Configurando Okta
Okta es un proveedor de identidad (IdP) que admite la autenticación de inicio de sesión único (SSO) SAML. App Builder se integra con Okta como proveedor de servicios (SP). Cada uno App Builder la instancia debe estar integrada con Okta y viceversa. Hay tres tareas principales involucradas:
- Registrarse App Builder como una aplicación de Okta.
- Configurar Okta como an App Builder proveedor de seguridad.
- Mapa App Builder usuarios a las identidades de Okta.
Se supone que su organización ya tiene una cuenta Okta existente.
Las instrucciones a continuación se referirán a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
App Builder URL de la aplicación | https://example.com/App Builder/ | La URL desde la que App Builder está alojado. Incluye la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas. |
Nombre del proveedor de seguridad | Okta | Cada App Builder se le asigna un nombre lógico al proveedor de seguridad. Este nombre se utiliza en la URL del servicio de consumidor de aserciones. |
URL del servicio de aserción al consumidor | https://example.com/App Builder/iniciar sesión-Okta | App Builder aprovisiona automáticamente un extremo de Assertion Consumer Service (ACS) para los proveedores de seguridad de inicio de sesión único (SSO) SAML. Okta se refiere a la URL de ACS como " URL de publicación posterior" o " URL de inicio de sesión único". Tenga en cuenta que el nombre del proveedor aparece en la URL. |
Registro App Builder como una Aplicación de Okta
El siguiente documento de Okta describe cómo registrar una aplicación SAML : https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta
-
Durante el proceso de configuración, se le solicitará la siguiente información:
-
Nombre: App Builder nombre del ambiente.
Ejemplo: App Builder desarrollo
-
URL de inicio de sesión único: corresponde a la
Assertion Consumer Service URL
.\Ejemplo:
https://example.com/App Builder/signin-Okta
-
URI de audiencia: Aunque la URI de audiencia es arbitraria, Okta y App Builder debe utilizar la misma URI de audiencia. Considere utilizar la
App Builder app URL
.\Ejemplo:
https://example.com/App Builder/
. -
Formato de identificación del nombre:
EmailAddress
- Nombre de usuario de la aplicación:
Okta username
-
-
Puede proporcionar asignaciones de reclamaciones opcionales de Declaraciones de atributos o Declaraciones de atributos de grupo. Las reclamaciones que se asignan comúnmente incluyen:
- Dirección de Correo - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía de grupo - http://schemas.xmlsoap.org/claims/Group
Nota
Vea Reclamaciones para obtener información adicional sobre reclamaciones.
-
Haga clic en Siguiente, seleccione Soy un cliente de Okta que agrega una aplicación interna y haga clic en Finalizar.
-
Una vez creada la aplicación Okta, copie y guarde los siguientes valores para referencia posterior:
- URL de metadatos. Ejemplo:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
- URL de inicio de sesión. Ejemplo:
https://example.okta.com/app/abcdef012345/sso/saml
- Emisor. Ejemplo:
http://www.okta.com/abcdef012345
- URL de metadatos. Ejemplo:
Configurar Okta Como an App Builder proveedor de Seguridad
Para configurar Okta como an App Builder proveedor de seguridad, comience iniciando sesión App Builder como administrador.
- Navegue hasta el IDE
- Seleccione el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
-
Nombre:
Security Provider Name
(ver arriba)Ejemplo: * Okta*
-
Tipo: * SAML*
- Habilitado: Marcar
-
-
Haga clic en el botón Guardar
-
En la sección Tokens, proporcione lo siguiente:
-
Audiencia:
Audience URI
(ver arriba)Ejemplo:
https://example.com/App Builder/
-
Destinatario:
Single sign-on URL
(ver arriba)Ejemplo:
https://example.com/App Builder/signin-Okta
-
Emisor:
Issuer
(ver arriba)Ejemplo:
http://www.okta.com/abcdef012345
-
-
Haga clic en el botón Guardar
-
En la sección Aprovisionamiento, confirme las siguientes configuraciones:
- Aprovisionamiento de usuarios: Marcar
- Membresía del grupo de suministros: Consultar
- Reclamos de la tienda: Consultar
-
En el panel Extremos, haga clic en el botón + Extremo
-
Proporcione lo siguiente:
- Tipo: Extremo de metadatos
-
URL:
Metadata URL
(ver arriba)Ejemplo:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
-
Haga clic en el botón Guardar
- En el panel Reclamos, deberá asignar cualquier reclamo de Okta en App Builder. Por ejemplo, para asignar las reclamaciones de grupo y dirección de correo electrónico, haga clic en el botón + Reclamación
-
Proporcione lo siguiente:
-
Identificador: Nombre del tipo de reclamación.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group
-
Uso: Uso del tipo de reclamo.
Ejemplo: Grupo
-
-
Haga clic en el botón Guardar
- Salga de la pantalla Reclamo y haga clic en el botón + Reclamo del panel Reclamos
-
Proporcione lo siguiente:
-
Identificador: Nombre del tipo de reclamo.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Uso: Uso del tipo de reclamo.
