Intégrer VMware Identity Services à Okta

Après avoir activé VMware Identity Services pour votre locataire Workspace ONE, configurez l'intégration à Okta.

Dans l'assistant Mise en route de VMware Identity Services, cliquez sur Démarrer à l'étape 2, Intégrer un fournisseur d'identité basé sur SCIM 2.0.
Cliquez sur Configurer sur la carte Okta.
Suivez l'assistant pour configurer l'intégration à Okta.

Étape 1 : Créer un annuaire

Comme première étape de configuration du provisionnement des utilisateurs et de la fédération des identités avec VMware Identity Services, créez un annuaire dans la console Workspace ONE Cloud pour les utilisateurs et les groupes provisionnés à partir d'Okta.

Attention : Une fois l'annuaire créé, vous ne pouvez pas modifier la sélection de votre fournisseur d'identité. Veillez à sélectionner le fournisseur d'identité approprié avant de continuer.

Procédure

À l'étape 1, Informations générales de l'assistant, entrez le nom que vous souhaitez utiliser pour le répertoire provisionné dans Workspace ONE.
Le nom ne doit pas dépasser 128 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-) et trait de soulignement (_).
Important : Vous ne pouvez pas modifier le nom de l'annuaire après sa création.
Dans Nom de domaine, entrez le nom de domaine principal de votre annuaire source, y compris l'extension telle que .com ou .net.
VMware Identity Services ne prend actuellement en charge qu'un seul domaine. Les utilisateurs et les groupes provisionnés sont associés à ce domaine dans les services Workspace ONE.
Le nom de domaine ne doit pas dépasser 100 caractères. Seuls les caractères suivants sont autorisés : lettres (a-z ou équivalent dans d'autres langues), chiffres (0-9), espace, trait d'union (-), trait de soulignement (_) et point (.).

Par exemple :
Cliquez sur Enregistrer et confirmez votre sélection.

Que faire ensuite

Configurez le provisionnement des utilisateurs et des groupes.

Configurer le provisionnement d'utilisateurs et de groupes (Okta)

Après avoir créé un annuaire dans VMware Identity Services, configurez le provisionnement des utilisateurs et des groupes. Démarrez le processus dans VMware Identity Services en générant les informations d'identification de l'administrateur requises pour le provisionnement, puis créez une application de provisionnement dans Okta pour provisionner des utilisateurs et des groupes pour Workspace ONE.

Conditions préalables

Vous disposez d'un compte d'administrateur dans Okta avec les privilèges requis pour configurer le provisionnement.

Procédure

Dans la console Workspace ONE Cloud, après avoir créé un annuaire, vérifiez et copiez les valeurs générées à l'étape 2, Configurer l'application Okta, de l'assistant.
Ces valeurs sont requises pour configurer l'application de provisionnement dans Okta.
- URL du locataire : point de terminaison SCIM 2.0 de votre locataire VMware Identity Services. Copiez la valeur.
- Durée de vie du jeton : période pendant laquelle le jeton secret est valide.
  Par défaut, VMware Identity Services génère le jeton avec une durée de vie de six mois. Pour modifier la durée de vie du jeton, cliquez sur la flèche vers le bas, sélectionnez une autre option, puis cliquez sur Régénérer pour régénérer le jeton avec la nouvelle valeur.
  
