Configuración de Okta en Jitterbit App Builder

Okta es un proveedor de identidad (IdP) compatible con la autenticación de inicio de sesión único (SSO) SAML. App Builder se integra con Okta como proveedor de servicios (SP). Cada instancia de App Builder debe estar integrada con Okta y viceversa. Consiste en tres tareas principales:

1. Registre App Builder como una aplicación de Okta.
2. Configure Okta como proveedor de seguridad de App Builder.
3. Asigne usuarios de App Builder a las identidades de Okta.

Se supone que su organización ya tiene una cuenta Okta existente.

Las instrucciones a continuación se referirán a las siguientes propiedades:

Registrar App Builder como una aplicación de Okta

El siguiente documento de Okta describe cómo registrar una aplicación SAML : https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Durante el proceso de configuración, se le solicitará la siguiente información:

   • Nombre: Nombre del ambiente de App Builder .\

     Ejemplo: * Desarrollo de App Builder *

   • URL de inicio de sesión único: Corresponde a la Assertion Consumer Service URL.\

     Ejemplo: https://example.com/App Builder/signin-Okta

   • URI de audiencia: Aunque la URI de audiencia es arbitraria, Okta y App Builder deben usar la misma URI de audiencia. Considere usar la App Builder App URL.\

     Ejemplo: https://example.com/App Builder/.

   • Formato de identificación del nombre: EmailAddress

   • Nombre de usuario de la aplicación: Okta username

2. Puede proporcionar asignaciones de notificaciones opcionales de Declaraciones de Atributo o Declaraciones de Atributo de Grupo. Las notificaciones comúnmente asignadas incluyen:

   • Dirección de Correo - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Membresía de grupo - http://schemas.xmlsoap.org/claims/Group

   Nota

   Vea Reclamaciones para obtener información adicional sobre reclamaciones.

3. Haga clic en Siguiente, seleccione Soy un cliente de Okta que agrega una aplicación interna y haga clic en Finalizar.

4. Una vez creada la aplicación Okta, copie y guarde los siguientes valores para consultarlos más adelante:

   • URL de metadatos. Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • URL de inicio de sesión. Ejemplo: https://example.okta.com/app/abcdef012345/sso/saml
   • Emisor. Ejemplo: http://www.okta.com/abcdef012345

Configurar Okta como proveedor de seguridad de App Builder

Para configurar Okta como proveedor de seguridad de App Builder, comience iniciando sesión en App Builder como administrador.

1. Navegue hasta el IDE
2. Seleccione el botón Proveedores de seguridad
3. En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario

4. Proporcione lo siguiente:

   • Nombre: Security Provider Name (ver arriba)

     Ejemplo: * Okta*

   • Tipo: * SAML*

   • Habilitado: Marcar

5. Haga clic en el botón Guardar

6. En la sección Tokens, proporcione lo siguiente:

   • Público: Audience URI(ver arriba)

     Ejemplo: https://example.com/App Builder/

   • Destinatario: Single sign-on URL(ver arriba)

     Ejemplo: https://example.com/App Builder/signin-Okta

   • Emisor: Issuer(ver arriba)

     Ejemplo: http://www.okta.com/abcdef012345

7. Haga clic en el botón Guardar

8. En la sección Aprovisionamiento, confirme las siguientes configuraciones:

   • Aprovisionamiento de usuarios: Marcar
   • Membresía de grupo de suministros: Consultar
   • Reclamaciones de la tienda: Consultar

9. En el panel Extremos, haga clic en el botón + Extremo

10. Proporcione lo siguiente:

    • Tipo: * Extremo de metadatos *

    • URL: Metadata URL(ver arriba)

      Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Haga clic en el botón Guardar

12. En el panel Reclamaciones, deberá asignar las reclamaciones de Okta en App Builder. Por ejemplo, para asignar las reclamaciones de Grupo y Dirección de correo electrónico, haga clic en el botón + Reclamación.

13. Proporcione lo siguiente:

    • Identificador: Nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Uso: Uso del tipo de reclamación.

      Ejemplo: Grupo

14. Haga clic en el botón Guardar.

15. Salga de la pantalla de Reclamaciones y haga clic en el botón + Reclamación del panel Reclamaciones.

16. Indique la siguiente información:

    • Identificador: Nombre del tipo de reclamación.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso del tipo de reclamación.

      Ejemplo: Dirección de correo electrónico

17. Haga clic en el botón Guardar

18. En la sección Iniciar sesión, marque la opción Mostrar en el formulario de inicio de sesión. Esto activará el botón Iniciar sesión con Okta para que aparezca en la página de inicio de sesión de App Builder.
19. Haga clic en el botón Guardar

Asignar usuarios de App Builder a identidades de Okta

Con aprovisionamiento de usuarios

Si ha habilitado el aprovisionamiento de usuarios como se describe anteriormente e intenta iniciar sesión, es posible que se lo redirija nuevamente al formulario de inicio de sesión de App Builder con el siguiente mensaje:

La cuenta de usuario (arthur.dent@example.com) no se le ha concedido acceso a una aplicación.

