Konfigurieren von OpenID SSO für Okta

Diese Schritte zeigen Ihnen, wie Sie die Single Sign-On (SSO)-Funktionalität mit OpenID zwischen ManageEngine ADSelfService Plus und Okta konfigurieren.

Voraussetzungen

1. Melden Sie sich als Administrator bei ADSelfService Plus an.
2. Gehen Sie zu Konfiguration > Passwort-Synchronisation/ Single Sign On, klicken Sie dann auf Anwendung hinzufügen. Wählen Sie Okta aus der Liste aus.
Hinweis: Sie können auch die Suchleiste oben links auf der Seite verwenden, um nach der Anwendung zu suchen.
3. Klicken Sie auf IdP Details, wählen Sie dann den SSO(OAuth/OpenID Connect) Tab.
4. Kopieren Sie die Client-ID, Client Secret, Issuer, Authorization Endpoint URL, Token Endpoint URL, und die User Endpoint URL Informationen.

Okta (Service Provider) Konfigurationsschritte

1. Melden Sie sich mit Administrator-Anmeldedaten bei Okta an.
2. Navigieren Sie zu Sicherheit > Identity Providers > Identity Provider hinzufügen > OpenID Connect IdP hinzufügen.

3. Geben Sie einen Namen Ihrer Wahl ein.
4. Füllen Sie die erforderlichen Felder mit den Angaben aus Schritt 4 der Voraussetzungen:
1. Client ID: Client ID
2. Client Secret: Client Secret
3. Verwenden Sie die Scopes Dropdown-Liste und wählen Sie email, openid, und die profile.
4. Issuer: Issuer
5. Autorisierungs-Endpunkt: Authorization Endpoint URL
6. Token-Endpunkt: Token Endpoint URL
7. JWKS-Endpunkt: Keys Endpoint URL
8. Userinfo-Endpunkt (optional): User Endpoint URL

5. Klicken Sie auf Identitätsanbieter hinzufügen unten, um die Einstellungen zu speichern.

6. Nach dem Speichern kopieren Sie die Redirect URI , da sie in späteren Schritten benötigt wird.

7. Um die Instanz von ADSelfService Plus zum Anmeldebildschirm von Okta hinzuzufügen, wechseln Sie zum Routing-Regeln Tab, klicken Sie dann auf Routing-Regel hinzufügen.

8. Im erscheinenden Popup setzen Sie das Feld Benutzer entspricht auf Regex bei Anmeldung. Setzen Sie den Wert auf ".*".
9. Wählen Sie die ADSelfService Plus-Instanz für die Verwende diesen Identity Provider Bedingung aus.

10. Klicken Sie auf Regel erstellen , um die Einstellungen abzuschließen.
11. Klicken Sie im erscheinenden Popup auf Aktivieren.

ADSelfService Plus (Identity Provider) Konfigurationsschritte

1. Wechseln Sie zurück zur ADSelfService Plus Okta-Konfigurationsseite.

2. Geben Sie den Anwendungsnamen und die Beschreibung entsprechend Ihren Präferenzen ein.
3. Geben Sie den Domänenname Ihres Okta-Kontos. Zum Beispiel, wenn Ihr Okta-Benutzername johnwatts@thinktodaytech.com ist, dann ist thinktodaytech.com Ihr Domänenname.
4. Im Richtlinien zuweisen Feld wählen Sie die Richtlinien aus, für die SSO aktiviert werden soll.
Hinweis: ADSelfService Plus ermöglicht das Erstellen von OU- und gruppenbasierten Richtlinien für Ihre AD-Domains. Um eine Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen.
5. Unter dem SSO-Tab wählen Sie Single Sign-On aktivieren.
6. Wählen Sie OAuth/OpenID Connect aus dem Verfahrensauswahl Dropdown-Menü.
7. Geben Sie den Okta-Portal Anmelde-URL im SP Login Initiate URL Feld.
Hinweis: Okta verlangt, dass die Anmeldung von deren Anmeldeseite ausgeht, bekannt als SP-initiiertes Login. Benutzer werden zunächst zur Okta-Anmeldeseite geleitet, die im Feld SP Login Initiate URL angegeben ist, danach leitet Okta (der SP) sie zur Authentifizierung an ADSelfService Plus (den IdP) weiter.
8. Geben Sie den Redirect URI kopiert in Schritt 6 der Okta-Konfiguration im SSO-Redirect-URL Feld.
9. Verwenden Sie die Scopes Dropdown-Liste und wählen Sie openid, welches der erforderliche Scope für die OIDC-Authentifizierung ist. Sie können auch Scopes wie profile oder email angeben, um zusätzliche Benutzerinformationen in der Autorisierungsanfrage einzuschließen.
Hinweis: Scopes geben an, auf welche Ebene der Zugriffstoken Zugriff hat. Sie sind gewöhnlich in der Autorisierungsanfrage enthalten. Geben Sie die Scopes an, für die Sie den Zugriff auf Ihren Autorisierungstoken erlauben möchten, mithilfe des Dropdown-Menüs.
10. Klicken Sie auf Anwendung hinzufügen , um die Konfiguration zu speichern.

Die Well-known Configuration URL in dem IdP Details Popup enthält alle Endpunktwerte, unterstützte Scopes, Antwortmodi, Client-Authentifizierungsmodi und Client-Details. Diese wird erst aktiviert, nachdem Sie die Anwendung für SSO in ADSelfService Plus konfiguriert haben. Sie können diese Ihrem Service Provider bei Bedarf bereitstellen.