  Important : Chaque fois que vous mettez à jour la durée de vie du jeton, le jeton précédent n'est plus valide et le provisionnement des utilisateurs et des groupes à partir d'Okta échoue. Vous devez régénérer un jeton, puis copier et coller le nouveau jeton dans l'application Okta.
- Jeton secret : jeton requis par Okta pour provisionner les utilisateurs dans Workspace ONE. Copiez la valeur en cliquant sur l'icône de copie.
  Important : Veillez à copier le jeton avant de cliquer sur Suivant. Une fois que vous avez cliqué sur Suivant, le jeton ne s'affiche plus et vous devrez en générer un autre. Si vous régénérez le jeton, le précédent n'est plus valide et le provisionnement échoue. Veillez à copier et à coller le nouveau jeton dans l'application Okta.
Par exemple :
Lorsque le jeton est sur le point d'expirer, une bannière de notification s'affiche dans la console Workspace ONE Cloud. Si vous souhaitez également recevoir des notifications par e-mail, assurez-vous que la case E-mail est cochée pour le paramètre Workspace ONE Access et Identity Services Expirations des jetons secrets. Vous trouverez le paramètre sur la page Paramètres de notification dans la console Workspace ONE Cloud.
Créez l'application de provisionnement dans Okta.
1. Connectez-vous à la console d'administration d'Okta.
2. Dans le volet de navigation de gauche, sélectionnez Applications > Applications.
3. Cliquez sur Parcourir le catalogue d'applications.
4. Recherchez Application de test SCIM 2.0 (jeton du porteur OAuth).
5. Sur la page de l'application, cliquez sur Ajouter l'intégration.
6. Sur la page Ajouter l'application de test SCIM 2.0 (jeton du porteur OAuth), sous l'onglet Paramètres généraux, attribuez un nom à l'application dans la zone de texte Étiquette de l'application. Par exemple, VMware Identity Services - SCIM.
7. Cliquez sur Suivant.
8. Sous l'onglet Options d'authentification, cliquez sur Terminé en bas de la page.
  La page de l'application s'affiche.
9. Sur la page de l'application, sélectionnez l'onglet Provisionnement.
10. Cliquez sur Configurer l'intégration de l'API.
11. Cochez la case Activer l'intégration de l'API.
12. Renseignez la section Intégration en copiant et en collant les informations de l'assistant VMware Identity Services.
  1. Copiez la valeur URL du locataire de l'assistant VMware Identity Services et collez-la dans la zone de texte URL de base SCIM 2.0 de la console d'administration d'Okta.
  2. Copiez la valeur Jeton secret de l'assistant VMware Identity Services et collez-la dans la zone de texte Jeton du porteur OAuth de la console d'administration d'Okta.
  3. Cliquez sur le bouton Tester les informations d'identification de l'API pour tester la connexion.
  4. Assurez-vous que le message L'application de test SCIM 2.0 (jeton du porteur OAuth) a été correctement vérifiée ! s'affiche avant de continuer.
  5. Cliquez sur Enregistrer.
    La page Provisionnement dans l'application s'affiche.
13. Sur la page Provisionnement dans l'application, cliquez sur Modifier, puis sélectionnez Activer en regard des options suivantes :
  - Créer des utilisateurs
  - Mettre à jour les attributs utilisateur
  - Désactiver les utilisateurs
14. Cliquez sur Enregistrer.

Que faire ensuite

Revenez à la console Workspace ONE Cloud pour continuer avec l'assistant VMware Identity Services.

Étape 3 : Mapper les attributs utilisateur SCIM

Mappez les attributs utilisateur à synchroniser entre Okta et les services Workspace ONE. Dans la console d'administration d'Okta, ajoutez les attributs utilisateur SCIM requis et mappez-les à vos attributs Okta. Synchronisez au moins les attributs dont VMware Identity Services et les services Workspace ONE ont besoin.

VMware Identity Services et les services Workspace ONE nécessitent les attributs utilisateur SCIM suivants :

Attribut Okta	Attribut utilisateur SCIM (requis)
userName	userName
user.email	emails[type eq "work"].value
user.firstName	name.givenName
user.lastName	name.familyName
externalId	externalId
active	active

Note : Le tableau montre le mappage classique entre les attributs SCIM requis et les attributs Okta. Vous pouvez mapper les attributs SCIM à des attributs Okta différents de ceux répertoriés ici.

Pour plus d'informations sur ces attributs et leur mappage aux attributs Workspace ONE, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Outre les attributs requis, vous pouvez synchroniser des attributs facultatifs et personnalisés. Pour obtenir la liste des attributs facultatifs et personnalisés pris en charge, reportez-vous à la section Mappage d'attributs utilisateur pour VMware Identity Services.

Important : Vous ne pouvez pas spécifier des mappages d'attributs de groupe dans Okta à synchroniser avec VMware Identity Services. Vous pouvez uniquement mapper des attributs utilisateur.