Aunque App Builder pudo aprovisionar al usuario correctamente, este no tiene acceso a ninguna aplicación de App Builder por defecto. Suponiendo que el usuario de Okta se haya añadido a uno o más grupos y que la membresía del grupo de suministros esté habilitada (como se describió anteriormente), deberá asignar los grupos de seguridad de Okta a los grupos de seguridad de App Builder.

Para asignar grupos de seguridad de Okta a grupos de seguridad de App Builder, comience por iniciar sesión en App Builder como administrador.

1. Navegue hasta el IDE
2. Haga clic en el botón Administración de usuarios
3. Haga clic en la pestaña Identidades
4. En el panel Grupos de proveedores, ubique el grupo Okta y haga clic en el ícono Detalles (ventana emergente)
5. Haga clic en el botón Editar
6. En la lista Grupo, seleccione el grupo App Builder
7. Haga clic en el botón Guardar

Consulte Aprovisionamiento de usuarios y grupos para obtener más información.

Sin aprovisionamiento de usuarios

Si no ha habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:

Aunque se haya autenticado exitosamente con Okta, la cuenta arthur.dent@example.com(arthur.dent@example.com) no está asociado a una cuenta local.

En el mensaje anterior, arthur.dent@example.com es el Nombre de Usuario de Okta (llamado "nombre" en la autenticación de reclamaciones). La parte entre paréntesis es el Identificador de Nombre de Okta (llamado "identificador de nombre" en la autenticación de reclamaciones). Necesitará estos dos datos para el siguiente paso.

Para asignar una cuenta de usuario de App Builder a una identidad de Okta, comience iniciando sesión en App Builder como administrador:

1. Navegue hasta el IDE
2. Haga clic en el botón Administración de usuarios
3. En el panel Usuarios, localice y seleccione el usuario que desea asignar
4. En el panel Identidades, haga clic en el botón + Identidad

5. Proporcione lo siguiente:

   • Proveedor: Security Provider Name\

     Ejemplo: * Okta*

   • Nombre: Okta User Name(ver arriba)

   • Identificador: Okta Name Identifier(ver arriba)

6. Haga clic en el icono Guardar (Marcar)

Solución de problemas

El usuario es redirigido nuevamente a la página de inicio de sesión después de iniciar sesión.

Si se ha habilitado el Aprovisionamiento de Usuarios, es posible que el usuario se haya creado, pero no se haya asignado a ningún grupo, o que los grupos a los que se le ha asignado no tengan acceso a ninguna aplicación de App Builder. El único grupo asignado a los nuevos usuarios por defecto (es decir, con la opción Conceder al crear usuario habilitada) es el grupo Usuarios. Este grupo no tiene acceso a ninguna aplicación por defecto.

Si la opción Suministros de membresía de grupo está activada, App Builder habrá registrado los grupos de Okta. Inicie sesión como administrador y asigne los grupos de Okta a los grupos de seguridad de App Builder. Si no se ha habilitado la opción Suministrar membresía de grupo, el proveedor de seguridad de Okta no tendrá ningún grupo. Inicie sesión como administrador y defina uno o más grupos de proveedores de seguridad de Okta con la opción Otorgar al crear identidad habilitada y asigne los grupos de proveedores a los grupos de seguridad de App Builder.

Si no se ha habilitado el proveedor de seguridad Requerir HTTPS, el usuario puede iniciar el proceso SSO SAML desde una URL no segura (por ejemplo, http://example.com/App Builder/). Sin embargo, el proveedor de identidad devolverá al usuario a la URL segura del servicio de consumidor de aserciones (ACS) (https://example.com/App Builder/signin-Okta) App Builder autentica al usuario en el contexto de la URL segura antes de regresarlo a la URL no segura. De hecho, el usuario tiene dos sesiones independientes. Para solucionar este problema, habilite la opción "Requerir proveedor de seguridad HTTPS".

La aplicación Okta puede estar desactivada.

Error: "La condición de restricción de audiencia no era válida porque la audiencia especificada no está presente en audienceuris".

Este error indica que la URI de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. De lo contrario, se usará la URL actual de forma predeterminada, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.

Error: "se detectó una excepción no controlada al final de la canalización".

Este error puede indicar una discrepancia entre el valor de Destinatario configurado y el valor de Destinatario esperado en App Builder. Asegúrese de que el valor de Destinatario esté configurado correctamente.