Ejemplo: Dirección de correo electrónico
-
-
Haga clic en el botón Guardar
- En la sección Iniciar sesión, marque la casilla para habilitar Mostrar en el formulario de inicio de sesión. Esto permite que se muestre un botón Iniciar sesión con Okta en el formulario de inicio de sesión. App Builder página de inicio de sesión.
- Haga clic en el botón Guardar
Mapa App Builder usuarios a Identidades de Okta
Con Aprovisionamiento de Usuarios
Si habilitó el aprovisionamiento de usuarios como se describe arriba e intenta iniciar sesión, es posible que se lo redirija nuevamente a la página de inicio de sesión. App Builder formulario de inicio de sesión con el siguiente mensaje:
La cuenta de usuario (
arthur.dent@example.com
) no ha obtenido acceso a una aplicación.
Aunque App Builder pudo aprovisionar al usuario con éxito, el usuario no tiene acceso a ningún App Builder aplicaciones de forma predeterminada. Suponiendo que el usuario de Okta se haya agregado a uno o más grupos y que la membresía del grupo de suministros esté habilitada (como se describe anteriormente), deberá asignar los grupos de seguridad de Okta a App Builder grupos de seguridad.
Para asignar grupos de seguridad de Okta a App Builder grupos de seguridad, comience iniciando sesión App Builder como administrador.
- Navegue hasta el IDE
- Haga clic en el botón Administración de usuarios
- Haga clic en la pestaña Identidades
- En el panel Grupos de proveedores, ubique el grupo Okta y haga clic en el ícono Detalles (ventana emergente)
- Haga clic en el botón Editar
- De la lista Grupo, seleccione el App Builder grupo
- Haga clic en el botón Guardar
Consulte Aprovisionamiento de usuarios y grupos para obtener información adicional.
Sin Aprovisionamiento de Usuarios
Si no ha habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:
Aunque se haya autenticado correctamente con Okta, la cuenta
arthur.dent@example.com
(arthur.dent@example.com
) no está asociado a una cuenta local.
En el mensaje anterior, arthur.dent@example.com
es el Nombre de usuario de Okta (llamado "nombre" en la autenticación de reclamaciones). La parte entre paréntesis es el Identificador de nombre de Okta (llamado "identificador de nombre" en la autenticación de reclamaciones). Necesitará estos dos datos para el siguiente paso.
Para mapear an App Builder cuenta de usuario a una identidad Okta, comience iniciando sesión en App Builder como administrador:
- Navegue hasta el IDE
- Haga clic en el botón Administración de usuarios
- En el panel Usuarios, busque y seleccione el usuario que desea asignar
- En el panel Identidades, haga clic en el botón + Identidad
-
Proporcione lo siguiente:
-
Proveedor:
Security Provider Name
\Ejemplo: * Okta*
-
Nombre:
Okta User Name
(ver arriba) - Identificador:
Okta Name Identifier
(ver arriba)
-
-
Haga clic en el ícono Guardar (Marcar la casilla)
Solución de Problemas
El Usuario Es Redirigido Nuevamente a la Página de Inicio de Sesión Después de Iniciar Sesión.
Si se ha habilitado el Aprovisionamiento de usuarios, es posible que el usuario haya sido creado pero no asignado a ningún grupo, o que los grupos a los que se ha asignado el usuario no hayan tenido acceso a ninguno de ellos. App Builder aplicaciones. El único grupo asignado a los nuevos usuarios de forma predeterminada (es decir, que tiene habilitada la opción Otorgar al crear usuario) es el grupo Usuarios. A este grupo no se le otorga acceso a ninguna aplicación de forma predeterminada.
Si se ha habilitado la opción Membresía del grupo de suministros, App Builder habrá registrado los grupos de Okta. Inicie sesión como administrador y asigne los grupos de Okta a App Builder grupos de seguridad. Si no se ha habilitado la opción Supplies Group Membership, el proveedor de seguridad de Okta no tendrá ningún grupo. Inicie sesión como administrador y defina uno o más grupos de proveedores de seguridad de Okta con la opción Grant On Identity Create habilitada y asigne los grupos de proveedores a App Builder grupos de seguridad.
Si no se ha habilitado el proveedor de seguridad Requerir HTTPS, el usuario puede iniciar el proceso SSO SAML desde una URL no segura (por ejemplo, http://example.com/App Builder/
). Sin embargo, el proveedor de identidad devolverá al usuario a la URL segura del servicio de consumidor de aserciones (ACS) (https://example.com/App Builder/signin-Okta
). App Builder autentica al usuario en el contexto de la URL segura antes de devolverlo a la URL no segura. En efecto, el usuario tiene dos sesiones independientes. Para solucionar este problema, habilite el proveedor de seguridad Requerir HTTPS.
La aplicación Okta puede estar desactivada.
Error: "la Condición de Restricción de Audiencia No Era Válida Porque la Audiencia Especificada No Está Presente en Audienceuris".
Este error indica que la URL de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. Si no se configura, se utilizará de forma predeterminada la URL actual, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.
Error: "se Detectó una Excepción No Controlada al Final de la Canalización".
Este error puede indicar una falta de coincidencia entre el valor Destinatario configurado y el valor Destinatario esperado en App Builder asegúrese de que el valor del Destinatario esté configurado correctamente.