Integrazione di VMware Identity Services con Okta

Dopo aver abilitato VMware Identity Services per il tenant di Workspace ONE, configurare l'integrazione con Okta.

Nella procedura guidata iniziale di VMware Identity Services fare clic su Inizio nel passaggio 2, Integra provider di identità basato su SCIM 2.0.
Fare clic su Configura nella scheda Okta.
Eseguire la procedura guidata per configurare l'integrazione con Okta.

Passaggio 1: Crea una directory

Come primo passaggio della configurazione del provisioning degli utenti e della federazione delle identità con VMware Identity Services creare una directory nella console di Workspace ONE Cloud per gli utenti e i gruppi di cui Okta esegue il provisioning.

Attenzione: Dopo aver creato una directory, non è possibile modificare la selezione del provider di identità. Assicurarsi di selezionare il provider di identità appropriato prima di procedere.

Procedura

Nel passaggio 1, Informazioni generali, della procedura guidata, immettere il nome che si desidera utilizzare per la directory con provisioning in Workspace ONE.
Il nome può contenere al massimo 128 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-) e caratteri di sottolineatura (_).
Importante: Non è possibile modificare il nome della directory dopo che è stata creata.
In Nome dominio immettere il nome del dominio primario della directory di origine, inclusa l'estensione, ad esempio .com o .net.
VMware Identity Services supporta al momento un solo dominio. Gli utenti e i gruppi di cui è stato eseguito il provisioning sono associati a questo dominio nei servizi di Workspace ONE.
Il nome di dominio può contenere al massimo 100 caratteri. Sono consentiti solo i caratteri seguenti: lettere (a-z o equivalente in altre lingue), numeri (0-9), spazi, trattini (-), caratteri di sottolineatura (_) e punti (.).

Ad esempio:
Fare clic su Salva e confermare la selezione.

Operazioni successive

Configurare il provisioning di utenti e gruppi.

Configurazione del provisioning di utenti e gruppi (Okta)

Dopo aver creato una directory in VMware Identity Services, configurare il provisioning di utenti e gruppi. Iniziare il processo in VMware Identity Services generando le credenziali di amministratore necessarie per il provisioning, quindi creare un'app di provisioning in Okta per eseguire il provisioning di utenti e gruppi in Workspace ONE.

Prerequisiti

Si dispone di un account amministratore in Okta con i privilegi necessari per configurare il provisioning.

Procedura

Nella console di Workspace ONE Cloud, dopo aver creato una directory, rivedere e copiare i valori generati nel passaggio 2, Configura applicazione Okta, della procedura guidata.
Questi valori sono necessari per configurare l'app di provisioning in Okta.
- URL tenant: endpoint SCIM 2.0 del tenant di VMware Identity Services. Copiare il valore.
- Durata token: periodo di validità del token segreto.
  Per impostazione predefinita, VMware Identity Services genera il token con una durata di sei mesi. Per modificare la durata del token, fare clic sulla freccia in giù, selezionare un'altra opzione e fare clic su Rigenera per rigenerare il token con il nuovo valore.
  
