Configurando o Okta no Jitterbit App Builder

Okta é um Identity Provider (IdP) que suporta autenticação SAML Single Sign-On (SSO). O App Builder integra-se com o Okta como um Service Provider (SP). Cada instância do App Builder deve ser integrada com o Okta e vice-versa. Há três tarefas principais envolvidas:

1. Registre o App Builder como um aplicativo Okta.
2. Configure o Okta como um provedor de segurança do App Builder.
3. Mapeie usuários do App Builder para identidades do Okta.

Presume-se que sua organização já tenha uma conta Okta.

As instruções abaixo farão referência às seguintes propriedades:

	Exemplo	Notas
URL do aplicativo App Builder	https://example.com/App Builder/	A URL da qual o App Builder é hospedado. Inclui a barra final. O caminho diferencia maiúsculas de minúsculas.
Nome do Provedor de Segurança	Okta	Cada provedor de segurança do App Builder recebe um nome lógico. Esse nome é usado no URL do Assertion Consumer Service.
URL do Assertion Consumer Service	https://example.com/App Builder/signin-Okta	O App Builder provisiona automaticamente um endpoint do Assertion Consumer Service (ACS) para provedores de segurança SAML Single Sign-On (SSO). O Okta se refere à URL do ACS como "Post Back URL" ou "Single sign on URL". Observe que o Nome do Provedor aparece na URL.

Registre o App Builder como um aplicativo Okta

O seguinte documento Okta descreve como registrar um aplicativo SAML : https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Durante o processo de configuração, você será solicitado a fornecer as seguintes informações:

   • Nome: Nome do ambiente do App Builder .\

     Exemplo: * Desenvolvimento do App Builder *

   • URL de logon único: Corresponde ao Assertion Consumer Service URL.\

     Exemplo: https://example.com/App Builder/signin-Okta

   • URI do público: Embora o URI do público seja arbitrário, o Okta e o App Builder devem usar o mesmo URI do público. Considere usar o App Builder App URL.\

     Exemplo: https://example.com/App Builder/.

   • Formato de ID de nome: EmailAddress

   • Nome de usuário do aplicativo: Okta username

2. Você pode fornecer mapeamentos de reivindicação opcionais de Declarações de Atributos ou Declarações de Atributos de Grupo. As reivindicações comumente mapeadas incluem:

   • Endereço de Email - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Associação de Grupo - http://schemas.xmlsoap.org/claims/Group

   Nota

   Veja Reivindicações para obter informações adicionais sobre reivindicações.

3. Clique em Avançar, selecione Sou um cliente Okta adicionando um aplicativo interno e clique em Concluir.

4. Depois que o aplicativo Okta for criado, copie e armazene os seguintes valores para referência posterior:

   • URL de metadados. Exemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • URL de login. Exemplo: https://example.okta.com/app/abcdef012345/sso/saml
   • Emissor. Exemplo: http://www.okta.com/abcdef012345

Configurar o Okta como um provedor de segurança do App Builder

Para configurar o Okta como um provedor de segurança do App Builder, comece entrando no App Builder como administrador.

1. Navegue até o IDE
2. Selecione o botão Provedores de segurança
3. No painel Autenticação do usuário, clique no botão + Autenticação do usuário

4. Forneça o seguinte:

   • Nome: Security Provider Name (veja acima)\

     Exemplo: * Okta*

   • Tipo: * SAML*

   • Habilitado: Verificar

5. Clique no botão Salvar

6. Na seção Tokens, forneça o seguinte:

   • Público: Audience URI(veja acima)

     Exemplo: https://example.com/App Builder/

   • Destinatário: Single sign-on URL(veja acima)

     Exemplo: https://example.com/App Builder/signin-Okta

   • Emissor: Issuer(veja acima)

     Exemplo: http://www.okta.com/abcdef012345

7. Clique no botão Salvar

8. Na seção Provisionamento, confirme as seguintes configurações:

   • Provisionamento de usuário: Verificar
   • Associação ao Grupo de Suprimentos: Verificar
   • Reivindicações da loja: Verifique

9. No painel Endpoints, clique no botão + Endpoint

10. Forneça o seguinte:

    • Tipo: * Endpoint de metadados*

    • URL: Metadata URL(veja acima)

      Exemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Clique no botão Salvar

12. No painel Claims, você precisará mapear quaisquer claims do Okta no App Builder. Por exemplo, para mapear as claims de Group e Email Address, clique no botão + Claim

13. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Uso: Uso do tipo de reivindicação.

      Exemplo: Grupo

14. Clique no botão Salvar

15. Saia da tela de reivindicação e clique no botão + Reivindicação no painel Reivindicações

16. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso do tipo de declaração.

