Configurando Okta en Jitterbit App Builder
Okta es un Proveedor de Identidad (IdP) que soporta la autenticación SAML de Inicio de Sesión Único (SSO). App Builder se integra con Okta como un Proveedor de Servicios (SP). Cada instancia de App Builder debe estar integrada con Okta y viceversa. Hay tres tareas principales involucradas:
- Registrar App Builder como una aplicación de Okta.
- Configurar Okta como un proveedor de seguridad de App Builder.
- Mapear usuarios de App Builder a identidades de Okta.
Se asume que su organización ya tiene una cuenta de Okta existente.
Las instrucciones a continuación se referirán a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
URL de la Aplicación de App Builder | https://example.com/Vinyl/ | La URL desde la cual se hospeda App Builder. Incluye la barra diagonal final. La ruta es sensible a mayúsculas y minúsculas. |
Nombre del Proveedor de Seguridad | Okta | A cada proveedor de seguridad de App Builder se le asigna un nombre lógico. Este nombre se utiliza en la URL del Servicio de Consumidor de Afirmaciones. |
URL del Servicio de Consumidor de Afirmaciones | https://example.com/Vinyl/signin-Okta | App Builder provisiona automáticamente un punto final de Servicio de Consumidor de Afirmaciones (ACS) para proveedores de seguridad de Inicio de Sesión Único (SSO) SAML. Okta se refiere a la URL de ACS como la "URL de Post Back" o "URL de inicio de sesión único". Tenga en cuenta que el Nombre del Proveedor aparece en la URL. |
Registrar App Builder como una aplicación de Okta
El siguiente documento de Okta describe cómo registrar una aplicación SAML: https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta
-
Durante el proceso de configuración, se le pedirá la siguiente información:
-
Nombre: Nombre del entorno de App Builder.\
Ejemplo: App Builder Development
-
URL de inicio de sesión único: Corresponde a la
Assertion Consumer Service URL
.\Ejemplo:
https://example.com/Vinyl/signin-Okta
-
URI de audiencia: Aunque el URI de audiencia es arbitrario, Okta y App Builder deben usar el mismo URI de audiencia. Considere usar la
App Builder App URL
.\Ejemplo:
https://example.com/Vinyl/
. -
Formato de ID de nombre:
EmailAddress
- Nombre de usuario de la aplicación:
Okta username
-
-
Puede proporcionar asignaciones de reclamos opcionales de Attribute Statements o Group Attribute Statements. Los reclamos comúnmente mapeados incluyen:
- Dirección de correo electrónico - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía de grupo - http://schemas.xmlsoap.org/claims/Group
Nota
Consulte Claims para obtener información adicional sobre los reclamos.
-
Haga clic en Siguiente, seleccione Soy un cliente de Okta que agrega una aplicación interna, y haga clic en Finalizar.
-
Una vez que se haya creado la aplicación de Okta, copie y guarde los siguientes valores para referencia futura:
- URL de metadatos. Ejemplo:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
- URL de inicio de sesión. Ejemplo:
https://example.okta.com/app/abcdef012345/sso/saml
- Emisor. Ejemplo:
http://www.okta.com/abcdef012345
- URL de metadatos. Ejemplo:
Configurar Okta como un proveedor de seguridad de App Builder
Para configurar Okta como un proveedor de seguridad de App Builder, comienza iniciando sesión en App Builder como administrador.
- Navega a la IDE
- Selecciona el botón Security Providers
- En el panel de User Authentication, haz clic en el botón + User Authentication
-
Proporciona lo siguiente:
-
Name:
Security Provider Name
(ver arriba)\Ejemplo: Okta
-
Type: SAML
- Enabled: Marca
-
-
Haz clic en el botón Save
-
En la sección de Tokens, proporciona lo siguiente:
-
Audience:
Audience URI
(ver arriba)Ejemplo:
https://example.com/Vinyl/
-
Recipient:
Single sign-on URL
(ver arriba)Ejemplo:
https://example.com/Vinyl/signin-Okta
-
Issuer:
Issuer
(ver arriba)Ejemplo:
http://www.okta.com/abcdef012345
-
-
Haz clic en el botón Save
-
En la sección de Provisioning, confirma la siguiente configuración:
- User Provisioning: Marca
- Supplies Group Membership: Marca
- Store Claims: Marca
-
En el panel de Endpoints, haz clic en el botón + Endpoint
-
Proporciona lo siguiente:
- Type: Metadata Endpoint
-
URL:
Metadata URL
(ver arriba)Ejemplo:
https://www.okta.com/app/abcdef012345/sso/saml/metadata
-
Haz clic en el botón Save
- En el panel de Claims, necesitarás mapear cualquier reclamo de Okta en App Builder. Por ejemplo, para mapear los reclamos de Grupo y Dirección de Correo Electrónico, haz clic en el botón + Claim
-
Proporciona lo siguiente:
-
Identifier: Nombre del tipo de reclamo.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group
-
Usage: Uso del tipo de reclamo.
Ejemplo: Grupo
-
-
Haz clic en el botón Save
- Sal de la pantalla de Reclamos y haz clic en el botón + Claim desde el panel de Claims
-
Proporciona lo siguiente:
-
Identifier: Nombre del tipo de reclamo.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Usage: Uso del tipo de reclamo.
Ejemplo: Dirección de Correo Electrónico
-
-
Haz clic en el botón Save
- En la sección de Sign In, verifica para habilitar Show On Login Form. Esto habilita un botón de Sign in with Okta para mostrar en la página de inicio de sesión de App Builder.
