Integrar o VMware Identity Services ao Okta

Depois de ativar o VMware Identity Services para o tenant do Workspace ONE, configure a integração ao Okta.

No assistente de Introdução do VMware Identity Services. clique em Iniciar na etapa 2, Integrar um Provedor de Identidade Baseado no SCIM 2.0.
Clique em Configurar no cartão Okta.
Siga o assistente para configurar a integração com o Okta.

Etapa 1: criar um diretório

Como a primeira etapa na configuração do provisionamento de usuários e da federação de identidade com o VMware Identity Services, crie um diretório no console do Workspace ONE Cloud para usuários e grupos provisionados do Okta.

Cuidado: Depois de criar um diretório, você não pode alterar a seleção do provedor de identidade. Certifique-se de selecionar o provedor de identidade apropriado antes de prosseguir.

Procedimento

Na etapa 1, Informações gerais, do assistente, digite o nome que você deseja usar para o diretório provisionado no Workspace ONE.
O nome pode ter um comprimento máximo de 128 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outros idiomas), dígitos (0-9), espaço, hífen (-) e sublinhado (_).
Importante: Não é possível alterar o nome do diretório depois que ele é criado.
Para Nome do Domínio, digite o nome do domínio primário de seu diretório de origem, incluindo a extensão, como .com ou .net.
Atualmente, o VMware Identity Services oferece suporte a apenas um domínio. Os usuários e grupos provisionados estão associados a esse domínio nos serviços do Workspace ONE.
O nome de domínio pode ter um comprimento máximo de 100 caracteres. Somente os seguintes caracteres são permitidos: letras (a-z ou equivalente em outras línguas), dígitos (0-9), espaço, hífen (-), sublinhado (_) e ponto (.).

Por exemplo:
Clique em Salvar e confirme a seleção.

O que Fazer Depois

Configure o provisionamento de usuários e grupos.

Configurar o provisionamento de usuários e grupos (Okta)

Antes de criar um diretório no VMware Identity Services, configure o provisionamento de usuários e grupos. Você inicia o processo no VMware Identity Services gerando as credenciais do administrador necessárias para o provisionamento e, em seguida, cria um aplicativo de provisionamento no Okta para provisionar usuários e grupos para o Workspace ONE.

Pré-requisitos

Você tem uma conta de administrador no Okta com os privilégios necessários para configurar o provisionamento.

Procedimento

No console do Workspace ONE Cloud, depois de criar um diretório, examine e copie os valores gerados na etapa 2, Configurar Aplicativo Okta, do assistente.
Você precisa desses valores para configurar o aplicativo de provisionamento no Okta.
- URL do Tenant: o endpoint do SCIM 2.0 do tenant do VMware Identity Services. Copie o valor.
- Vida Útil do Token: o período pelo qual o token secreto é válido.
  Por padrão, o VMware Identity Services gera o token com um tempo de vida útil de seis meses. Para alterar a vida útil do token, clique na seta para baixo, selecione outra opção e clique em Gerar novamente para gerar novamente o token com o novo valor.
  
  Importante: Sempre que você atualiza a vida útil do token, o token anterior se torna inválido e o provisionamento de usuários e grupos do Okta falha. Você deve gerar novamente um novo token e copiar e colar o novo token no aplicativo Okta.
- Token secreto: o token exigido pelo Okta para provisionar os usuários para o Workspace ONE. Copie o valor clicando no ícone de cópia.
  Importante: Copie o token antes de clicar em Avançar. Depois que você clicar em Avançar, o token não estará mais visível, e você terá que gerar um novo token. Se você regenerar o token, o token anterior se tornará inválido e o provisionamento falhará. Copie e cole o novo token no aplicativo Okta.
Por exemplo:
Quando o token estiver prestes a expirar, uma notificação de banner aparecerá no console do Workspace ONE Cloud. Se você também quiser receber notificações por e-mail, certifique-se de que a caixa de seleção E-mail esteja marcada para a configuração Expirações do Token Secreto do Workspace ONE Access e Identity Services. Você pode encontrar a configuração na página Configurações de Notificações no console do Workspace ONE Cloud.
Crie o aplicativo de provisionamento no Okta.
1. Faça login no console de Administração do Okta.
2. No painel de navegação à esquerda, selecione Aplicativos > Aplicativos.
3. Clique em Procurar Catálogo de Aplicativos.
4. Procure SCIM 2.0 Test App (Token OAuth Bearer).
5. Na página do aplicativo, clique em Adicionar Integração.
6. Na página Adicionar Aplicativo de Teste do SCIM 2.0 (Token OAuth Bearer), na guia Configurações Gerais, insira um nome para o aplicativo na caixa de texto Rótulo do Aplicativo. Por exemplo, VMware Identity Services - SCIM.
7. Clique em Avançar.
8. Na guia Opções de Logon, clique em Concluído na parte inferior da página.
  A página do aplicativo é exibida.
9. Na página do aplicativo, selecione a guia Provisionamento.
10. Clique em Configurar Integração de API.
11. Marque a caixa de seleção Habilitar Integração à API.
12. Conclua a seção Integração copiando e colando as informações do assistente do VMware Identity Services.
  1. Copie o valor da URL do Tenant do assistente do VMware Identity Services e cole-o na caixa de texto Url Base do SCIM 2.0 no console de Administração do Okta.
  2. Copie o valor de Token Secreto do assistente do VMware Identity Services e cole-o na caixa de texto Token OAuth Bearer no console de Administração do Okta.
  3. Clique no botão Testar Credenciais da API para testar a conexão.
  4. Verifique você vê a mensagem O Aplicativo de Teste do SCIM 2.0 (OAuth Bearer Token) foi verificado com êxito. antes de prosseguir.
  5. Clique em Salvar.
    A página Provisionamento para Aplicativo é exibida.
13. Na página Provisionamento para Aplicativo, clique em Editar e selecione Ativar para as seguintes opções:
  - Criar Usuários
  - Atualizar Atributos do Usuário
  - Desativar Usuários
14. Clique em Salvar.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 3: mapear atributos de usuário do SCIM

