Configurando o Okta¶

Okta é um provedor de identidade (IdP) que oferece suporte à autenticação SAML Single Sign-On (SSO). App Builder integra-se com Okta como um Provedor de Serviços (SP). Cada App Builder instância deve ser integrada com Okta e vice-versa. Há três tarefas principais envolvidas:

1. Registre-se App Builder como um aplicativo Okta.
2. Configure o Okta como an App Builder provedor de segurança.
3. Mapa App Builder usuários para identidades Okta.

Presume-se que sua organização já tenha uma conta Okta.

As instruções abaixo farão referência às seguintes propriedades:

Registrar App Builder como um Aplicativo Okta¶

O seguinte documento Okta descreve como registrar um aplicativo SAML : https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Durante o processo de configuração, você será solicitado a fornecer as seguintes informações:

   • Nome: App Builder nome do ambiente .\

     Exemplo: App Builder desenvolvimento

   • URL de logon único: Corresponde ao Assertion Consumer Service URL.\

     Exemplo: https://example.com/App Builder/signin-Okta

   • URI do público: Embora o URI do público seja arbitrário, Okta e App Builder deve usar o mesmo URI de público. Considere usar o App Builder app URL.

     Exemplo: https://example.com/App Builder/.

   • Formato de ID de nome: EmailAddress

   • Nome de usuário do aplicativo: Okta username

2. Você pode fornecer mapeamentos de reivindicação opcionais de Declarações de Atributos ou Declarações de Atributos de Grupo. As reivindicações comumente mapeadas incluem:

   • Endereço Email - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Associação de Grupo - http://schemas.xmlsoap.org/claims/Group

   Nota

   Veja Reivindicações para obter informações adicionais sobre reivindicações.

3. Clique em Avançar, selecione Sou um cliente Okta adicionando um aplicativo interno e clique em Concluir.

4. Depois que o aplicativo Okta for criado, copie e armazene os seguintes valores para referência posterior:

   • URL de metadados. Exemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • URL de login. Exemplo: https://example.okta.com/app/abcdef012345/sso/saml
   • Emissor. Exemplo: http://www.okta.com/abcdef012345

Configurar Okta Como an App Builder provedor de Segurança¶

Para configurar o Okta como an App Builder provedor de segurança, comece fazendo login App Builder como administrador.

1. Navegue até o IDE
2. Selecione o botão Provedores de Segurança
3. No painel Autenticação do Usuário, clique no botão + Autenticação do Usuário

4. Forneça o seguinte:

   • Nome: Security Provider Name (veja acima)\

     Exemplo: * Okta*

   • Tipo: * SAML*

   • Habilitado: Verificar

5. Clique no botão Salvar

6. Na seção Tokens, forneça o seguinte:

   • Público: Audience URI(veja acima)

     Exemplo: https://example.com/App Builder/

   • Destinatário: Single sign-on URL(veja acima)

     Exemplo: https://example.com/App Builder/signin-Okta

   • Emissor: Issuer(veja acima)

     Exemplo: http://www.okta.com/abcdef012345

7. Clique no botão Salvar

8. Na seção Provisionamento, confirme as seguintes configurações:

   • Provisionamento de usuário: Verificar
   • Associação ao Grupo de Suprimentos: Verificar
   • Reivindicações da loja: Verifique

9. No painel Endpoints, clique no botão + Endpoint

10. Forneça o seguinte:

    • Tipo: * Endpoint de metadados*

    • URL: Metadata URL(veja acima)

      Exemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Clique no botão Salvar

12. No painel Reivindicações, você precisará mapear todas as reivindicações da Okta em App Builder. Por exemplo, para mapear as reivindicações de Grupo e Endereço de Email, clique no botão + Reivindicação

13. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Uso: Uso do tipo de reivindicação.

      Exemplo: Grupo

14. Clique no botão Salvar

15. Saia da tela de reivindicação e clique no botão + Reivindicação no painel Reivindicações

16. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso do tipo de declaração.

      Exemplo: Endereço de email

17. Clique no botão Salvar

18. Na seção Entrar, marque para habilitar Mostrar no formulário de login. Isso habilita um botão Entrar com Okta para ser exibido no App Builder página de login.
19. Clique no botão Salvar

Mapa App Builder usuários para Identidades Okta¶

Com Provisionamento de Usuário¶

Se você habilitou o provisionamento de usuários conforme descrito acima e tentar fazer login, você poderá ser redirecionado de volta para o App Builder formulário de login com a seguinte mensagem:

A conta do usuário (arthur.dent@example.com) não recebeu acesso a um aplicativo.