Procédure

Dans la console Workspace ONE Cloud, à l'étape 3, Mapper les attributs utilisateur SCIM de l'assistant VMware Identity Services, vérifiez la liste des attributs pris en charge par VMware Identity Services.
Dans la console d'administration d'Okta, accédez à l'application de provisionnement créée pour le provisionnement des utilisateurs dans VMware Identity Services.
Sélectionnez l'onglet Provisionnement.
Faites défiler l'écran jusqu'à la section AppName Mappages d'attributs, puis cliquez sur Accéder à l'Éditeur de profil.
Sur la page Éditeur de profil, sous Attributs, cliquez sur Mappages.
Sélectionnez l'onglet Utilisateur Okta vers AppName.
Mappez les attributs utilisateur SCIM requis à vos attributs Okta, puis cliquez sur Enregistrer les mappages.

Note : L'attribut externalId est défini implicitement.
Ajoutez et mappez les attributs utilisateur SCIM facultatifs et personnalisés, si nécessaire.
Pour ajouter des attributs personnalisés :
1. Dans l'assistant VMware Identity Services, à l'Étape 3 : Mapper les attributs utilisateur SCIM, cliquez sur le lien Afficher les attributs supplémentaires.
  La section Attributs personnalisés répertorie les attributs SCIM que vous pouvez ajouter en tant qu'attributs personnalisés dans Okta. Les attributs personnalisés VMware Identity Services sont nommés urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services prend en charge jusqu'à cinq attributs personnalisés.
2. Dans la console d'administration d'Okta, sur la page Éditeur de profil, cliquez sur + Ajouter un attribut.
3. Dans la fenêtre Ajouter un attribut, entrez les informations suivantes :
  Nom d'affichage : entrez un nom complet pour l'attribut. Par exemple, customAttribute3.
  Nom de la variable : entrez le nom de l'attribut à partir de l'assistant VMware Identity Services. Par exemple, customAttribute3.
  
  Nom externe : entrez le nom de l'attribut à partir de l'assistant VMware Identity Services. Par exemple, customAttribute3.
  
  Espace de noms externe : entrez urn:ietf:params:scim:schemas:extension:ws1b:2.0:User. Vous pouvez également copier cette valeur à partir de l'un des attributs SCIM personnalisés répertoriés dans l'assistant VMware Identity Services. Copiez le nom de l'attribut SCIM sans le suffixe :customAttribute#.
  
  Par exemple :
4. Cliquez sur Enregistrer.
  Le nouvel attribut personnalisé s'affiche dans le tableau Attributs.
5. Cliquez sur Mappages, puis sélectionnez l'onglet Utilisateur Okta vers AppName.
6. Recherchez le nouvel attribut personnalisé dans la colonne de droite et sélectionnez l'attribut auquel vous souhaitez le mapper.
  Par exemple :
7. Cliquez sur Enregistrer les mappages.
8. Cliquez sur Appliquer les mises à jour maintenant.

Que faire ensuite

Revenez à la console Workspace ONE Cloud pour continuer avec l'assistant VMware Identity Services.

Étape 4 : Sélectionner le protocole d'authentification

Sélectionnez le protocole à utiliser pour l'authentification fédérée. VMware Identity Services prend en charge les protocoles OpenID Connect et SAML.

Attention : Faites votre choix avec soin. Après avoir sélectionné le protocole et configuré l'authentification, vous ne pouvez pas changer le type de protocole sans effacer l'annuaire.

Procédure

À l'étape 4, Sélectionner le protocole d'authentification de l'assistant, sélectionnez OpenID Connect ou SAML.
Cliquez sur Suivant.
L'étape suivante de l'assistant s'affiche avec les valeurs requises pour configurer le protocole sélectionné.

Que faire ensuite

Configurez VMware Identity Services et Okta pour l'authentification fédérée.

Étape 5 : Configurer l'authentification (Okta)

Pour configurer l'authentification fédérée avec Okta, configurez une application OpenID Connect ou SAML dans Okta à l'aide des métadonnées du fournisseur de services de VMware Identity Services, puis configurez VMware Identity Services avec les valeurs de l'application.

Important : Assurez-vous de créer des applications distinctes dans la console d'administration d'Okta pour le provisionnement des utilisateurs et la configuration du fournisseur d'identité. Vous ne pouvez pas utiliser la même application pour le provisionnement et l'authentification.