- Haz clic en el botón Save
Mapear usuarios de App Builder a identidades de Okta
Con aprovisionamiento de usuarios
Si has habilitado el aprovisionamiento de usuarios como se describió anteriormente y intentas iniciar sesión, es posible que seas redirigido de vuelta al formulario de inicio de sesión de App Builder con el siguiente mensaje:
La cuenta de usuario (
arthur.dent@example.com
) no ha sido autorizada para acceder a una aplicación.
Aunque App Builder pudo aprovisionar al usuario con éxito, el usuario no tiene acceso a ninguna aplicación de App Builder por defecto. Suponiendo que el usuario de Okta ha sido agregado a uno o más grupos y que la membresía de grupo de suministros está habilitada (como se describió anteriormente), necesitarás mapear los grupos de seguridad de Okta a los grupos de seguridad de App Builder.
Para mapear los grupos de seguridad de Okta a los grupos de seguridad de App Builder, comienza iniciando sesión en App Builder como administrador.
- Navega a la IDE
- Haz clic en el botón Gestión de Usuarios
- Haz clic en la pestaña Identidades
- En el panel Grupos de Proveedor, localiza el grupo de Okta y haz clic en el ícono de Detalles (Popup)
- Haz clic en el botón Editar
- En la lista Grupo, selecciona el grupo de App Builder
- Haz clic en el botón Guardar
Por favor, consulta la Aprovisionamiento de usuarios y grupos para información adicional.
Sin aprovisionamiento de usuarios
Si no has habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:
Aunque has autenticado con éxito con Okta, la cuenta
arthur.dent@example.com
(arthur.dent@example.com
) no está asociada con una cuenta local.
En el mensaje anterior, arthur.dent@example.com
es el Nombre de Usuario de Okta (llamado "nombre" en la autenticación de reclamos). La parte entre paréntesis es el Identificador de Nombre de Okta (llamado "identificador de nombre" en la autenticación de reclamos). Necesitarás estas dos piezas de información para el siguiente paso.
Para mapear una cuenta de usuario de App Builder a una identidad de Okta, comienza iniciando sesión en App Builder como administrador:
- Navega a la IDE
- Haz clic en el botón User Management (Gestión de Usuarios)
- En el panel Users (Usuarios), localiza y selecciona al usuario que deseas mapear
- En el panel Identities (Identidades), haz clic en el botón + Identity (Agregar Identidad)
-
Proporciona lo siguiente:
-
Provider (Proveedor):
Security Provider Name
(Nombre del Proveedor de Seguridad)\Ejemplo: Okta
-
Name (Nombre):
Okta User Name
(Nombre de Usuario de Okta) (ver arriba) - Identifier (Identificador):
Okta Name Identifier
(Identificador de Nombre de Okta) (ver arriba)
-
-
Haz clic en el ícono Save (Guardar) (Check)
Troubleshooting "Solución de Problemas"
The user is redirected back to the login page after signing in. "El usuario es redirigido de vuelta a la página de inicio de sesión después de iniciar sesión."
Si se ha habilitado User Provisioning (Provisionamiento de Usuarios), entonces el usuario puede haber sido creado pero no asignado a ningún grupo o los grupos a los que se ha asignado al usuario no han sido autorizados para acceder a ninguna aplicación de App Builder. El único grupo asignado a los nuevos usuarios por defecto (es decir, que tiene habilitada la opción Grant On User Create (Otorgar en la Creación de Usuario)) es el grupo de Usuarios. Este grupo no tiene acceso a ninguna aplicación por defecto.
Si se ha habilitado la opción Supplies Group Membership (Suministrar Membresía de Grupo), App Builder habrá registrado los grupos de Okta. Inicia sesión como administrador y mapea los grupos de Okta a los grupos de seguridad de App Builder.
Si no se ha habilitado la opción Supplies Group Membership, el proveedor de seguridad de Okta no tendrá ningún grupo. Inicia sesión como administrador y define uno o más grupos del proveedor de seguridad de Okta con la opción Grant On Identity Create (Otorgar en la Creación de Identidad) habilitada y mapea los grupos del proveedor a los grupos de seguridad de App Builder.
Si no se ha habilitado el proveedor de seguridad Require HTTPS (Requerir HTTPS), el usuario puede iniciar el proceso SAML SSO desde una URL no segura (por ejemplo, http://example.com/Vinyl/
). Sin embargo, el Proveedor de Identidad devolverá al usuario a la URL segura del Servicio de Consumidor de Afirmaciones (ACS) (https://example.com/Vinyl/signin-Okta
). App Builder autentica al usuario en el contexto de la URL segura antes de devolver al usuario a la URL no segura. En efecto, el usuario tiene dos sesiones separadas. Para abordar este problema, habilita el proveedor de seguridad Require HTTPS.
La aplicación de Okta puede ser desactivada.
Error: "el audiencerestrictioncondition no era válido porque la audiencia especificada no está presente en audienceuris."
Este error indica que la URI de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. Si no se establece, se predeterminará a la URL actual, que puede variar según el usuario. El valor es sensible a mayúsculas y minúsculas.
Error: "se capturó una excepción no controlada al final del pipeline."
Este error puede indicar un desajuste entre el valor Recipient configurado y el valor esperado de Recipient en App Builder. Asegúrese de que el valor de Recipient esté configurado correctamente.