Okta in Jitterbit App Builder konfigurieren
Okta ist ein Identitätsanbieter (IdP), der SAML Single Sign-On (SSO) Authentifizierung unterstützt. App Builder integriert sich mit Okta als Dienstanbieter (SP). Jede App Builder-Instanz muss mit Okta integriert sein und umgekehrt. Es gibt drei Hauptaufgaben:
- Registrieren Sie App Builder als Okta-Anwendung.
- Konfigurieren Sie Okta als Sicherheitsanbieter für App Builder.
- Ordnen Sie App Builder-Benutzer Okta-Identitäten zu.
Es wird davon ausgegangen, dass Ihre Organisation bereits über ein bestehendes Okta-Konto verfügt.
Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:
Beispiel | Hinweise | |
---|---|---|
App Builder App-URL | https://example.com/Vinyl/ | Die URL, von der aus App Builder gehostet wird. Enthält den abschließenden Schrägstrich. Der Pfad ist groß- und kleinschreibungsempfindlich. |
Name des Sicherheitsanbieters | Okta | Jeder Sicherheitsanbieter von App Builder erhält einen logischen Namen. Dieser Name wird in der URL des Assertion Consumer Service verwendet. |
URL des Assertion Consumer Service | https://example.com/Vinyl/signin-Okta | App Builder stellt automatisch einen Endpunkt für den Assertion Consumer Service (ACS) für SAML Single Sign-On (SSO) Sicherheitsanbieter bereit. Okta bezeichnet die ACS-URL als "Post Back URL" oder "Single Sign-On-URL". Beachten Sie, dass der Anbietername in der URL erscheint. |
Registrieren Sie den App Builder als Okta-Anwendung
Das folgende Okta-Dokument beschreibt, wie man eine SAML-Anwendung registriert: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta
-
Während des Einrichtungsprozesses werden Sie nach den folgenden Informationen gefragt:
-
Name: Name der App Builder-Umgebung.\
Beispiel: App Builder Entwicklung
-
Single Sign-On-URL: Entspricht der
Assertion Consumer Service URL
.\Beispiel:
https://example.com/Vinyl/signin-Okta
-
Audience-URI: Obwohl die Audience-URI willkürlich ist, müssen Okta und App Builder dieselbe Audience-URI verwenden. Ziehen Sie in Betracht, die
App Builder App URL
zu verwenden.\Beispiel:
https://example.com/Vinyl/
. -
Name ID-Format:
EmailAddress
- Anwendungsbenutzername:
Okta-Benutzername
-
-
Sie können optionale Attributserklärungen oder Gruppenattributserklärungen Anspruchszuordnungen bereitstellen. Häufig zugeordnete Ansprüche sind:
- E-Mail-Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group
Hinweis
Siehe Claims für zusätzliche Informationen zu Ansprüchen.
-
Klicken Sie auf Weiter, wählen Sie Ich bin ein Okta-Kunde, der eine interne App hinzufügt, und klicken Sie auf Fertigstellen.
-
Sobald die Okta-Anwendung erstellt wurde, kopieren und speichern Sie die folgenden Werte zur späteren Referenz:
- Metadaten-URL. Beispiel:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
- Anmelde-URL. Beispiel:
https://example.okta.com/app/abcdef012345/sso/saml
- Aussteller. Beispiel:
http://www.okta.com/abcdef012345
- Metadaten-URL. Beispiel:
Konfigurieren Sie Okta als Sicherheitsanbieter für den App Builder
Um Okta als Sicherheitsanbieter für App Builder zu konfigurieren, melden Sie sich zunächst als Administrator bei App Builder an.