Mapeie os atributos do usuário para sincronizar do Okta com os serviços do Workspace ONE. No console de Administração do Okta, adicione os atributos de usuário do SCIM necessários e mapeie-os para seus atributos do Okta. No mínimo, sincronize os atributos que o VMware Identity Services e os serviços do Workspace ONE exigem.

O VMware Identity Services e os serviços do Workspace ONE exigem os seguintes atributos de usuário do SCIM:

Atributo do Okta	Atributo de Usuário do SCIM (Obrigatório)
userName	userName
user.email	emails[type eq "work"].value
user.firstName	name.givenName
user.lastName	name.familyName
externalId	externalId
ativo	ativo

Observação: A tabela mostra o mapeamento típico entre os atributos do SCIM necessários e os atributos do Okta. Você pode mapear os atributos do SCIM para atributos do Okta diferentes daqueles listados aqui.

Para obter mais informações sobre esses atributos e seu mapeamento para atributos do Workspace ONE, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Além dos atributos necessários, você pode sincronizar atributos opcionais e atributos personalizados. Para obter a lista de atributos opcionais e personalizados com suporte, consulte Mapeamento de atributos do usuário para o VMware Identity Services.

Importante: Não é possível especificar mapeamentos de atributos de grupo no Okta para sincronização com o VMware Identity Services. Você só pode mapear atributos de usuário.

Procedimento

No console do Workspace ONE Cloud, na etapa 3, Mapear Atributos de Usuário do SCIM, do assistente do VMware Identity Services, examine a lista de atributos aos quais o VMware Identity Services oferece suporte.
No console de Administração do Okta, navegue até o aplicativo de provisionamento que você criou para o provisionamento de usuários para o VMware Identity Services.
Selecione a guia Provisionamento.
Role até a seção AppNameMapeamentos de Atributo e clique em Ir para o Editor de Perfis.
Na página Editor de Perfis, em Atributos, clique em Mapeamentos.
Selecione a guia Usuário do Okta para AppName.
Mapeie os atributos de usuário do SCIM necessários para os atributos do Okta e clique em Salvar Mapeamentos.

Observação: O atributo externalId é definido implicitamente.
Adicione e mapeie atributos de usuário do SCIM opcionais e personalizados, conforme necessário.
Para adicionar atributos personalizados:
1. No assistente do VMware Identity Services Etapa 3: Mapear Atributos de Usuário do SCIM, clique no link Mostrar atributos adicionais.
  A seção Atributos Personalizados lista os atributos do SCIM que você pode adicionar como atributos personalizados no Okta. Atributos personalizados do VMware Identity Services são nomeados como urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. O VMware Identity Services oferece suporte a até cinco atributos personalizados.
2. No console de Administração do Okta, na página Editor de Perfis, clique em + Adicionar Atributo.
3. Na janela Adicionar Atributo, insira as seguintes informações:
  Nome de Exibição: digite um nome de exibição para o atributo. Por exemplo, customAttribute3.
  Nome da Variável: digite o nome do atributo no assistente do VMware Identity Services. Por exemplo, customAttribute3.
  
  Nome Externo: insira o nome do atributo no assistente do VMware Identity Services. Por exemplo, customAttribute3.
  
  Namespace externo: digite urn:ietf:params:scim:schemas:extension:ws1b:2.0:User. Você também pode copiar esse valor de qualquer um dos atributos do SCIM personalizados listados no assistente do VMware Identity Services. Copie o nome do atributo SCIM sem o sufixo :customAttribute#.
  