      Exemplo: Endereço de email

17. Clique no botão Salvar

18. Na seção Sign In, marque para habilitar Show On Login Form. Isso habilita um botão Sign in with Okta para ser exibido na página de login do App Builder.
19. Clique no botão Salvar

Mapear usuários do App Builder para identidades Okta

Com provisionamento de usuário

Se você habilitou o provisionamento de usuários conforme descrito acima e tentar fazer login, poderá ser redirecionado de volta ao formulário de login do App Builder com a seguinte mensagem:

A conta do usuário (arthur.dent@example.com) não recebeu acesso a um aplicativo.

Embora o App Builder tenha conseguido provisionar o usuário com sucesso, o usuário não tem acesso a nenhum aplicativo do App Builder por padrão. Supondo que o usuário do Okta tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança do Okta para os grupos de segurança do App Builder.

Para mapear grupos de segurança do Okta para grupos de segurança do App Builder, comece entrando no App Builder como administrador.

1. Navegue até o IDE
2. Clique no botão Gerenciamento de usuários
3. Clique na aba Identidades
4. No painel Grupos de provedores, localize o grupo Okta e clique no ícone Detalhes (Popup)
5. Clique no botão Editar
6. Na lista Grupo, selecione o grupo App Builder
7. Clique no botão Salvar

Consulte Provisionamento de usuários e grupos para obter informações adicionais.

Sem provisionamento de usuário

Se você não tiver habilitado o provisionamento de usuários, a autenticação falhará com uma mensagem semelhante à seguinte:

Embora você tenha se autenticado com sucesso no Okta, a conta arthur.dent@example.com(arthur.dent@example.com) não está associado a uma conta local.

Na mensagem acima, arthur.dent@example.com é o Okta User Name (chamado de "nome" na autenticação de claims). A parte entre parênteses é o Okta Name Identifier (chamado de "name identifier" na autenticação de claims). Você precisará dessas duas informações para a próxima etapa.

Para mapear uma conta de usuário do App Builder para uma identidade do Okta, comece entrando no App Builder como administrador:

1. Navegue até o IDE
2. Clique no botão Gerenciamento de usuários
3. No painel Usuários, localize e selecione o usuário que você deseja mapear
4. No painel Identidades, clique no botão + Identidade

5. Forneça o seguinte:

   • Provedor: Security Provider Name\

     Exemplo: * Okta*

   • Nome: Okta User Name(veja acima)

   • Identificador: Okta Name Identifier(veja acima)

6. Clique no ícone Salvar (Verificar)

Solução de problemas

O usuário é redirecionado de volta para a página de login após efetuar login.

Se User Provisioning tiver sido habilitado, o usuário pode ter sido criado, mas não atribuído a nenhum grupo ou os grupos aos quais o usuário foi atribuído não receberam acesso a nenhum aplicativo do App Builder. O único grupo atribuído a novos usuários por padrão (ou seja, tem a opção Conceder na criação do usuário habilitada) é o grupo Usuários. Esse grupo não recebe acesso a nenhum aplicativo por padrão.

Se a opção Supplies Group Membership tiver sido habilitada, o App Builder terá registrado os grupos Okta. Entre como administrador e mapeie os grupos Okta para os grupos de segurança do App Builder. Se a opção Supplies Group Membership não tiver sido habilitada, o provedor de segurança Okta não terá nenhum grupo. Entre como administrador e defina um ou mais grupos de provedores de segurança Okta com a opção Grant On Identity Create habilitada e mapeie os grupos de provedores para grupos de segurança do App Builder.

Se o provedor de segurança Require HTTPS não tiver sido habilitado, o usuário poderá iniciar o processo SAML SSO de uma URL não segura (por exemplo, http://example.com/App Builder/). No entanto, o Provedor de Identidade retornará o usuário ao URL seguro do Assertion Consumer Service (ACS) (https://example.com/App Builder/signin-Okta). O App Builder autentica o usuário no contexto da URL segura antes de retornar o usuário para a URL não segura. Na verdade, o usuário tem duas sessões separadas. Para resolver esse problema, habilite o provedor de segurança Require HTTPS.

O aplicativo Okta pode estar desativado.

Erro: "a audiencerestrictioncondition não era válida porque o público especificado não está presente em audienceuris."

Este erro indica que o URI do público não corresponde. Certifique-se de que a propriedade Audience tenha sido definida explicitamente. Se não for definida, o padrão será o URL atual, que pode variar de acordo com o usuário. O valor diferencia maiúsculas de minúsculas.

Erro: "uma exceção não tratada foi capturada no final do pipeline."

Este erro pode indicar uma incompatibilidade entre o valor Recipient configurado e o valor Recipient esperado no App Builder. Certifique-se de que o valor Recipient esteja configurado corretamente.