Configurando Okta en Jitterbit App Builder

Okta es un Proveedor de Identidad (IdP) que soporta la autenticación SAML de Inicio de Sesión Único (SSO). App Builder se integra con Okta como un Proveedor de Servicios (SP). Cada instancia de App Builder debe estar integrada con Okta y viceversa. Hay tres tareas principales involucradas:

1. Registrar App Builder como una aplicación de Okta.
2. Configurar Okta como un proveedor de seguridad de App Builder.
3. Mapear usuarios de App Builder a identidades de Okta.

Se asume que su organización ya tiene una cuenta de Okta existente.

Las instrucciones a continuación se referirán a las siguientes propiedades:

Registrar App Builder como una aplicación de Okta

El siguiente documento de Okta describe cómo registrar una aplicación SAML: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Durante el proceso de configuración, se le pedirá la siguiente información:

   • Nombre: Nombre del entorno de App Builder.\

     Ejemplo: App Builder Development

   • URL de inicio de sesión único: Corresponde a la Assertion Consumer Service URL.\

     Ejemplo: https://example.com/Vinyl/signin-Okta

   • URI de audiencia: Aunque el URI de audiencia es arbitrario, Okta y App Builder deben usar el mismo URI de audiencia. Considere usar la App Builder App URL.\

     Ejemplo: https://example.com/Vinyl/.

   • Formato de ID de nombre: EmailAddress

   • Nombre de usuario de la aplicación: Okta username

2. Puede proporcionar asignaciones de reclamos opcionales de Attribute Statements o Group Attribute Statements. Los reclamos comúnmente mapeados incluyen:

   • Dirección de correo electrónico - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Membresía de grupo - http://schemas.xmlsoap.org/claims/Group

   Nota

   Consulte Claims para obtener información adicional sobre los reclamos.

3. Haga clic en Siguiente, seleccione Soy un cliente de Okta que agrega una aplicación interna, y haga clic en Finalizar.

4. Una vez que se haya creado la aplicación de Okta, copie y guarde los siguientes valores para referencia futura:

   • URL de metadatos. Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • URL de inicio de sesión. Ejemplo: https://example.okta.com/app/abcdef012345/sso/saml
   • Emisor. Ejemplo: http://www.okta.com/abcdef012345

Configurar Okta como un proveedor de seguridad de App Builder

Para configurar Okta como un proveedor de seguridad de App Builder, comienza iniciando sesión en App Builder como administrador.

1. Navega a la IDE
2. Selecciona el botón Security Providers
3. En el panel de User Authentication, haz clic en el botón + User Authentication

4. Proporciona lo siguiente:

   • Name: Security Provider Name (ver arriba)\

     Ejemplo: Okta

   • Type: SAML

   • Enabled: Marca

5. Haz clic en el botón Save

6. En la sección de Tokens, proporciona lo siguiente:

   • Audience: Audience URI (ver arriba)

     Ejemplo: https://example.com/Vinyl/

   • Recipient: Single sign-on URL (ver arriba)

     Ejemplo: https://example.com/Vinyl/signin-Okta

   • Issuer: Issuer (ver arriba)

     Ejemplo: http://www.okta.com/abcdef012345

7. Haz clic en el botón Save

8. En la sección de Provisioning, confirma la siguiente configuración:

   • User Provisioning: Marca
   • Supplies Group Membership: Marca
   • Store Claims: Marca

9. En el panel de Endpoints, haz clic en el botón + Endpoint

10. Proporciona lo siguiente:

    • Type: Metadata Endpoint

    • URL: Metadata URL (ver arriba)

      Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Haz clic en el botón Save

12. En el panel de Claims, necesitarás mapear cualquier reclamo de Okta en App Builder. Por ejemplo, para mapear los reclamos de Grupo y Dirección de Correo Electrónico, haz clic en el botón + Claim

13. Proporciona lo siguiente:

    • Identifier: Nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Usage: Uso del tipo de reclamo.

      Ejemplo: Grupo

14. Haz clic en el botón Save

15. Sal de la pantalla de Reclamos y haz clic en el botón + Claim desde el panel de Claims

16. Proporciona lo siguiente:

    • Identifier: Nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Usage: Uso del tipo de reclamo.

      Ejemplo: Dirección de Correo Electrónico

17. Haz clic en el botón Save

18. En la sección de Sign In, verifica para habilitar Show On Login Form. Esto habilita un botón de Sign in with Okta para mostrar en la página de inicio de sesión de App Builder.
19. Haz clic en el botón Save

Mapear usuarios de App Builder a identidades de Okta

Con aprovisionamiento de usuarios

Si has habilitado el aprovisionamiento de usuarios como se describió anteriormente y intentas iniciar sesión, es posible que seas redirigido de vuelta al formulario de inicio de sesión de App Builder con el siguiente mensaje:

La cuenta de usuario (arthur.dent@example.com) no ha sido autorizada para acceder a una aplicación.