OpenID Connect

Si vous avez sélectionné OpenID Connect comme protocole d'authentification, procédez comme suit.

Note : Consultez également la documentation d'Okta, Create OIDC app integrations, pour obtenir plus d'informations et vous référer à la dernière interface utilisateur.

À l'étape 5, Configurer OpenID Connect de l'assistant de VMware Identity Services, copiez la valeur URI de redirection.
Cette valeur est requise pour l'étape suivante, lorsque vous créez une application OpenID Connect dans la console d'administration d'Okta.
Créez une application OpenID Connect dans Okta.
1. Dans la console d'administration d'Okta, sélectionnez Applications > Applications dans le volet de gauche, puis cliquez sur Créer une intégration d'application.
2. Dans la fenêtre Créer une intégration d'application, sélectionnez OIDC - OpenID Connect.
3. Pour Type d'application, sélectionnez Application Web, puis cliquez sur Suivant.
4. Sur la page Nouvelle intégration d'application Web, spécifiez les valeurs suivantes.
  Nom d'intégration d'application : attribuez un nom à l'application.
  Type d'autorisation : sélectionnez Code d'autorisation.
  URI de redirection de connexion : copiez et collez la valeur URI de redirectionque vous avez copiée à l'étape 5 de l'assistant VMware Identity Services.
  Attributions - Accès contrôlé : vous pouvez attribuer maintenant l'application à un groupe ou définir des attributions ultérieurement.
  Par exemple :
5. Cliquez sur Enregistrer.
Recherchez l'ID client et la clé secrète du client de l'application Okta OpenID Connect.
1. Sélectionnez l'onglet Général.
2. Recherchez les valeurs ID client et Clé secrète du client.
Vous utiliserez ces valeurs à l'étape suivante.

Revenez à l'assistant de VMware Identity Services dans la console Workspace ONE Cloud, puis terminez la configuration dans la section Configurer OpenID Connect.

ID client	Copiez et collez la valeur de l'ID client à partir de l'application Okta OpenID Connect.
Clé secrète du client	Copiez et collez la valeur de la clé secrète du client à partir de l'application Okta OpenID Connect.
URL de configuration	Copiez et collez l'URL de configuration connue OpenID Connect de l'application Okta. Par exemple : `https://yourOktaOrg/.well-known/openid-configuration`
Attribut d'identifiant d'utilisateur OIDC	Spécifiez l'attribut OpenID Connect à mapper à l'attribut Workspace ONE pour les recherches d'utilisateurs.
Attribut d'identifiant d'utilisateur Workspace ONE	Spécifiez l'attribut Workspace ONE à mapper à l'attribut OpenID Connect pour les recherches utilisateurs.

Cliquez sur Terminer pour terminer la configuration de l'intégration entre VMware Identity Services et Okta.

SAML

Si vous avez sélectionné SAML comme protocole d'authentification, procédez comme suit.

Important : Assurez-vous de créer une application pour la configuration du fournisseur d'identité. Vous ne pouvez pas utiliser la même application pour le provisionnement et l'authentification.

Créez une application SAML dans Okta.
1. Dans la console d'administration d'Okta, sélectionnez Applications > Applications, puis cliquez sur Créer une intégration d'application.
2. Dans la fenêtre Créer une intégration d'application, sélectionnez SAML 2.0, puis cliquez sur Suivant.
3. Dans la fenêtre Créer l'intégration SAML, sous l'onglet Paramètres généraux, entrez un nom pour l'application SAML dans la zone de texte Nom de l'application, puis cliquez sur Suivant.
4. Sous l'onglet Configurer SAML de la nouvelle application, copiez et collez les valeurs de VMware Identity Services.
  - Copiez la valeur URL Single Sign-On de l'étape 5 de l'assistant VMware Identity Services et collez-la dans la zone de texte URL Single Sign-On sous Paramètres SAML.
  - Copiez la valeur ID d'entité de l'étape 5 de l'assistant VMware Identity Services et collez-la dans la zone de texte URI de l'audience (ID d'entité du SP).
  Figure 1. VMware Identity Services, étape 5
  