Embora App Builder conseguiu provisionar o usuário com sucesso, o usuário não tem acesso a nenhum App Builder aplicativos por padrão. Supondo que o usuário Okta tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança Okta para App Builder grupos de segurança.

Para mapear grupos de segurança Okta para App Builder grupos de segurança, comece fazendo login em App Builder como administrador.

1. Navegue até o IDE
2. Clique no botão Gerenciamento de usuários
3. Clique na aba Identidades
4. No painel Grupos de provedores, localize o grupo Okta e clique no ícone Detalhes (Popup)
5. Clique no botão Editar
6. Na lista Grupo, selecione o App Builder grupo
7. Clique no botão Salvar

Consulte Provisionamento de usuários e grupos para obter informações adicionais.

Sem Provisionamento de Usuário¶

Se você não tiver habilitado o provisionamento de usuários, a autenticação falhará com uma mensagem semelhante à seguinte:

Embora você tenha se autenticado com sucesso no Okta, a conta arthur.dent@example.com(arthur.dent@example.com) não está associado a uma conta local.

Na mensagem acima, arthur.dent@example.com é o Okta User Name (chamado de "nome" na autenticação de claims). A parte entre parênteses é o Okta Name Identifier (chamado de "name identifier" na autenticação de claims). Você precisará dessas duas informações para a próxima etapa.

Para mapear an App Builder conta de usuário para uma identidade Okta, comece fazendo login App Builder como administrador:

1. Navegue até o IDE
2. Clique no botão Gerenciamento de usuários
3. No painel Usuários, localize e selecione o usuário que você gostaria de mapear
4. No painel Identidades, clique no botão + Identidade

5. Forneça o seguinte:

   • Provedor: Security Provider Name\

     Exemplo: * Okta*

   • Nome: Okta User Name(veja acima)

   • Identificador: Okta Name Identifier(veja acima)

6. Clique no ícone Salvar (Verificar)

Solução de Problemas¶

O Usuário é Redirecionado de Volta para a Página de Login Após Efetuar Login.¶

Se o Provisionamento de Usuário foi habilitado, então o usuário pode ter sido criado, mas não atribuído a nenhum grupo ou os grupos aos quais o usuário foi atribuído não receberam acesso a nenhum App Builder aplicativos. O único grupo atribuído a novos usuários por padrão (ou seja, tem a opção Conceder na criação de usuário habilitada) é o grupo Usuários. Este grupo não tem acesso concedido a nenhum aplicativo por padrão.

Se a opção Associação ao grupo de suprimentos tiver sido habilitada, App Builder terá registrado os grupos Okta. Entre como administrador e mapeie os grupos Okta para App Builder grupos de segurança. Se a opção Supplies Group Membership não tiver sido habilitada, o provedor de segurança Okta não terá nenhum grupo. Entre como administrador e defina um ou mais grupos de provedores de segurança Okta com a opção Grant On Identity Create habilitada e mapeie os grupos de provedores para App Builder grupos de segurança.

Se o provedor de segurança Require HTTPS não tiver sido habilitado, o usuário poderá iniciar o processo SAML SSO de uma URL não segura (por exemplo, http://example.com/App Builder/). No entanto, o Provedor de Identidade retornará o usuário ao URL seguro do Assertion Consumer Service (ACS) (https://example.com/App Builder/signin-Okta). App Builder autentica o usuário no contexto da URL segura antes de retornar o usuário para a URL não segura. Na verdade, o usuário tem duas sessões separadas. Para resolver esse problema, habilite o provedor de segurança Require HTTPS.

O aplicativo Okta pode estar desativado.

Erro: "a Audiencerestrictioncondition Não Era Válida Porque o Público Especificado Não Está Presente em Audienceuris."¶

Este erro indica que o URI do público não corresponde. Certifique-se de que a propriedade Audience tenha sido definida explicitamente. Se não for definida, o padrão será o URL atual, que pode variar de acordo com o usuário. O valor diferencia maiúsculas de minúsculas.

Erro: "uma Exceção Não Tratada Foi Capturada no Final do Pipeline."¶

Este erro pode indicar uma incompatibilidade entre o valor Recipient configurado e o valor Recipient esperado em App Builder. Certifique-se de que o valor do Destinatário esteja configurado corretamente.