Integrar VMware Identity Services con Okta

Tras habilitar VMware Identity Services para el arrendatario de Workspace ONE, configure la integración con Okta.

En el asistente de introducción de VMware Identity Services, haga clic en Iniciar en el paso 2 (Integrar un proveedor de identidad basado en SCIM 2.0).
Haga clic en Configurar en la tarjeta de Okta.
Siga las instrucciones del asistente para configurar la integración con Okta.

Paso 1: Crear un directorio

Como primer paso para configurar el aprovisionamiento de usuarios y la federación de identidades con VMware Identity Services, cree un directorio en la consola de Workspace ONE Cloud para los usuarios y los grupos aprovisionados desde Okta.

Precaución: Después de crear un directorio, no puede cambiar la selección del proveedor de identidad. Asegúrese de seleccionar el proveedor de identidad adecuado antes de continuar.

Procedimiento

En el paso 1 (Información general) del asistente, introduzca el nombre que desea utilizar para el directorio aprovisionado en Workspace ONE.
El nombre puede tener una longitud máxima de 128 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-) y guion bajo (_).
Importante: No puede cambiar el nombre del directorio después de crearlo.
En Nombre del dominio, introduzca el nombre de dominio principal del directorio de origen, incluida la extensión (por ejemplo, .com o .net).
Actualmente, VMware Identity Services solo admite un dominio. Los usuarios y los grupos aprovisionados se asocian a este dominio en los servicios de Workspace ONE.
El nombre de dominio puede tener una longitud máxima de 100 caracteres. Solo se permiten los siguientes caracteres: letras (a-z o equivalentes en otros idiomas), dígitos (0-9), espacio, guion (-), guion bajo (_) y punto (.).

Por ejemplo:
Haga clic en Guardar y confirme la selección.

Qué hacer a continuación

Configure el aprovisionamiento de usuarios y grupos.

Configurar el aprovisionamiento de usuarios y grupos (Okta)

Después de crear un directorio en VMware Identity Services, configure el aprovisionamiento de usuarios y grupos. Para iniciar el proceso en VMware Identity Services, genere las credenciales de administrador necesarias para el aprovisionamiento y cree una aplicación de aprovisionamiento en Okta para aprovisionar usuarios y grupos a Workspace ONE.

Requisitos previos

Debe tener una cuenta de administrador en Okta con los privilegios necesarios para configurar el aprovisionamiento.

Procedimiento

En la consola de Workspace ONE Cloud, después de crear un directorio, revise y copie los valores generados en el paso 2 (Configurar la aplicación de Okta) del asistente.
Se precisan estos valores para configurar la aplicación de aprovisionamiento en Okta.
- Dirección URL del tenant: el endpoint SCIM 2.0 del arrendatario de VMware Identity Services. Copie el valor.
- Vida útil del token: el período de validez del token secreto.
  VMware Identity Services genera el token con una duración predeterminada de seis meses. Si desea cambiarla, haga clic en la flecha hacia abajo, seleccione otra opción y haga clic en Regenerar para volver a generar el token con el nuevo valor.
  