  Figure 2. Application SAML Okta
5. Sélectionnez une valeur pour Format de l'ID du nom.
6. Cliquez sur Afficher les paramètres avancés et, pour l'option Certificat de signature, chargez le Certificat de signature de l'étape 5 de l'assistant VMware Identity Services.
7. Cliquez sur Suivant et terminez de configurer l'application.
Obtenez les métadonnées de fédération dans Okta.
1. Une fois l'application créée, sous l'onglet Authentification, cliquez sur Afficher les instructions de configuration SAML dans le volet de droite.
2. Sous la section Facultatif, copiez les métadonnées de la zone de texte Étape 1 : Fournir les métadonnées IDP suivantes à votre fournisseur SP.
Dans la console Workspace ONE Cloud, à l'étape 5 de l'assistant VMware Identity Services, collez les métadonnées dans la zone de texte Métadonnées du fournisseur d'identité.
Configurez les autres options de la section Configurer Single Sign-On SAML selon les besoins.
- Protocole de liaison : sélectionnez le protocole de liaison SAML, HTTP POST ou Redirection HTTP.
- Format de l'ID du nom : utilisez les paramètres Format de l'ID du nom et Valeur de l'ID du nom pour mapper les utilisateurs entre votre fournisseur d'identité et VMware Identity Services. Pour Format de l'ID du nom, spécifiez le format de l'ID du nom utilisé dans la réponse SAML.
- Valeur de l'ID du nom : sélectionnez l'attribut utilisateur VMware Identity Services auquel mapper la valeur de l'ID du nom reçue dans la réponse SAML.
- Envoyer le sujet dans la demande SAML (si disponible) : sélectionnez cette option pour envoyer le sujet au fournisseur d'identité comme indication de connexion afin d'améliorer l'expérience de connexion de l'utilisateur, si le sujet est disponible.
- Utiliser le mappage du format de l'ID du nom pour le sujet : sélectionnez cette option pour appliquer le mappage du Format de l'ID du nom et de la Valeur de l'ID du nom au sujet dans la demande SAML. Cette option est utilisée avec l'option Envoyer le sujet dans la demande SAML (si disponible).
  Attention : L'activation de cette option risque d'augmenter le risque d'une vulnérabilité de sécurité appelée énumération des utilisateurs.
- Utiliser la déconnexion unique SAML : sélectionnez cette option si vous souhaitez déconnecter les utilisateurs de leur session auprès du fournisseur d'identité à la suite de leur déconnexion des services Workspace ONE.
- URL de déconnexion unique du fournisseur d'identité : si votre fournisseur d'identité ne prend pas en charge la déconnexion unique SAML, vous pouvez utiliser cette option pour spécifier l'URL vers laquelle rediriger les utilisateurs après leur déconnexion des services Workspace ONE. Si vous utilisez cette option, cochez également la case Utiliser la déconnexion unique SAML.
  Si vous laissez cette option vide, les utilisateurs sont redirigés vers le fournisseur d'identité à l'aide de la déconnexion unique SAML.
- Certificat de chiffrement : chargez ce certificat dans l'application SAML Okta si vous prévoyez d'activer le chiffrement SAML dans Okta.
Cliquez sur Terminer pour terminer la configuration de l'intégration entre VMware Identity Services et Okta.

Résultats

L'intégration entre VMware Identity Services et Okta est terminée.

L'annuaire est créé dans VMware Identity Services et est renseigné lorsque vous transférez des utilisateurs et des groupes à partir de l'application de provisionnement dans Okta. Les utilisateurs et les groupes provisionnés s'affichent automatiquement dans les services Workspace ONE que vous choisissez d'utiliser avec VMware Identity Services, tels que Workspace ONE Access et Workspace ONE UEM.

Vous ne pouvez pas modifier l'annuaire dans les consoles Workspace ONE Access et Workspace ONE UEM. Les pages Annuaire, Utilisateurs, Groupes d'utilisateurs, Attributs utilisateur et Fournisseur d'identité sont en lecture seule.

Étape suivante

Sélectionnez ensuite les services Workspace ONE dans lesquels vous souhaitez provisionner des utilisateurs et des groupes.

Ensuite, transférez les utilisateurs et les groupes à partir d'Okta. Reportez-vous à Provisionnement d'utilisateurs dans Workspace ONE.