Aunque App Builder pudo aprovisionar al usuario con éxito, el usuario no tiene acceso a ninguna aplicación de App Builder por defecto. Suponiendo que el usuario de Okta ha sido agregado a uno o más grupos y que la membresía de grupo de suministros está habilitada (como se describió anteriormente), necesitarás mapear los grupos de seguridad de Okta a los grupos de seguridad de App Builder.

Para mapear los grupos de seguridad de Okta a los grupos de seguridad de App Builder, comienza iniciando sesión en App Builder como administrador.

1. Navega a la IDE
2. Haz clic en el botón Gestión de Usuarios
3. Haz clic en la pestaña Identidades
4. En el panel Grupos de Proveedor, localiza el grupo de Okta y haz clic en el ícono de Detalles (Popup)
5. Haz clic en el botón Editar
6. En la lista Grupo, selecciona el grupo de App Builder
7. Haz clic en el botón Guardar

Por favor, consulta la Aprovisionamiento de usuarios y grupos para información adicional.

Sin aprovisionamiento de usuarios

Si no has habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:

Aunque has autenticado con éxito con Okta, la cuenta arthur.dent@example.com (arthur.dent@example.com) no está asociada con una cuenta local.

En el mensaje anterior, arthur.dent@example.com es el Nombre de Usuario de Okta (llamado "nombre" en la autenticación de reclamos). La parte entre paréntesis es el Identificador de Nombre de Okta (llamado "identificador de nombre" en la autenticación de reclamos). Necesitarás estas dos piezas de información para el siguiente paso.

Para mapear una cuenta de usuario de App Builder a una identidad de Okta, comienza iniciando sesión en App Builder como administrador:

1. Navega a la IDE
2. Haz clic en el botón User Management (Gestión de Usuarios)
3. En el panel Users (Usuarios), localiza y selecciona al usuario que deseas mapear
4. En el panel Identities (Identidades), haz clic en el botón + Identity (Agregar Identidad)

5. Proporciona lo siguiente:

   • Provider (Proveedor): Security Provider Name (Nombre del Proveedor de Seguridad)\

     Ejemplo: Okta

   • Name (Nombre): Okta User Name (Nombre de Usuario de Okta) (ver arriba)

   • Identifier (Identificador): Okta Name Identifier (Identificador de Nombre de Okta) (ver arriba)

6. Haz clic en el ícono Save (Guardar) (Check)

Troubleshooting "Solución de Problemas"

The user is redirected back to the login page after signing in. "El usuario es redirigido de vuelta a la página de inicio de sesión después de iniciar sesión."

Si se ha habilitado User Provisioning (Provisionamiento de Usuarios), entonces el usuario puede haber sido creado pero no asignado a ningún grupo o los grupos a los que se ha asignado al usuario no han sido autorizados para acceder a ninguna aplicación de App Builder. El único grupo asignado a los nuevos usuarios por defecto (es decir, que tiene habilitada la opción Grant On User Create (Otorgar en la Creación de Usuario)) es el grupo de Usuarios. Este grupo no tiene acceso a ninguna aplicación por defecto.

Si se ha habilitado la opción Supplies Group Membership (Suministrar Membresía de Grupo), App Builder habrá registrado los grupos de Okta. Inicia sesión como administrador y mapea los grupos de Okta a los grupos de seguridad de App Builder.
Si no se ha habilitado la opción Supplies Group Membership, el proveedor de seguridad de Okta no tendrá ningún grupo. Inicia sesión como administrador y define uno o más grupos del proveedor de seguridad de Okta con la opción Grant On Identity Create (Otorgar en la Creación de Identidad) habilitada y mapea los grupos del proveedor a los grupos de seguridad de App Builder.

Si no se ha habilitado el proveedor de seguridad Require HTTPS (Requerir HTTPS), el usuario puede iniciar el proceso SAML SSO desde una URL no segura (por ejemplo, http://example.com/Vinyl/). Sin embargo, el Proveedor de Identidad devolverá al usuario a la URL segura del Servicio de Consumidor de Afirmaciones (ACS) (https://example.com/Vinyl/signin-Okta). App Builder autentica al usuario en el contexto de la URL segura antes de devolver al usuario a la URL no segura. En efecto, el usuario tiene dos sesiones separadas. Para abordar este problema, habilita el proveedor de seguridad Require HTTPS.

La aplicación de Okta puede ser desactivada.

Error: "el audiencerestrictioncondition no era válido porque la audiencia especificada no está presente en audienceuris."

Este error indica que la URI de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. Si no se establece, se predeterminará a la URL actual, que puede variar según el usuario. El valor es sensible a mayúsculas y minúsculas.

Error: "se capturó una excepción no controlada al final del pipeline."

Este error puede indicar un desajuste entre el valor Recipient configurado y el valor esperado de Recipient en App Builder. Asegúrese de que el valor de Recipient esté configurado correctamente.