  Por exemplo:
4. Clique em Salvar.
  O novo atributo personalizado aparece na tabela Atributos.
5. Clique em Mapeamentos e selecione a guia Usuário do Okta para AppName.
6. Localize o novo atributo personalizado na coluna à direita e selecione o atributo para o qual você deseja mapeá-lo.
  Por exemplo:
7. Clique em Salvar Mapeamentos.
8. Clique em Aplicar Atualizações Agora.

O que Fazer Depois

Retorne ao console do Workspace ONE Cloud para continuar com o assistente do VMware Identity Services.

Etapa 4: selecione o protocolo de autenticação

Selecione o protocolo a ser usado para autenticação federada. O VMware Identity Services oferece suporte aos protocolos OpenID Connect e SAML.

Cuidado: Faça sua escolha com cuidado. Depois de selecionar o protocolo e configurar a autenticação, você não poderá alterar o tipo de protocolo sem excluir o diretório.

Procedimento

Na etapa 4, Selecionar Protocolo de Autenticação, do assistente, selecione OpenID Connect ou SAML.
Clique em Avançar.
A próxima etapa do assistente aparece com os valores necessários para configurar o protocolo selecionado.

O que Fazer Depois

Configure o VMware Identity Services e o Okta para autenticação federada.

Etapa 5: configurar a autenticação (Okta)

Para configurar a autenticação federada com o Okta, configure um aplicativo OpenID Connect ou SAML no Okta usando os metadados do provedor de serviços do VMware Identity Services e configure o VMware Identity Services com os valores do aplicativo.

Importante: Certifique-se de criar aplicativos separados no console de Administração do Okta para o provisionamento de usuários e a configuração do provedor de identidade. Não é possível usar o mesmo aplicativo para provisionamento e autenticação.

OpenID Connect

Se você tiver selecionado OpenID Connect como o protocolo de autenticação, siga estas etapas.

Observação: Consulte também a documentação do Okta, Criar integrações de aplicativos OIDC, para obter informações adicionais e para consultar a interface do usuário mais recente.

Na etapa 5, Configurar o OpenID Connect, do assistente do VMware Identity Services, copie o valor URI de Redirecionamento.
Você precisará desse valor para a próxima etapa ao criar um aplicativo OpenID Connect no console de Administração do Okta.
Crie um aplicativo OpenID Connect no Okta.
1. No console de Administração do Okta, selecione Aplicativos > Aplicativos no painel esquerdo e clique em Criar Integração de Aplicativos.
2. Na janela Criar uma nova integração de aplicativo, selecione OIDC - OpenID Connect.
3. Para Tipo de aplicativo, selecione Aplicativo Web e clique em Avançar.
4. Na página Nova Integração do Aplicativo Web, especifique os valores a seguir.
  Nome da integração do aplicativo: digite um nome para o aplicativo.
  Tipo de concessão: selecione Código de Autorização.
  URIs de redirecionamento de login: copie e cole o valor de URI de Redirecionamento que você copiou da Etapa 5 do assistente do VMware Identity Services.
  Atribuições - Acesso Controlado: você pode optar por atribuir o aplicativo a um grupo agora ou fazer atribuições mais tarde.
  Por exemplo:
5. Clique em Salvar.
Localize a ID do cliente e o segredo do cliente do aplicativo OpenID Connect do Okta.
1. Selecione a guia Geral.
2. Localize os valores de ID do Cliente e Segredo do Cliente.
Você usará esses valores na próxima etapa.

Retorne ao assistente do VMware Identity Services no console do Workspace ONE Cloud e conclua a configuração na seção Configurar o OpenID Connect.

ID do Cliente	Copie e cole o valor de ID do Cliente do aplicativo OpenID Connect do Okta.
Segredo do Cliente	Copie e cole o valor do segredo do cliente do aplicativo OpenID Connect do Okta.
URL de Configuração	Copie e cole a URL de configuração conhecida do OpenID Connect do aplicativo Okta. Por exemplo: `https://yourOktaOrg/.well-known/openid-configuration`
Atributo de Identificador de Usuário do OIDC	Especifique o atributo do OpenID Connect para mapear para o atributo Workspace ONE para pesquisas de usuário.
Atributo do identificador do usuário do Workspace ONE	Especifique o atributo do Workspace ONE para mapear para o atributo OpenID Connect para pesquisas de usuário.

Clique em Concluir para concluir a configuração da integração entre o VMware Identity Services e o Okta.

SAML

Se você tiver selecionado SAML como o protocolo de autenticação, siga estas etapas.

Importante: Certifique-se de criar um novo aplicativo para a configuração do provedor de identidade. Não é possível usar o mesmo aplicativo para provisionamento e autenticação.

