Okta im Jitterbit App Builder konfigurieren

Okta ist ein Identitätsanbieter (IdP), der die SAML Single Sign-On (SSO)-Authentifizierung unterstützt. App Builder integriert sich mit Okta als Service Provider (SP). Jeder App Builder Instanz muss in Okta integriert werden und umgekehrt. Dabei sind drei Hauptaufgaben erforderlich:

1. Registrieren App Builder als Okta-Anwendung.
2. Konfigurieren Sie Okta als an App Builder Sicherheitsanbieter.
3. Karte App Builder Benutzern zu Okta Identitäten.

Es wird davon ausgegangen, dass Ihre Organisation bereits über ein bestehendes Okta-Konto verfügt.

Die folgenden Anweisungen beziehen sich auf die folgenden Eigenschaften:

Registrieren App Builder als Okta-Anwendung

Das folgende Okta-Dokument beschreibt, wie eine SAML Anwendung registriert wird: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Während des Einrichtungsvorgangs werden Sie nach den folgenden Informationen gefragt:

   • Name: App Builder Umfeld .\

     Beispiel: App Builder Entwicklung

   • Single Sign-On URL: Entspricht der Assertion Consumer Service URL.\

     Beispiel: https://example.com/App Builder/signin-Okta

   • Zielgruppen-URI: Obwohl die Zielgruppen-URI beliebig ist, Okta und App Builder müssen dieselbe Audience-URI verwenden. Erwägen Sie die Verwendung der App Builder App URL.\

     Beispiel: https://example.com/App Builder/.

   • Namens-ID-Format: EmailAddress

   • Benutzername der Anwendung: Okta username

2. Sie können optional Anspruchszuordnungen vom Typ Attributanweisungen oder Gruppenattributanweisungen angeben. Häufig zugeordnete Ansprüche sind:

   • Email Adresse - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Gruppenmitgliedschaft - http://schemas.xmlsoap.org/claims/Group

   Hinweis

   Siehe Ansprüche für weitere Informationen zu Ansprüchen.

3. Klicken Sie auf Weiter, wählen Sie Ich bin ein Okta-Kunde, der eine interne App hinzufügt und klicken Sie auf Fertig.

4. Nachdem die Okta-Anwendung erstellt wurde, kopieren und speichern Sie die folgenden Werte zur späteren Referenz:

   • Metadaten URL. Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • Anmelde URL. Beispiel: https://example.okta.com/app/abcdef012345/sso/saml
   • Aussteller. Beispiel: http://www.okta.com/abcdef012345

Konfigurieren Sie Okta als an App Builder Sicherheitsanbieter

So konfigurieren Sie Okta als an App Builder Sicherheitsanbieter, melden Sie sich zunächst bei App Builder als Administrator.

1. Navigieren Sie zur IDE
2. Wählen Sie die Schaltfläche Sicherheitsanbieter
3. Klicken Sie im Bereich Benutzerauthentifizierung auf die Schaltfläche + Benutzerauthentifizierung

4. Geben Sie Folgendes ein:

   • Name: Security Provider Name (siehe oben)\

     Beispiel: Okta

   • Typ: SAML

   • Aktiviert: Aktivieren

5. Klicken Sie auf die Schaltfläche Speichern

6. Geben Sie im Abschnitt Tokens Folgendes an:

   • Publikum: Audience URI(siehe oben)

     Beispiel: https://example.com/App Builder/

   • Empfänger: Single sign-on URL(siehe oben)

     Beispiel: https://example.com/App Builder/signin-Okta

   • Emittent: Issuer (siehe oben)

     Beispiel: http://www.okta.com/abcdef012345

7. Klicken Sie auf die Schaltfläche Speichern

8. Bestätigen Sie im Abschnitt Bereitstellung die folgenden Einstellungen:

   • Benutzerbereitstellung: Prüfen
   • Mitgliedschaft in der Zubehörgruppe: Prüfen
   • Store-Ansprüche: Prüfen

9. Klicken Sie im Bereich Endpoints auf die Schaltfläche + Endpoint

10. Geben Sie Folgendes an:

    • Typ: Endpoint

    • URL: Metadata URL(siehe oben)

      Beispiel: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Klicken Sie auf die Schaltfläche Speichern

12. Im Bereich Claims müssen Sie alle Ansprüche von Okta zuordnen in App Builder. Um beispielsweise die Ansprüche „Gruppe“ und „Email-Adresse“ zuzuordnen, klicken Sie auf die Schaltfläche + Anspruch

13. Geben Sie Folgendes ein:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: Gruppe

14. Klicken Sie auf die Schaltfläche Speichern

15. Verlassen Sie den Anspruchsbildschirm und klicken Sie im Bereich Ansprüche auf die Schaltfläche + Anspruch

16. Geben Sie Folgendes ein:

    • Kennung: Name des Anspruchstyps.

      Beispiel: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Verwendung: Verwendung des Anspruchstyps.

      Beispiel: Email-Adresse

17. Klicken Sie auf die Schaltfläche Speichern

18. Aktivieren Sie im Abschnitt Anmelden die Option Auf Anmeldeformular anzeigen. Dadurch wird eine Schaltfläche Mit Okta anmelden auf dem App Builder Anmeldeseite.
19. Klicken Sie auf die Schaltfläche Speichern

Karte App Builder Benutzer zu Okta-Identitäten

Mit Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung wie oben beschrieben aktiviert haben und versuchen, sich anzumelden, werden Sie möglicherweise zurück zur App Builder Anmeldeformular mit der folgenden Meldung:

Das Benutzerkonto (arthur.dent@example.com) wurde kein Zugriff auf eine Anwendung gewährt.