  Importante: Cada vez que se actualiza la duración del token, el token anterior deja de ser válido y se produce un error en el aprovisionamiento de usuarios y grupos desde Okta. Debe volver a generar un nuevo token, copiarlo y pegarlo en la aplicación de Okta.
- Token secreto: el token que requiere Okta para aprovisionar usuarios a Workspace ONE. Haga clic en el icono de copiar para copiar el valor.
  Importante: Asegúrese de copiar el token antes de hacer clic en Siguiente. Cuando haga clic en Siguiente, el token ya no será visible y tendrá que generar uno nuevo. Si vuelve a generar un token, el token anterior dejará de ser válido y se producirá un error en el aprovisionamiento. Asegúrese de copiar y pegar el nuevo token en la aplicación Okta.
Por ejemplo:
Cuando el token esté a punto de caducar, aparecerá una notificación de banner en la consola de Workspace ONE Cloud. Si también desea recibir notificaciones por correo electrónico, asegúrese de que la casilla de verificación Correo esté seleccionada para el ajuste de Caducidades de token secreto de Workspace ONE Access e Identity Services. Puede encontrar la opción en la página Configuración de notificaciones de la consola de Workspace ONE Cloud.
Cree la aplicación de aprovisionamiento en Okta.
1. Inicie sesión en la consola de administración de Okta.
2. En el panel de navegación de la izquierda, seleccione Aplicaciones > Aplicaciones.
3. Haga clic en Examinar el catálogo de aplicaciones.
4. Busque la aplicación de prueba SCIM 2.0 (token de portador de OAuth).
5. En la página de la aplicación, haga clic en Agregar integración.
6. En la página Agregar aplicación de prueba SCIM 2.0 (token de portador de OAuth), en la pestaña Configuración general, introduzca un nombre para la aplicación en el cuadro de texto Etiqueta de aplicación. Por ejemplo, VMware Identity Services - SCIM.
7. Haga clic en Siguiente.
8. En la pestaña Opciones de inicio de sesión, haga clic en Listo en la parte inferior de la página.
  Aparece la página de la aplicación.
9. En la página de la aplicación, seleccione la pestaña Aprovisionamiento.
10. Haga clic en Configurar API de integración.
11. Seleccione la casilla de verificación Habilitar integración de API.
12. Complete la sección Integración copiando y pegando la información del asistente de VMware Identity Services.
  1. Copie el valor de URL de arrendatario del asistente de VMware Identity Services y péguelo en el cuadro de texto de la URL base de SCIM 2.0 de la consola de administración de Okta.
  2. Copie el valor de Token secreto del asistente de VMware Identity Services y péguelo en el cuadro de texto del Token de portador de OAuth de la consola de administración de Okta.
  3. Haga clic en el botón Probar credenciales de API para probar la conexión.
  4. Asegúrese de que se muestra un mensaje parecido a La aplicación de prueba SCIM 2.0 (token de portador de OAuth) se verificó correctamente. antes de continuar.
  5. Haga clic en Guardar.
    Aparecerá la página Aprovisionamiento a la aplicación.
13. En la página Aprovisionamiento a la aplicación, haga clic en Editar y seleccione Habilitar para ver las siguientes opciones:
  - Crear usuarios
  - Actualizar atributos de usuario
  - Desactivar usuarios
14. Haga clic en Guardar.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.

Paso 3: Asignar atributos de usuario de SCIM

Asigne los atributos de usuario para sincronizarlos desde Okta con los servicios de Workspace ONE. En la consola de administración de Okta, agregue los atributos de usuario de SCIM necesarios y asígnelos a los atributos de Okta. Como mínimo, sincronice los atributos que requieren VMware Identity Services y los servicios de Workspace ONE.

VMware Identity Services y los servicios de Workspace ONE requieren los siguientes atributos de usuario de SCIM:

Atributo de Okta	Atributo de usuario de SCIM (obligatorio)
userName	userName
user.email	emails[type eq "work"].value
user.firstName	name.givenName
user.lastName	name.familyName
externalId	externalId
active	active

Nota: La tabla muestra la asignación típica entre los atributos de Okta y los atributos de SCIM obligatorios. Puede asignar los atributos de SCIM a otros atributos de Okta distintos de los que se indican aquí.

Para obtener más información sobre estos atributos y su asignación a los atributos de Workspace ONE, consulte Asignación de atributos de usuario para VMware Identity Services.

Además de los atributos obligatorios, puede sincronizar atributos opcionales y personalizados. Para obtener la lista de atributos opcionales y personalizados compatibles, consulte Asignación de atributos de usuario para VMware Identity Services.

Importante: No se pueden especificar asignaciones de atributos de grupo en Okta para sincronizarlos con VMware Identity Services. Solo puede asignar atributos de usuario.

