Um OpenID Connect (OIDC)-basiertes Single Sign-On (SSO) von Okta zu unterstützen, müssen Sie zunächst eine Anwendung in Okta einrichten. Um eine OIDC-basierte Anwendung in Okta für SSO einzurichten, führen Sie die Schritte dieses Verfahrens aus.
Voraussetzungen
Stellen Sie sicher, dass Sie über ein Okta-Konto verfügen.
Prozedur
- Melden Sie sich bei Ihrem Okta-Konto als Admin-Benutzer an.
Der Okta-Startbildschirm wird angezeigt.Hinweis: Wenn Sie sich in der Ansicht „Entwicklerkonsole (Developer Console)“ befinden, müssen Sie zur Ansicht der klassischen Benutzeroberfläche wechseln, indem Sie in der Dropdown-Liste Klassische Benutzeroberfläche (Classic UI) die Option Entwicklerkonsole (Developer Console) auswählen.
- So erstellen Sie eine neue Anwendung:
- Klicken Sie in der oberen Navigationsleiste auf Anwendungen (Applications) > Anwendung hinzufügen (Add Application).
Der Bildschirm Anwendung hinzufügen (Add Application) wird angezeigt.
- Klicken Sie auf Neue App erstellen (Create New App).
Das Dialogfeld Neue Anwendungsintegration erstellen (Create a New Application Integration) wird angezeigt.
- Wählen Sie im Dropdown-Menü Plattform (Platform) die Option Web aus.
- Wählen Sie OpenID Connect als Anmeldemethode aus und klicken Sie auf Erstellen (Create).
Der Bildschirm OpenID Connect-Integration erstellen (Create OpenID Connect Integration) wird angezeigt.
- Geben Sie im Bereich Allgemeine Einstellungen (General Settings) im Textfeld Anwendungsname (Application name) den Dateinamen für Ihre Anwendung ein.
- Geben Sie im Feld OPENID CONNECT KONFIGURIEREN (CONFIGURE OPENID CONNECT) im Textfeld Anmeldeumleitungs-URIs (Login redirect URIs) die Umleitungs-URL ein, die Ihre SASE Orchestrator-Anwendung als Callback-Endpoint verwendet.
In der SASE Orchestrator-Anwendung finden Sie im unteren Bereich des Bildschirms Authentifizierung konfigurieren (Configure Authentication) den Link für die Umleitungs-URL. Idealerweise liegt die SASE Orchestrator-Umleitungs-URL in diesem Format vor: https://<Orchestrator-URL>/login/ssologin/openidCallback.
- Klicken Sie auf Speichern (Save). Die neu erstellte Anwendungsseite wird angezeigt.
- Klicken Sie auf der Registerkarte Allgemein (General) auf Bearbeiten (Edit) und wählen Sie Token aktualisieren (Refresh Token) als zulässige Gewährungstypen aus und klicken Sie auf Speichern (Save).
Notieren Sie die Clientanmeldedaten (Client-ID und geheimer Clientschlüssel), die während der SSO-Konfiguration in SASE Orchestrator verwendet werden sollen.
- Klicken Sie auf die Registerkarte Anmelden (Sign On) und klicken Sie unter dem Bereich OpenID Connect-ID (OpenID Connect ID) auf Bearbeiten (Edit).
- Wählen Sie im Dropdown-Menü Gruppenbeanspruchungstyp (Groups claim type) die Option Ausdruck (Expression) aus. Standardmäßig ist der Gruppenbeanspruchungstyp auf Filter festgelegt.
- Geben Sie im Textfeld Gruppenbeanspruchungsausdruck (Groups claim expression) den Beanspruchungsnamen ein, der im Token verwendet wird, und geben Sie eine Okta-Eingabeausdrucksanweisung ein, die das Token auswertet.
- Klicken Sie auf Speichern (Save).
Die Anwendung ist in IDP eingerichtet. Sie können Ihrer SASE Orchestrator-Anwendung Benutzergruppen und Benutzer zuweisen.
- Klicken Sie in der oberen Navigationsleiste auf Anwendungen (Applications) > Anwendung hinzufügen (Add Application).
- So weisen Sie Ihrer SASE Orchestrator-Anwendung Gruppen und Benutzer zu:
- Navigieren Sie zu Anwendung (Application) > Anwendungen (Applications) und klicken Sie auf den SASE Orchestrator-Anwendungslink.
- Wählen Sie auf der Registerkarte Zuweisungen (Assignments) im Dropdown-Menü Zuweisen (Assign) die Option Zu Gruppen zuweisen (Assign to Groups) oder Zu Personen zuweisen (Assign to People) aus.
Das Dialogfeld <Anwendungsname> zu Gruppen zuweisen (Assign <Application Name> to Groups) oder <Anwendungsname> zu Personen zuweisen (Assign <Application Name> to People) wird angezeigt.
- Klicken Sie neben den verfügbaren Benutzergruppen oder Benutzern, denen Sie die SASE Orchestrator-Anwendung zuweisen möchten, auf Zuweisen (Assign) und dann auf Fertig (Done).
Die Benutzer oder Benutzergruppen, die der SASE Orchestrator-Anwendung zugewiesen sind, werden angezeigt.
Ergebnisse
Sie haben die Einrichtung einer OIDC-basierten Anwendung in Okta für SSO abgeschlossen.
Nächste Maßnahme
Konfigurieren Sie Single Sign-On in SASE Orchestrator.