Configuration de la connexion unique OpenID pour Okta

Ces étapes vous montrent comment configurer la fonctionnalité de connexion unique (SSO) en utilisant OpenID entre ManageEngine ADSelfService Plus et Okta.

Prérequis

1. Connectez-vous à ADSelfService Plus en tant qu'administrateur.
2. Allez à Configuration > Synchronisation de mot de passe / Connexion unique, puis cliquez sur Ajouter une application. Sélectionnez Okta dans la liste.
Remarque : Vous pouvez également utiliser la barre de recherche en haut à gauche de la page pour rechercher l'application.
3. Cliquez sur Détails IdP, puis sélectionnez l'onglet SSO(OAuth/OpenID Connect) .
4. Copiez les informations suivantes : Client ID, Client Secret, Issuer, URL du point de terminaison d'autorisation, URL du point de terminaison du token, ainsi que URL du point de terminaison utilisateur .

Étapes de configuration d'Okta (fournisseur de services)

1. Connectez-vous à Okta avec des identifiants d'administrateur.
2. Naviguez vers Security > Identity Providers > Add Identity Provider > Add OpenID Connect IdP.

3. Entrez un Nom de votre choix.
4. Remplissez les champs obligatoires avec les détails mentionnés lors de l'étape 4 des Prérequis:
1. Client ID : Client ID
2. Client Secret : Client Secret
3. À l'aide du menu déroulant Scopes , sélectionnez email, openid, ainsi que profile.
4. Issuer : Issuer
5. Point de terminaison d'autorisation : URL du point de terminaison d'autorisation
6. Point de terminaison du token : URL du point de terminaison du token
7. Point de terminaison JWKS : URL du point de terminaison des clés
8. Point de terminaison Userinfo (optionnel) : URL du point de terminaison utilisateur

5. Cliquez sur Ajouter le fournisseur d'identité en bas pour enregistrer les paramètres.

6. Après avoir enregistré, copiez l'URI de redirection car elle sera requise dans les étapes suivantes.

7. Pour ajouter l'instance d'ADSelfService Plus à l'écran de connexion d'Okta, allez à l'onglet Routing Rules , puis cliquez sur Ajouter une règle de routage.

8. Dans la fenêtre contextuelle qui apparaît, définissez le champ L'utilisateur correspond sur Regex sur la connexion. Définissez la valeur sur ".*".
9. Sélectionnez l'instance ADSelfService Plus pour la condition Utiliser ce fournisseur d'identité .

10. Cliquez sur Créer la règle pour compléter les paramètres.
11. Dans la fenêtre contextuelle qui apparaît, cliquez sur Activer.

Étapes de configuration d'ADSelfService Plus (fournisseur d'identité)

1. Revenez à la page de configuration Okta d'ADSelfService Plus.

2. Saisissez le Nom de l'application et la Description selon vos préférences.
3. Saisissez le Nom de domaine de votre compte Okta. Par exemple, si votre nom d'utilisateur Okta est johnwatts@thinktodaytech.com, alors thinktodaytech.com est votre nom de domaine.
4. Dans le champ Affecter les politiques , sélectionnez les politiques pour lesquelles la connexion unique doit être activée.
Remarque : ADSelfService Plus vous permet de créer des politiques basées sur des OU et des groupes pour vos domaines AD. Pour créer une politique, allez à Configuration > Self-Service > Configuration de la politique > Ajouter une nouvelle politique.
5. Sous l'onglet SSO, sélectionnez Activer la connexion unique.
6. Choisissez OAuth/OpenID Connect dans le menu déroulant Sélectionner la méthode .
7. Saisissez le URL de connexion du portail Okta dans le champ URL d'initiation de connexion SP .
Remarque : Okta exige que la connexion commence depuis leur page de connexion, appelée connexion initiée par SP. Les utilisateurs sont d'abord dirigés vers la page de connexion Okta, spécifiée dans le champ URL d'initiation de connexion SP, après quoi Okta (le SP) les redirige vers ADSelfService Plus (l'IdP) pour authentification.
8. Saisissez le l'URI de redirection copiée lors de l'Étape 6 de la configuration d'Okta dans le champ URL de redirection SSO .
9. À l'aide du menu déroulant Scopes , sélectionnez openid, qui est la portée requise pour l'authentification OIDC. Vous pouvez également spécifier des portées telles que profile ou email pour inclure des informations utilisateur supplémentaires dans la demande d'autorisation.
Remarque : Les portées spécifient le niveau d'accès du token d'accès. Elles sont généralement incluses dans la demande d'autorisation. Spécifiez les portées pour lesquelles vous souhaitez permettre l'accès à votre token d'autorisation, en utilisant le menu déroulant.
10. Cliquez sur Ajouter une application pour enregistrer la configuration.

L'URL de configuration Well-known dans la fenêtre contextuelle des détails IdP contient toutes les valeurs des points de terminaison, les portées supportées, les modes de réponse, les modes d'authentification client et les détails du client. Ceci est activé uniquement après que vous avez terminé la configuration de l'application pour le SSO dans ADSelfService Plus. Vous pouvez fournir cette information à votre fournisseur de services si nécessaire.