Procedimiento

En la consola de Workspace ONE Cloud, revise la lista de atributos compatibles con VMware Identity Services en el paso 3 (Asignar atributos de usuario de SCIM) del asistente de VMware Identity Services.
En la consola de administración de Okta, desplácese hasta la aplicación de aprovisionamiento que creó para aprovisionar usuarios a VMware Identity Services.
Seleccione la pestaña Aprovisionamiento.
Desplácese hasta la sección Asignaciones de atributos de nombre_aplicación y haga clic en Ir al editor de perfiles.
En la página del Editor de perfiles, en Atributos, haga clic en Asignaciones.
Seleccione la pestaña Usuario de Okta para nombre_aplicación.
Asigne los atributos de usuario de SCIM necesarios a los atributos de Okta y haga clic en Guardar asignaciones.

Nota: El atributo externalId se establece implícitamente.
Agregue y asigne atributos de usuario de SCIM opcionales y personalizados según sea necesario.
Para añadir atributos personalizados:
1. En el asistente de VMware Identity Services, en el Paso 3: Asignar atributos de usuario de SCIM, haga clic en el vínculo Mostrar atributos adicionales.
  La sección Atributos personalizados indica los atributos de SCIM que se pueden agregar como atributos personalizados en Okta. Los atributos personalizados de VMware Identity Services se denominan urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services admite hasta cinco atributos personalizados.
2. En la consola de administración de Okta, en la página del Editor de perfiles, haga clic en + Agregar atributo.
3. En la ventana Agregar atributo, introduzca la siguiente información:
  Nombre para mostrar: introduzca un nombre para mostrar para el atributo. Por ejemplo, customAttribute3.
  Nombre de variable: introduzca el nombre del atributo del asistente de VMware Identity Services. Por ejemplo, customAttribute3.
  
  Nombre externo: introduzca el nombre de atributo del asistente de VMware Identity Services. Por ejemplo, customAttribute3.
  
  Espacio de nombres externo: introduzca urn:ietf:params:scim:schemas:extension:ws1b:2.0:User. También puede copiar este valor desde cualquiera de los atributos de SCIM personalizados que aparecen en el asistente de VMware Identity Services. Copie el nombre del atributo SCIM sin el sufijo :customAttribute#.
  
  Por ejemplo:
4. Haga clic en Guardar.
  El nuevo atributo personalizado aparece en la tabla Atributos.
5. Haga clic en Asignaciones y seleccione la pestaña Usuario de Okta para nombre_aplicación.
6. Busque el nuevo atributo personalizado en la columna derecha y seleccione el atributo al que desea asignarlo.
  Por ejemplo:
7. Haga clic en Guardar asignaciones.
8. Haga clic en Aplicar actualizaciones ahora.

Qué hacer a continuación

Vuelva a la consola de Workspace ONE Cloud para continuar con los pasos del asistente de VMware Identity Services.

Paso 4: Seleccionar el protocolo de autenticación

Seleccione el protocolo que se utilizará para la autenticación federada. VMware Identity Services admite los protocolos OpenID Connect y SAML.

Precaución: Elija con cuidado. Después de seleccionar el protocolo y configurar la autenticación, no puede cambiar el tipo de protocolo sin eliminar el directorio.

Procedimiento

En el paso 4 (Seleccionar protocolo de autenticación) del asistente, seleccione OpenID Connect o SAML.
Haga clic en Siguiente.
El siguiente paso del asistente aparece con los valores necesarios para configurar el protocolo seleccionado.

Qué hacer a continuación

Configure VMware Identity Services y Okta para la autenticación federada.

Paso 5: Configurar la autenticación (Okta)

Para configurar la autenticación federada con Okta, configure una aplicación OpenID Connect o SAML en Okta con los metadatos del proveedor de servicios de VMware Identity Services y configure VMware Identity Services con los valores de la aplicación.

Importante: Asegúrese de crear aplicaciones independientes en la consola de administración de Okta para el aprovisionamiento de usuarios y la configuración del proveedor de identidad. No puede utilizar la misma aplicación para el aprovisionamiento y la autenticación.