- Navigieren Sie zum IDE
- Wählen Sie die Schaltfläche Sicherheitsanbieter
- Klicken Sie im Panel Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung
-
Geben Sie Folgendes an:
-
Name:
Sicherheitsanbieter-Name
(siehe oben)\Beispiel: Okta
-
Typ: SAML
- Aktiviert: Ankreuzen
-
-
Klicken Sie auf die Schaltfläche Speichern
-
Geben Sie im Abschnitt Tokens Folgendes an:
-
Zielgruppe:
Zielgruppen-URI
(siehe oben)Beispiel:
https://example.com/Vinyl/
-
Empfänger:
Single Sign-On-URL
(siehe oben)Beispiel:
https://example.com/Vinyl/signin-Okta
-
Aussteller:
Aussteller
(siehe oben)Beispiel:
http://www.okta.com/abcdef012345
-
-
Klicken Sie auf die Schaltfläche Speichern
-
Bestätigen Sie im Abschnitt Provisionierung die folgenden Einstellungen:
- Benutzerprovisionierung: Ankreuzen
- Stellt Gruppenmitgliedschaft bereit: Ankreuzen
- Ansprüche speichern: Ankreuzen
-
Klicken Sie im Panel Endpunkte auf die Schaltfläche + Endpunkt
-
Geben Sie Folgendes an:
- Typ: Metadaten-Endpunkt
-
URL:
Metadaten-URL
(siehe oben)Beispiel:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
-
Klicken Sie auf die Schaltfläche Speichern
- Im Panel Ansprüche müssen Sie alle Ansprüche von Okta in App Builder zuordnen. Um beispielsweise die Ansprüche für Gruppe und E-Mail-Adresse zuzuordnen, klicken Sie auf die Schaltfläche + Anspruch
-
Geben Sie Folgendes an:
-
Identifier: Name des Anspruchstyps.
Beispiel:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group
-
Verwendung: Verwendung des Anspruchstyps.
Beispiel: Gruppe
-
-
Klicken Sie auf die Schaltfläche Speichern
- Verlassen Sie den Anspruchsbildschirm und klicken Sie auf die Schaltfläche + Anspruch im Panel Ansprüche
-
Geben Sie Folgendes an:
-
Identifier: Name des Anspruchstyps.
Beispiel:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Verwendung: Verwendung des Anspruchstyps.
Beispiel: E-Mail-Adresse
-
-
Klicken Sie auf die Schaltfläche Speichern
- Überprüfen Sie im Abschnitt Anmelden, um Im Anmeldeformular anzeigen zu aktivieren. Dadurch wird eine Schaltfläche Mit Okta anmelden auf der Anmeldeseite von App Builder angezeigt.
- Klicken Sie auf die Schaltfläche Speichern
Map App Builder-Benutzer zu Okta-Identitäten
Mit Benutzerbereitstellung
Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise mit der folgenden Nachricht zurück zum Anmeldeformular von App Builder umgeleitet:
Das Benutzerkonto (
arthur.dent@example.com
) hat keinen Zugriff auf eine Anwendung erhalten.
Obwohl App Builder den Benutzer erfolgreich bereitstellen konnte, hat der Benutzer standardmäßig keinen Zugriff auf App Builder-Anwendungen. Vorausgesetzt, der Okta-Benutzer wurde einer oder mehreren Gruppen hinzugefügt und die Gruppenmitgliedschaft wird aktiviert (wie oben beschrieben), müssen Sie die Okta-Sicherheitsgruppen den App Builder-Sicherheitsgruppen zuordnen.
Um Okta-Sicherheitsgruppen den App Builder-Sicherheitsgruppen zuzuordnen, melden Sie sich zunächst als Administrator bei App Builder an.
- Navigieren Sie zum IDE
- Klicken Sie auf die Schaltfläche Benutzerverwaltung
- Klicken Sie auf die Registerkarte Identitäten
- Suchen Sie im Panel Anbietergruppen die Okta-Gruppe und klicken Sie auf das Details-Symbol (Popup)
- Klicken Sie auf die Schaltfläche Bearbeiten
- Wählen Sie aus der Liste Gruppe die App Builder-Gruppe aus
- Klicken Sie auf die Schaltfläche Speichern
Bitte beachten Sie die Benutzer- und Gruppenbereitstellung für weitere Informationen.
Ohne Benutzerbereitstellung
Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, ist die Authentifizierung mit einer ähnlichen Nachricht fehlgeschlagen:
Obwohl Sie sich erfolgreich bei Okta authentifiziert haben, ist das Konto
arthur.dent@example.com
(arthur.dent@example.com
) nicht mit einem lokalen Konto verknüpft.