  Importante: Ogni volta che si aggiorna la durata del token, il token precedente non è più valido e il provisioning di utenti e gruppi da Okta non riesce. È necessario rigenerare un nuovo token, nonché copiare e incollare il nuovo token nell'app Okta.
- Token segreto: token richiesto da Okta per eseguire il provisioning degli utenti in Workspace ONE. Copiare il valore facendo clic sull'icona per la copia.
  Importante: Assicurarsi di copiare il token prima di fare clic su Avanti. Dopo aver fatto clic su Avanti, il token non sarà più visibile e sarà necessario generare un nuovo token. Se si rigenera il token, il token precedente non è più valido e il provisioning non riesce. Assicurarsi di copiare e incollare il nuovo token nell'app Okta.
Ad esempio:
Quando il token sta per scadere, nella console di Workspace ONE Cloud viene visualizzata una notifica banner. Se si desidera ricevere anche notifiche tramite e-mail, assicurarsi che la casella di controllo E-mail sia selezionata per l'impostazione Scadenza token segreto di Workspace ONE Access e Identity Services. L'impostazione è disponibile nella pagina Impostazioni notifiche nella console di Workspace ONE Cloud.
Creare l'app di provisioning in Okta.
1. Accedere alla console di amministrazione di Okta.
2. Nel riquadro di navigazione a sinistra, selezionare Applicazioni > Applicazioni.
3. Fare clic su Sfoglia catalogo app.
4. Cercare SCIM 2.0 Test App (OAuth Bearer Token).
5. Nella pagina dell'app, fare clic su Aggiungi integrazione.
6. Nella pagina Aggiungi SCIM 2.0 Test App (OAuth Bearer Token) nella scheda Impostazioni generali immettere un nome per l'app nella casella di testo Etichetta applicazione. Ad esempio, VMware Identity Services - SCIM.
7. Fare clic su Avanti.
8. Nella scheda Opzioni di accesso, fare clic su Fine nella parte inferiore della pagina.
  Viene visualizzata la pagina dell'app.
9. Nella pagina dell'app, selezionare la scheda Provisioning.
10. Fare clic su Configura integrazione API.
11. Selezionare la casella di controllo Abilita integrazione API.
12. Completare la sezione Integrazione copiando e incollando le informazioni dalla procedura guidata di VMware Identity Services.
  1. Copiare il valore di URL tenant dalla procedura guidata di VMware Identity Services e incollarlo nella casella di testo URL di base SCIM 2.0 nella console di amministrazione di Okta.
  2. Copiare il valore di Token segreto dalla procedura guidata di VMware Identity Services e incollarlo nella casella di testo Token Bearer OAuth nella console di amministrazione di Okta.
  3. Fare clic sul pulsante Test credenziali API per verificare la connessione.
  4. Assicurarsi che venga visualizzato il messaggio SCIM 2.0 Test App (OAuth Bearer Token) verificata correttamente prima di procedere.
  5. Fare clic su Salva.
    Viene visualizzata la pagina Provisioning nell'app.
13. Nella pagina Provisioning nell'app, fare clic su Modifica e selezionare Abilita per le opzioni seguenti:
  - Creazione di utenti
  - Aggiornamento degli attributi utente
  - Disattivazione degli utenti
14. Fare clic su Salva.

Operazioni successive

Tornare alla console di Workspace ONE Cloud per continuare la procedura guidata di VMware Identity Services.

Passaggio 3: Mappa attributi utente SCIM

Mappare gli attributi utente da sincronizzare da Okta ai servizi di Workspace ONE. Nella console di amministrazione di Okta, aggiungere gli attributi utente SCIM richiesti e mapparli agli attributi di Okta. Sincronizzare almeno gli attributi richiesti da VMware Identity Services e dai servizi di Workspace ONE.

VMware Identity Services e i servizi di Workspace ONE richiedono gli attributi utente SCIM seguenti:

Attributo di Okta	Attributo utente SCIM (obbligatorio)
userName	userName
user.email	emails[type eq "work"].value
user.firstName	name.givenName
user.lastName	name.familyName
externalId	externalId
active	active

Nota: La tabella mostra la mappatura tipica tra gli attributi SCIM obbligatori e gli attributi di Okta. È possibile mappare gli attributi SCIM ad attributi di Okta diversi da quelli elencati qui.

Per ulteriori informazioni su questi attributi e sulla loro mappatura agli attributi di Workspace ONE, vedere Mappatura degli attributi utente per VMware Identity Services.

Oltre agli attributi obbligatori, è possibile sincronizzare attributi facoltativi e personalizzati. Per l'elenco degli attributi facoltativi e personalizzati supportati, vedere Mappatura degli attributi utente per VMware Identity Services.

Importante: In Okta non è possibile specificare mappature degli attributi di gruppo da sincronizzare con VMware Identity Services. È possibile mappare solo attributi utente.

Procedura

Nella console di Workspace ONE Cloud nel passaggio 3, Mappa attributi utente SCIM, della procedura guidata di VMware Identity Services esaminare l'elenco degli attributi supportati da VMware Identity Services.
Nella console di amministrazione di Okta, passare all'app di provisioning creata per il provisioning degli utenti in VMware Identity Services.
Selezionare la scheda Provisioning.
Scorrere fino alla sezione Mappature attributi AppName e fare clic su Vai all'editor profili.
Nella pagina Editor profili, in Attributi fare clic su Mappature.
Selezionare l'Utente Okta per AppName.
Mappare gli attributi utente SCIM obbligatori agli attributi di Okta, quindi fare clic su Salva mappature.