Obwohl App Builder konnte den Benutzer erfolgreich bereitstellen, der Benutzer hat jedoch keinen Zugriff auf App Builder Anwendungen standardmäßig. Vorausgesetzt, der Okta Benutzer wurde zu einer oder mehreren Gruppen hinzugefügt und die Supplies-Gruppenmitgliedschaft ist aktiviert (wie oben beschrieben), müssen Sie die Okta Sicherheitsgruppen zuordnen zu App Builder Sicherheitsgruppen.

So ordnen Sie Okta-Sicherheitsgruppen zu App Builder Sicherheitsgruppen, melden Sie sich zunächst bei App Builder als Administrator.

1. Navigieren Sie zur IDE
2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
3. Klicken Sie auf die Tab Identitäten
4. Suchen Sie im Bereich Providergruppen die Okta-Gruppe und klicken Sie auf das Symbol Details (Popup).
5. Klicken Sie auf die Schaltfläche Bearbeiten
6. Wählen Sie aus der Gruppe-Liste die App Builder Gruppe
7. Klicken Sie auf die Schaltfläche Speichern

Bitte beachten Sie die Benutzer- und Gruppenbereitstellung für weitere Informationen.

Ohne Benutzerbereitstellung

Wenn Sie die Benutzerbereitstellung nicht aktiviert haben, schlägt die Authentifizierung mit einer Meldung ähnlich der folgenden fehl:

Obwohl Sie sich erfolgreich bei Okta authentifiziert haben, wird das Konto arthur.dent@example.com(arthur.dent@example.com) ist keinem lokalen Konto zugeordnet.

In der obigen Nachricht arthur.dent@example.com ist der Okta-Benutzername (bei der Anspruchsauthentifizierung „Name“ genannt). Der Teil in Klammern ist der Okta-Namensbezeichner (bei der Anspruchsauthentifizierung „Namensbezeichner“ genannt). Sie benötigen diese beiden Informationen für den nächsten Schritt.

Zur Karte an App Builder Benutzerkonto zu einer Okta Identität, melden Sie sich zunächst an App Builder als Administrator:

1. Navigieren Sie zur IDE
2. Klicken Sie auf die Schaltfläche Benutzerverwaltung
3. Suchen Sie im Bereich Benutzer den Benutzer, den Sie zuordnen möchten, und wählen Sie ihn aus
4. Klicken Sie im Bereich Identitäten auf die Schaltfläche + Identität

5. Geben Sie Folgendes an:

   • Anbieter: Security Provider Name\

     Beispiel: Okta

   • Name: Okta User Name(siehe oben)

   • Kennung: Okta Name Identifier(siehe oben)

6. Klicken Sie auf das Symbol Speichern (Häkchen)

Fehlerbehebung

Nach der Anmeldung wird der Benutzer zurück zur Anmeldeseite geleitet.

Wenn Benutzerbereitstellung aktiviert wurde, wurde der Benutzer möglicherweise erstellt, aber keiner Gruppe zugewiesen, oder den Gruppen, denen der Benutzer zugewiesen wurde, wurde kein Zugriff auf App Builder Anwendungen. Die einzige Gruppe, die neuen Benutzern standardmäßig zugewiesen wird (d. h. die Option Beim Erstellen eines Benutzers gewähren ist aktiviert), ist die Gruppe „Benutzer“. Dieser Gruppe wird standardmäßig kein Zugriff auf Anwendungen gewährt.

Wenn die Option Mitgliedschaft in der Zubehörgruppe aktiviert wurde, App Builder hat die Okta Gruppen registriert. Melden Sie sich als Administrator an und ordnen Sie die Okta Gruppen zu App Builder Sicherheitsgruppen. Wenn die Option Supplies Group Membership nicht aktiviert wurde, verfügt der Okta Sicherheitsanbieter über keine Gruppen. Melden Sie sich als Administrator an und definieren Sie eine oder mehrere Okta-Sicherheitsanbietergruppen mit aktivierter Option Grant On Identity Create und ordnen Sie die Anbietergruppen zu App Builder Sicherheitsgruppen.

Wenn der Sicherheitsanbieter „HTTPS erforderlich“ nicht aktiviert wurde, kann der Benutzer den SAML -SSO-Prozess von einer nicht sicheren URL aus starten (z. B. http://example.com/App Builder/). Der Identitätsanbieter gibt den Benutzer jedoch an die sichere Assertion Consumer Service (ACS) URL zurück (https://example.com/App Builder/signin-Okta). App Builder authentifiziert den Benutzer im Kontext der sicheren URL, bevor er zur nicht sicheren URL zurückgeleitet wird. Der Benutzer hat also zwei separate Sitzungen. Um dieses Problem zu beheben, aktivieren Sie den Sicherheitsanbieter „HTTPS erforderlich“.

Die Okta Anwendung ist möglicherweise deaktiviert.

Fehler: „Die Zielgruppenbeschränkungsbedingung war ungültig, da die angegebene Zielgruppe nicht in den Zielgruppenuris vorhanden ist.“

Dieser Fehler weist darauf hin, dass die Zielgruppen-URI nicht übereinstimmt. Stellen Sie sicher, dass die Zielgruppen-Eigenschaft explizit festgelegt wurde. Wenn sie nicht festgelegt ist, wird standardmäßig die aktuelle URL verwendet, die je nach Benutzer unterschiedlich sein kann. Bei dem Wert wird die Groß-/Kleinschreibung beachtet.

Fehler: „Am Ende der Pipeline wurde eine unbehandelte Ausnahme abgefangen.“

Dieser Fehler kann auf eine Nichtübereinstimmung zwischen dem konfigurierten Empfänger-Wert und dem erwarteten Empfängerwert in hinweisen. App Builder. Stellen Sie sicher, dass der Empfängerwert richtig konfiguriert ist.