要在 Okta 中支持基于 OpenID Connect (OIDC) 的单点登录 (SSO),必须先在 Okta 中设置一个应用程序。要在 Okta 中针对 SSO 设置基于 OIDC 的应用程序,请执行以下过程中的步骤。
前提条件
确保您拥有可以登录的 Okta 帐户。
过程
- 要创建新应用程序,请执行以下操作:
- 在上方导航栏中,单击应用程序 (Applications) > 添加应用程序 (Add Application)。
此时将显示 添加应用程序 (Add Application) 屏幕。
- 单击创建新应用程序 (Create New App)。
此时将显示 创建新应用程序集成 (Create a New Application Integration) 对话框。
- 从平台 (Platform) 下拉菜单中,选择 Web。
- 选择 OpenID Connect 作为登录方法,然后单击创建 (Create)。
此时将显示 创建 OpenID Connect 集成 (Create OpenID Connect Integration) 屏幕。
- 在常规设置 (General Settings) 区域下面的应用程序名称 (Application name) 文本框中,输入应用程序的名称。
- 在配置 OpenID Connect (CONFIGURE OPENID CONNECT) 区域下面的登录重定向 URI (Login redirect URIs) 文本框中,输入 SASE Orchestrator 应用程序用作回调端点的重定向 URL。
在 SASE Orchestrator 应用程序中的 配置身份验证 (Configure Authentication) 屏幕底部,您可以找到该重定向 URL 链接。理想情况下, SASE Orchestrator 重定向 URL 采用以下格式:https://<Orchestrator URL>/login/ssologin/openidCallback。
- 单击保存 (Save)。将显示新创建的应用程序页面。
- 在常规 (General) 选项卡上,单击编辑 (Edit),然后对允许的授予类型选择刷新令牌 (Refresh Token),然后单击保存 (Save)。
记下客户端凭据(客户端 ID 和客户端密钥),以便在 SASE Orchestrator 中配置 SSO 期间使用。
- 单击登录 (Sign On) 选项卡,然后单击 OpenID Connect ID 令牌 (OpenID Connect ID Token) 区域下的编辑 (Edit)。
- 从组声明类型 (Groups claim type) 下拉菜单中,选择表达式 (Expression)。默认情况下,“组声明类型”(Groups claim type) 设置为筛选器 (Filter)。
- 在组声明表达式 (Groups claim expression) 文本框中,输入将在令牌中使用的声明名称以及评估令牌的 Okta 输入表达式语句。
- 单击保存 (Save)。
将在 IDP 中设置应用程序。您可以将用户组和用户分配给 SASE Orchestrator 应用程序。
- 在上方导航栏中,单击应用程序 (Applications) > 添加应用程序 (Add Application)。
- 要将组和用户分配给 SASE Orchestrator 应用程序,请执行以下操作:
- 转到应用程序 (Application) > 应用程序 (Applications),然后单击 SASE Orchestrator 应用程序链接。
- 在分配 (Assignments) 选项卡上,从分配 (Assign) 下拉菜单中选择分配给组 (Assign to Groups) 或分配给人员 (Assign to People)。
此时将显示 将 <应用程序名称> 分配给组 (Assign <Application Name> to Groups) 或 将 <应用程序名称> 分配给人员 (Assign <Application Name> to People) 对话框。
- 单击要为 SASE Orchestrator 应用程序分配的可用用户组或用户旁边的分配 (Assign),然后单击完成 (Done)。
将显示分配给 SASE Orchestrator 应用程序的用户或用户组。
结果
您已在 Okta 中针对 SSO 完成了基于 OIDC 的应用程序的设置。
下一步做什么
在 SASE Orchestrator 中配置单点登录。