Nota: L'attributo externalId viene impostato implicitamente.
Aggiungere e mappare attributi utente SCIM facoltativi e personalizzati, in base alle esigenze.
Per aggiungere attributi personalizzati:
1. Nel Passaggio 3: Mappa attributi utente SCIM della procedura guidata di VMware Identity Services fare clic sul collegamento Visualizza attributi aggiuntivi.
  Nella sezione Attributi personalizzati sono elencati gli attributi SCIM che è possibile aggiungere come attributi personalizzati in Okta. Gli attributi personalizzati di VMware Identity Services sono denominati urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#. VMware Identity Services supporta fino a cinque attributi personalizzati.
2. Nella console di amministrazione di Okta, nella pagina Editor profilo, fare clic su + Aggiungi attributo.
3. Nella finestra Aggiungi attributo, immettere le informazioni seguenti:
  Nome visualizzato: immettere un nome visualizzato per l'attributo. Ad esempio, customAttribute3.
  Nome variabile: immettere il nome dell'attributo indicato nella procedura guidata di VMware Identity Services. Ad esempio, customAttribute3.
  
  Nome esterno: immettere il nome dell'attributo indicato nella procedura guidata di VMware Identity Services. Ad esempio, customAttribute3.
  
  Spazio dei nomi esterno: immettere urn:ietf:params:scim:schemas:extension:ws1b:2.0:User. È inoltre possibile copiare questo valore da uno qualsiasi degli attributi SCIM personalizzati elencati nella procedura guidata di VMware Identity Services. Copiare il nome dell'attributo SCIM senza il suffisso :customAttribute#.
  
  Ad esempio:
4. Fare clic su Salva.
  Il nuovo attributo personalizzato viene visualizzato nella tabella Attributi.
5. Fare clic su Mappature, quindi selezionare la scheda Utente Okta per AppName.
6. Individuare il nuovo attributo personalizzato nella colonna a destra e selezionare l'attributo a cui si desidera mapparlo.
  Ad esempio:
7. Fare clic su Salva mappature.
8. Fare clic su Applica aggiornamenti ora.

Operazioni successive

Tornare alla console di Workspace ONE Cloud per continuare la procedura guidata di VMware Identity Services.

Passaggio 4: Seleziona protocollo di autenticazione

Selezionare il protocollo da utilizzare per l'autenticazione federata. VMware Identity Services supporta i protocolli OpenID Connect e SAML.

Attenzione: Effettuare una scelta ponderata. Dopo aver selezionato il protocollo e aver configurato l'autenticazione, non è possibile modificare il tipo di protocollo senza eliminare la directory.

Procedura

Nel passaggio 4, Seleziona protocollo di autenticazione, della procedura guidata selezionare OpenID Connect o SAML.
Fare clic su Avanti.
Viene visualizzato il passaggio successivo della procedura guidata con i valori necessari per configurare il protocollo selezionato.

Operazioni successive

Configurare VMware Identity Services e Okta per l'autenticazione federata.

Passaggio 5: Configura autenticazione (Okta)

Per configurare l'autenticazione federata con Okta, configurare un'app OpenID Connect o SAML in Okta utilizzando i metadati del provider di servizi da VMware Identity Services e configurare VMware Identity Services con i valori dell'app.

Importante: Assicurarsi di creare app separate nella console di amministrazione di Okta per il provisioning degli utenti e la configurazione del provider di identità. Non è possibile utilizzare la stessa app per il provisioning e l'autenticazione.

OpenID Connect

Se si seleziona OpenID Connect come protocollo di autenticazione, eseguire i passaggi seguenti.

Nota: Vedere anche la documentazione di Okta, Creazione delle integrazioni delle app OIDC, per ulteriori informazioni e per fare riferimento all'interfaccia utente più recente.