In der obigen Nachricht ist arthur.dent@example.com
der Okta-Benutzername (in der Anspruchs-Authentifizierung "name" genannt). Der Teil in Klammern ist der Okta-Name-Identifikator (in der Anspruchs-Authentifizierung "name identifier" genannt). Diese beiden Informationen benötigen Sie für den nächsten Schritt.
Um ein App Builder-Benutzerkonto mit einer Okta-Identität zu verknüpfen, melden Sie sich zunächst als Administrator bei App Builder an:
- Navigieren Sie zu der IDE
- Klicken Sie auf die Schaltfläche Benutzermanagement
- Suchen und wählen Sie im Panel Benutzer den Benutzer aus, den Sie zuordnen möchten
- Klicken Sie im Panel Identitäten auf die Schaltfläche + Identität
-
Geben Sie Folgendes an:
-
Anbieter:
Sicherheitsanbieter-Name
\Beispiel: Okta
-
Name:
Okta-Benutzername
(siehe oben) - Identifier:
Okta-Name-Identifikator
(siehe oben)
-
-
Klicken Sie auf das Speichern-Symbol (Überprüfen)
Fehlerbehebung
Der Benutzer wird nach dem Anmelden zurück zur Anmeldeseite umgeleitet.
Wenn Benutzerbereitstellung aktiviert wurde, könnte der Benutzer erstellt worden sein, aber keiner Gruppe zugewiesen worden sein oder die Gruppen, denen der Benutzer zugewiesen wurde, haben keinen Zugriff auf Anwendungen des App Builders erhalten. Die einzige Gruppe, die neuen Benutzern standardmäßig zugewiesen wird (d.h. die die Option Zugriff bei Benutzererstellung gewähren aktiviert hat), ist die Benutzergruppe. Diese Gruppe hat standardmäßig keinen Zugriff auf Anwendungen.
Wenn die Option Gruppenmitgliedschaft bereitstellen aktiviert wurde, hat der App Builder die Okta-Gruppen registriert. Melden Sie sich als Administrator an und ordnen Sie die Okta-Gruppen den Sicherheitsgruppen des App Builders zu. Wenn die Option Gruppenmitgliedschaft bereitstellen nicht aktiviert wurde, hat der Okta-Sicherheitsanbieter keine Gruppen. Melden Sie sich als Administrator an und definieren Sie eine oder mehrere Okta-Sicherheitsanbietergruppen mit der aktivierten Option Zugriff bei Identitätserstellung gewähren und ordnen Sie die Anbieterguppen den Sicherheitsgruppen des App Builders zu.
Wenn der Sicherheitsanbieter "HTTPS erforderlich" nicht aktiviert wurde, kann der Benutzer den SAML-SSO-Prozess von einer unsicheren URL aus initiieren (z.B. http://example.com/Vinyl/
). Der Identitätsanbieter wird den Benutzer jedoch zur sicheren Assertion Consumer Service (ACS)-URL (https://example.com/Vinyl/signin-Okta
) zurückleiten. Der App Builder authentifiziert den Benutzer im Kontext der sicheren URL, bevor er den Benutzer zur unsicheren URL zurückleitet. In der Tat hat der Benutzer zwei separate Sitzungen. Um dieses Problem zu beheben, aktivieren Sie den Sicherheitsanbieter "HTTPS erforderlich".
Die Okta-Anwendung kann deaktiviert werden.
Fehler: "the audiencerestrictioncondition was not valid because the specified audience is not present in audienceuris."
Dieser Fehler zeigt an, dass die Audience-URI nicht übereinstimmt. Stellen Sie sicher, dass die Audience-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird sie standardmäßig auf die aktuelle URL gesetzt, die je nach Benutzer variieren kann. Der Wert ist groß- und kleinschreibungsempfindlich.
Fehler: "an unhandled exception was caught at the end of the pipeline."
Dieser Fehler kann auf eine Diskrepanz zwischen dem konfigurierten Recipient-Wert und dem erwarteten Recipient-Wert im App Builder hinweisen. Stellen Sie sicher, dass der Recipient-Wert korrekt konfiguriert ist.