OpenID Connect

Si seleccionó OpenID Connect como protocolo de autenticación, siga estos pasos.

Nota: Consulte también la documentación de Okta, Crear integraciones de aplicaciones de OIDC, para obtener información adicional y consultar la interfaz de usuario más reciente.

En el paso 5 (Configurar OpenID Connect) del asistente de VMware Identity Services, copie el valor de URI de redireccionamiento.
Necesitará este valor en el siguiente paso al crear una aplicación OpenID Connect en la consola de administración de Okta.
Cree una aplicación OpenID Connect en Okta.
1. En la consola de administración de Okta, seleccione Aplicaciones > Aplicaciones en el panel izquierdo y haga clic en Crear integración de aplicación.
2. En la ventana Crear nueva integración de aplicación, seleccione OIDC - OpenID Connect.
3. Para Tipo de aplicación, seleccione Aplicación web y haga clic en Siguiente.
4. En la página Nueva integración de aplicación web, especifique los siguientes valores.
  Nombre de integración de aplicación: introduzca un nombre para la aplicación.
  Tipo de concesión: seleccione Código de autenticación.
  URI de redireccionamiento de inicio de sesión: copie y pegue el valor de URI de redireccionamiento que copió en el paso 5 del asistente de VMware Identity Services.
  Asignaciones - Acceso controlado: puede asignar la aplicación a un grupo ahora o realizar asignaciones más adelante.
  Por ejemplo:
5. Haga clic en Guardar.
Busque el identificador de cliente y el secreto de cliente de la aplicación OpenID Connect de Okta.
1. Seleccione la pestaña General.
2. Busque los valores de ID de cliente y Secreto de cliente.
Utilizará estos valores en el siguiente paso.

Vuelva al asistente de VMware Identity Services en la consola de Workspace ONE Cloud y complete la configuración en la sección Configurar OpenID Connect.

ID de cliente	Copie y pegue el valor de ID de cliente de la aplicación OpenID Connect de Okta.
Secreto de cliente	Copie y pegue el valor de secreto de cliente de la aplicación OpenID Connect de Okta.
URL de configuración	Copie y pegue la URL de configuración conocida de OpenID Connect de la aplicación de Okta. Por ejemplo: `https://yourOktaOrg/.well-known/openid-configuration`
Atributo de identificador de usuario de OIDC	Especifique el atributo de OpenID Connect que se debe asignar al atributo de Workspace ONE para las búsquedas de usuarios.
Atributo de identificador de usuario de Workspace ONE	Especifique el atributo de Workspace ONE que se debe asignar al atributo de OpenID Connect para las búsquedas de usuarios.

Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Okta.

SAML

Si seleccionó SAML como protocolo de autenticación, siga estos pasos:

Importante: Asegúrese de crear una nueva aplicación para la configuración del proveedor de identidades. No puede utilizar la misma aplicación para el aprovisionamiento y la autenticación.

Cree una aplicación SAML en Okta.
1. En la consola de administración de Okta, seleccione Aplicaciones > Aplicaciones y haga clic en Crear integración de aplicación.
2. En la ventana Crear nueva integración de aplicación, seleccione SAML 2.0 y haga clic en Siguiente.
3. En la ventana Crear integración de SAML, en la pestaña Configuración general, introduzca un nombre para la aplicación SAML en el cuadro de texto Nombre de la aplicación y, a continuación, haga clic en Siguiente.
4. En la pestaña Configurar SAML de la nueva aplicación, copie y pegue los valores de VMware Identity Services.
  - Copie el valor de URL de inicio de sesión único del paso 5 del asistente de VMware Identity Services y péguelo en el cuadro de texto URL de inicio de sesión único en Configuración de SAML.
  - Copie el valor de ID de entidad del paso 5 del asistente de VMware Identity Services y péguelo en el cuadro de texto URI de audiencia (ID de entidad de SP).
  Figura 1. Paso 5 de VMware Identity Services
  
