta-Anwendung.
2. Konfigurieren Sie Okta als Sicherheitsanbieter für App Builder.
3. Ordnen Sie App Builder-Benutzer Okta-Identitäten zu.

Es wird davon ausgegangen, dass Ihre Organisation bereits über ein bestehendes Okta-Konto verfügt.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Registrieren Sie den App Builder als Okta-Anwendung

Das folgende Okta-Dokument beschreibt, wie man eine SAML-Anwendung registriert: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Während des Einrichtungsprozesses werden Sie nach den folgenden Informationen gefragt:

   • Name: Name der App Builder-Umgebung.\

     Beispiel: App Builder Entwicklung

   • Single Sign-On-URL: Entspricht der Assertion Consumer Service URL.\

     Beispiel: https://example.com/Vinyl/signin-Okta

   • Audience-URI: Obwohl die Audience-URI willkürlich ist, müssen Okta und App Builder dieselbe Audience-URI verwenden. Ziehen Sie in Betracht, die App Builder App URL zu verwenden.\

     Beispiel: https://example.com/Vinyl/.

   • Name ID-Format: EmailAddress

   • Anwendungsbenutzername: Okta-Benutzername

2. Sie können optionale Attributserklärungen oder Gruppenattributserklärungen Anspruchszuordnungen bereitstellen. Häufig zugeordnete Ansprüche sind:

   • Email-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

   Hinweis

   Siehe Ansprüche für zusätzliche Informationen zu Ansprüchen.

3. Klicken Sie auf Weiter, wählen Sie Ich bin ein Okta-Kunde, der eine interne App hinzufügt, und klicken Sie auf Fertigstellen.

4. Nachdem die Okta-Anwendung erstellt wurde, kopieren Sie die folgenden Werte und speichern Sie sie zur späteren Referenz:

   • Metadaten-URL. Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • Anmelde-URL. Beispiel: https://example.okta.com/app/abcdef012345/sso/saml
   • Aussteller. Beispiel: http://www.okta.com/abcdef012345

Konfigurieren Sie Okta als App Builder-Sicherheitsanbieter

Um Okta als App Builder-Sicherheitsanbieter zu konfigurieren, melden Sie sich zunächst als Administrator bei App Builder an.

1. Navigieren Sie zu der IDE
2. Wählen Sie die Security Providers-Schaltfläche
3. Klicken Sie im Panel User Authentication auf die Schaltfläche + User Authentication

4. Geben Sie Folgendes an:

   • Name: Security Provider Name (siehe oben)\

     Beispiel: Okta

   • Typ: SAML

   • Aktiviert: Ankreuzen

5. Klicken Sie auf die Schaltfläche Save

6. Geben Sie im Abschnitt Tokens Folgendes an:

   • Audience: Audience URI (siehe oben)

     Beispiel: https://example.com/Vinyl/

   • Recipient: Single sign-on URL (siehe oben)

     Beispiel: https://example.com/Vinyl/signin-Okta

   • Issuer: Issuer (siehe oben)

     Beispiel: http://www.okta.com/abcdef012345

7. Klicken Sie auf die Schaltfläche Save

8. Bestätigen Sie im Abschnitt Provisioning die folgenden Einstellungen:

   • User Provisioning: Ankreuzen
   • Supplies Group Membership: Ankreuzen
   • Store Claims: Ankreuzen

9. Klicken Sie im Panel Endpoints auf die Schaltfläche + Endpoint

10. Geben Sie Folgendes an:

    • Typ: Metadata Endpoint

    • URL: Metadata URL (siehe oben)

      Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Klicken Sie auf die Schaltfläche Save

12. Im Panel Claims müssen Sie alle Ansprüche von Okta im App Builder zuordnen. Um beispielsweise die Ansprüche für Gruppe und Email-Adresse zuzuordnen, klicken Sie auf die Schaltfläche + Claim

13. Geben Sie Folgendes an:

    • Identifier: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Usage: Verwendung des Anspruchstyps.

      Beispiel: Gruppe

14. Klicken Sie auf die Schaltfläche Save

15. Verlassen Sie den Anspruchsbildschirm und klicken Sie auf die Schaltfläche + Claim im Panel Claims

16. Geben Sie Folgendes an:

    • Identifier: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Usage: Verwendung des Anspruchstyps.

      Beispiel: Email-Adresse

17. Klicken Sie auf die Schaltfläche Save

18. Überprüfen Sie im Abschnitt Sign In, ob Show On Login Form aktiviert ist. Dadurch wird eine Schaltfläche Sign in with Okta auf der Anmeldeseite des App Builders angezeigt.
19. Klicken Sie auf die Schaltfläche Save

Map App Builder-Benutzer zu Okta-Identitäten

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise mit der folgenden Nachricht zurück zum Anmeldeformular des App Builders umgeleitet:

Das Benutzerkonto (arthur.dent@example.com) hat keinen Zugriff auf eine Anwendung erhalten.

Obwohl der App Builder den Benutzer erfolgreich bereitstellen konnte, hat der Benutzer standardmäßig keinen Zugriff auf Anwendungen des App Builders. Vorausgesetzt, der Okta-Benutzer wurde einer oder mehreren Gruppen hinzugefügt und die Gruppenmitgliedschaftsbereitstellung ist aktiviert (wie oben beschrieben), müssen Sie die Okta-Sicherheitsgruppen den Sicherheitsgruppen des App Builders zuordnen.