Crie um aplicativo SAML no Okta.
1. No console de Administração do Okta, selecione Aplicativos > Aplicativos e clique em Criar Integração de Aplicativos.
2. Na janela Criar uma nova integração de aplicativo, selecione SAML 2.0 e clique em Avançar.
3. Na janela Criar Integração SAML, na guia Configurações Gerais, insira um nome para o aplicativo SAML na caixa de texto Nome do aplicativo e clique em Avançar.
4. Na guia Configurar SAML do novo aplicativo, copie e cole os valores do VMware Identity Services.
  - Copie o valor de URL de logon único da Etapa 5 do assistente do VMware Identity Services e cole-o na caixa de texto URL de logon único em Configurações SAML.
  - Copie o valor de ID da Entidade da Etapa 5 do assistente do VMware Identity Services e cole-o na caixa de texto URI de Audiência (ID da Entidade SP).
  Figura 1. Etapa 5 do VMware Identity Services
  
  Figura 2. Aplicativo SAML do Okta
5. Selecione um valor para o Formato da ID de nome.
6. Clique em Mostrar Configurações Avançadas e, para a opção Certificado de Assinatura, carregue o Certificado de Assinatura da Etapa 5 do assistente do VMware Identity Services.
7. Clique em Avançar e conclua a configuração do aplicativo.
Obtenha os metadados de federação do Okta.
1. Após a criação do aplicativo, na guia Logon, clique em Exibir instruções de configuração do SAML no painel direito.
2. Na seção Opcional, copie os metadados da caixa de texto Etapa 1: forneça os seguintes metadados do IDP para o provedor de SP.
No console do Workspace ONE Cloud, na etapa 5 do assistente do VMware Identity Services, cole os metadados na caixa de texto Metadados do provedor de identidade.
Configure o restante das opções na seção Configurar Logon Único de SAML, conforme necessário.
- Protocolo de associação: selecione o protocolo de associação SAML, HTTP POST ou Redirecionamento HTTP.
- Formato da ID de nome: use as configurações de Formato da ID de nome eValor da ID de nome para mapear usuários entre seu provedor de identidade e o VMware Identity Services. Para o Formato da ID de nome, especifique o formato da ID de nome usado na resposta SAML.
- Valor da ID de nome: selecione o atributo de usuário do VMware Identity Services para o qual mapear o valor da ID de nome recebido na resposta SAML.
- Enviar Assunto na solicitação SAML (quando disponível): selecione essa opção se quiser enviar o assunto ao provedor de identidade como uma dica de login para melhorar a experiência de login do usuário, quando disponível.
- Usar mapeamento de formato de ID de nome para o Assunto: selecione essa opção se quiser aplicar o mapeamento de Formato da ID de nome e Valor da ID de nome ao assunto na solicitação SAML. Essa opção é usada com a opção Enviar assunto na solicitação SAML (quando disponível).
  Cuidado: Ativar essa opção pode aumentar o risco de uma vulnerabilidade de segurança conhecida como enumeração do usuário.
- Usar logout único SAML: selecione essa opção se quiser desconectar os usuários da sessão do provedor de identidade depois que eles fizerem logout dos serviços do Workspace ONE.
- URL de logout único do provedor de identidade: se o seu provedor de identidade não oferecer suporte ao logout único SAML, você poderá usar essa opção para especificar a URL para a qual redirecionar os usuários depois que eles fizerem logout dos serviços do Workspace ONE. Se você usar essa opção, marque também a caixa de seleção Usar logout único SAML.
  Se você deixar essa opção em branco, os usuários serão redirecionados para o provedor de identidade usando logout único SAML.
- Certificado de criptografia: carregue esse certificado no aplicativo SAML do Okta se você planeja ativar a criptografia SAML no Okta.
Clique em Concluir para concluir a configuração da integração entre o VMware Identity Services e o Okta.

Resultados

A integração entre o VMware Identity Services e o Okta foi concluída.

O diretório é criado no VMware Identity Services e será preenchido quando você enviar usuários e grupos do aplicativo de provisionamento no Okta. Os usuários e os grupos provisionados aparecerão automaticamente nos serviços do Workspace ONE que você escolher para usar com o VMware Identity Services, como o Workspace ONE Access e o Workspace ONE UEM.

Não é possível editar o diretório nos consoles do Workspace ONE Access e do Workspace ONE UEM. Diretório, usuários, grupos de usuários, atributos de usuário e páginas do provedor de identidade são somente leitura.

Próximo passo

Em seguida, selecione os serviços de Workspace ONE aos quais você deseja provisionar usuários e grupos.

Em seguida, envie usuários e grupos do Okta. Consulte Provisionar usuários para o Workspace ONE.