  Figura 2. Aplicación SAML de Okta
5. Seleccione un valor para el Formato de ID de nombre.
6. Haga clic en Mostrar configuración avanzada y, para la opción Certificado de firma, cargue el Certificado de firma del paso 5 del asistente de VMware Identity Services.
7. Haga clic en Siguiente y finalice la configuración de la aplicación.
Obtenga los metadatos de federación de Okta.
1. Después de crear la aplicación, en la pestaña Inicio de sesión, haga clic en Ver instrucciones de configuración de SAML en el panel derecho.
2. En la sección Opcional, copie los metadatos del cuadro de texto Paso 1: Proporcionar los siguientes metadatos de IDP al proveedor de servicios.
En la consola de Workspace ONE Cloud, en el paso 5 del asistente de VMware Identity Services, pegue los metadatos en el cuadro de texto Metadatos del proveedor de identidad.
Configure el resto de las opciones de la sección Configurar el inicio de sesión único de SAML, según corresponda.
- Protocolo de enlace: seleccione el protocolo de enlace de SAML (HTTP POST o Redireccionamiento HTTP).
- Formato de ID de nombre: utilice los ajustes de Formato de ID de nombre y Valor de ID de nombre para asignar usuarios entre el proveedor de identidad y VMware Identity Services. Para Formato de ID de nombre, especifique el formato de ID de nombre utilizado en la respuesta SAML.
- Valor de ID de nombre: seleccione el atributo de usuario de VMware Identity Services al que desea asignar el valor de ID de nombre recibido en la respuesta SAML.
- Enviar asunto en la solicitud SAML (cuando esté disponible): seleccione esta opción si desea enviar el asunto al proveedor de identidad como una sugerencia de inicio de sesión para mejorar la experiencia de inicio de sesión del usuario, cuando esté disponible.
- Usar la asignación de formato de ID de nombre para el asunto: seleccione esta opción si desea aplicar el Formato de ID de nombre y el Valor de ID de nombre al asunto en la solicitud SAML. Esta opción se utiliza con la opción Enviar el asunto en la solicitud SAML (cuando esté disponible).
  Precaución: Habilitar esta opción puede aumentar el riesgo de sufrir una vulnerabilidad de seguridad conocida como enumeración de usuarios.
- Usar cierre de sesión único de SAML: seleccione esta opción si desea cerrar la sesión del proveedor de identidad de los usuarios después de que cierren los servicios de Workspace ONE.
- URL de cierre de sesión único del proveedor de identidad: si el proveedor de identidad no admite el cierre de sesión único SAML, puede usar esta opción para especificar la URL a la que se redirigirá a los usuarios después de cerrar sesión en los servicios de Workspace ONE. Si utiliza esta opción, seleccione también la casilla de verificación Usar cierre de sesión único de SAML.
  Si deja esta opción en blanco, se redirecciona a los usuarios al proveedor de identidad mediante el cierre de sesión único SAML.
- Certificado de cifrado: cargue este certificado en la aplicación SAML de Okta si tiene pensado habilitar el cifrado SAML en Okta.
Haga clic en Finalizar para terminar de configurar la integración entre VMware Identity Services y Okta.

Resultados

Se completa la integración entre VMware Identity Services y Okta.

Se crea el directorio en VMware Identity Services y se rellenará al insertar usuarios y grupos desde la aplicación de aprovisionamiento en Okta. Los usuarios y los grupos aprovisionados aparecerán automáticamente en los servicios de Workspace ONE que elija utilizar con VMware Identity Services, (por ejemplo, Workspace ONE Access y Workspace ONE UEM).

No se puede editar el directorio en las consolas de Workspace ONE Access y Workspace ONE UEM. Las páginas del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad son de solo lectura.

Pasos siguientes

En primer lugar, seleccione los servicios de Workspace ONE a los que desea aprovisionar usuarios y grupos.

A continuación, inserte usuarios y grupos desde Okta. Consulte Aprovisionar usuarios a Workspace ONE.