Um Okta-Sicherheitsgruppen den Sicherheitsgruppen des App Builders zuzuordnen, melden Sie sich zunächst als Administrator im App Builder an.

1. Navigieren Sie zum IDE
2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
3. Klicken Sie auf die Registerkarte Identitäten
4. Suchen Sie im Panel Anbietergruppen die Okta-Gruppe und klicken Sie auf das Details-Symbol (Popup)
5. Klicken Sie auf die Schaltfläche Bearbeiten
6. Wählen Sie aus der Liste Gruppe die Gruppe des App Builders aus
7. Klicken Sie auf die Schaltfläche Speichern

Bitte beachten Sie die Benutzer- und Gruppenbereitstellung für weitere Informationen.

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, ist die Authentifizierung mit einer ähnlichen Nachricht fehlgeschlagen:

Obwohl Sie sich erfolgreich bei Okta authentifiziert haben, ist das Konto arthur.dent@example.com (arthur.dent@example.com) nicht mit einem lokalen Konto verknüpft.

In der obigen Nachricht ist arthur.dent@example.com der Okta-Benutzername (in der Anspruchs-Authentifizierung "name" genannt). Der Teil in Klammern ist der Okta-Name-Identifikator (in der Anspruchs-Authentifizierung "name identifier" genannt). Sie benötigen diese beiden Informationen für den nächsten Schritt.

Um ein Benutzerkonto des App Builders mit einer Okta-Identität zu verknüpfen, melden Sie sich zunächst als Administrator im App Builder an:

1. Navigieren Sie zu der IDE
2. Klicken Sie auf die Schaltfläche Benutzermanagement
3. Suchen und wählen Sie im Panel Benutzer den Benutzer aus, den Sie zuordnen möchten
4. Klicken Sie im Panel Identitäten auf die Schaltfläche + Identität

5. Geben Sie Folgendes an:

   • Anbieter: Sicherheitsanbieter-Name\

     Beispiel: Okta

   • Name: Okta-Benutzername (siehe oben)

   • Identifier: Okta-Name-Identifikator (siehe oben)

6. Klicken Sie auf das Speichern-Symbol (Überprüfen)

Fehlerbehebung

Der Benutzer wird nach dem Anmelden zurück zur Anmeldeseite umgeleitet.

Wenn Benutzerbereitstellung aktiviert ist, könnte der Benutzer erstellt worden sein, aber keiner Gruppe zugewiesen sein oder die Gruppen, denen der Benutzer zugewiesen wurde, haben keinen Zugriff auf Anwendungen des App Builders erhalten. Die einzige Gruppe, die neuen Benutzern standardmäßig zugewiesen wird (d.h. die die Option Zugriff bei Benutzererstellung gewähren aktiviert hat), ist die Benutzergruppe. Diese Gruppe hat standardmäßig keinen Zugriff auf Anwendungen.

Wenn die Option Gruppenmitgliedschaft bereitstellen aktiviert ist, hat der App Builder die Okta-Gruppen registriert. Melden Sie sich als Administrator an und ordnen Sie die Okta-Gruppen den Sicherheitsgruppen des App Builders zu. Wenn die Option Gruppenmitgliedschaft bereitstellen nicht aktiviert ist, hat der Okta-Sicherheitsanbieter keine Gruppen. Melden Sie sich als Administrator an und definieren Sie eine oder mehrere Gruppen des Okta-Sicherheitsanbieters mit der aktivierten Option Zugriff bei Identitätserstellung gewähren und ordnen Sie die Anbieterguppen den Sicherheitsgruppen des App Builders zu.

Wenn der Sicherheitsanbieter "HTTPS erforderlich" nicht aktiviert ist, kann der Benutzer den SAML-SSO-Prozess von einer unsicheren URL aus initiieren (z.B. http://example.com/Vinyl/). Der Identitätsanbieter wird den Benutzer jedoch zur sicheren Assertion Consumer Service (ACS)-URL (https://example.com/Vinyl/signin-Okta) zurückleiten. Der App Builder authentifiziert den Benutzer im Kontext der sicheren URL, bevor er den Benutzer zur unsicheren URL zurückleitet. In der Tat hat der Benutzer zwei separate Sitzungen. Um dieses Problem zu beheben, aktivieren Sie den Sicherheitsanbieter "HTTPS erforderlich".

Die Okta-Anwendung kann deaktiviert werden.

Fehler: "the audiencerestrictioncondition was not valid because the specified audience is not present in audienceuris."

Dieser Fehler zeigt an, dass die Audience-URI nicht übereinstimmt. Stellen Sie sicher, dass die Audience-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird sie standardmäßig auf die aktuelle URL gesetzt, die je nach Benutzer variieren kann. Der Wert ist groß- und kleinschreibungsempfindlich.

Fehler: "an unhandled exception was caught at the end of the pipeline."

Dieser Fehler kann auf eine Diskrepanz zwischen dem konfigurierten Recipient-Wert und dem erwarteten Recipient-Wert im App Builder hinweisen. Stellen Sie sicher, dass der Recipient-Wert korrekt konfiguriert ist.