Dal passaggio 5, Configura OpenID Connect della procedura guidata di VMware Identity Services copiare il valore di URI di reindirizzamento.
Questo valore è necessario per il passaggio successivo, quando si crea un'applicazione OpenID Connect nell'interfaccia di amministrazione di Okta.
Creare un'app OpenID Connect in Okta.
1. Nella console di amministrazione di Okta, selezionare Applicazioni > Applicazioni nel riquadro sinistro, quindi fare clic su Crea integrazione app.
2. Nella finestra Crea nuova integrazione app, selezionare OIDC - OpenID Connect.
3. In Tipo di applicazione, selezionare Applicazione Web, quindi fare clic su Avanti.
4. Nella pagina Nuova integrazione app Web, specificare i valori seguenti.
  Nome integrazione app: immettere un nome per l'app.
  Tipo di concessione: selezionare Codice di autorizzazione.
  URI di reindirizzamento accesso: incollare il valore di URI di reindirizzamento copiato nel passaggio 5 della procedura guidata di VMware Identity Services.
  Assegnazioni - Accesso controllato: è possibile scegliere di assegnare l'app a un gruppo ora o effettuare le assegnazioni in un secondo momento.
  Ad esempio:
5. Fare clic su Salva.
Individuare l'ID client e il segreto client dell'app OpenID Connect di Okta.
1. Selezionare la scheda Generale.
2. Individuare i valori di ID client e Segreto client.
Questi valori verranno utilizzati nel passaggio successivo.

Tornare alla procedura guidata di VMware Identity Services nella console di Workspace ONE Cloud e completare la configurazione nella sezione Configura OpenID Connect.

ID client	Copiare e incollare il valore dell'ID client dall'app OpenID Connect di Okta.
Segreto client	Copiare e incollare il valore del segreto client dall'app OpenID Connect di Okta.
URL configurazione	Copiare e incollare l'URL di configurazione noto di OpenID Connect dell'app di Okta. Ad esempio: `https://yourOktaOrg/.well-known/openid-configuration`
Attributo identificatore utente OIDC	Specificare l'attributo di OpenID Connect da mappare all'attributo di Workspace ONE per le ricerche degli utenti.
Attributo identificatore utente Workspace ONE	Specificare l'attributo di Workspace ONE da mappare all'attributo di OpenID Connect per le ricerche degli utenti.

Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Okta.

SAML

Se si seleziona SAML come protocollo di autenticazione, eseguire i passaggi seguenti.

Importante: Assicurarsi di creare una nuova app per la configurazione del provider di identità. Non è possibile utilizzare la stessa app per il provisioning e l'autenticazione.

Creare un'app SAML in Okta.
1. Nella console di amministrazione di Okta, selezionare Applicazioni > Applicazioni, quindi fare clic su Crea integrazione app.
2. Nella finestra Crea nuova integrazione app, selezionare SAML 2.0 e fare clic su Avanti.
3. Nella finestra Crea integrazione SAML, nella scheda Impostazioni generali, immettere un nome per l'app SAML nella casella di testo Nome app, quindi fare clic su Avanti.
4. Nella scheda Configura SAML della nuova app, copiare e incollare i valori da VMware Identity Services.
  - Copiare il valore di URL Single Sign-On nel passaggio 5 della procedura guidata di VMware Identity Services e incollarlo nella casella di testo URL Single Sign-On in Impostazioni SAML.
  - Copiare il valore di ID entità nel passaggio 5 della procedura guidata di VMware Identity Services e incollarlo nella casella di testo URI destinatari (ID entità provider di servizi).
  Figura 1. Passaggio 5 di VMware Identity Services
  
  Figura 2. App SAML di Okta
5. Selezionare un valore per Formato ID nome.
6. Fare clic su Visualizza impostazioni avanzate e per l'opzione Certificato di firma caricare il Certificato di firma dal passaggio 5 della procedura guidata di VMware Identity Services.
7. Fare clic su Avanti e completare la configurazione dell'app.
Recuperare i metadati della federazione da Okta.
1. Dopo aver creato l'app, nella scheda Accesso, fare clic su Visualizza istruzioni configurazione SAML nel riquadro destro.
2. Nella sezione Facoltativo, copiare i metadati dalla casella di testo Passaggio 1: Specifica i metadati del provider di identità seguenti per il provider di servizi.
Nella console di Workspace ONE Cloud, nel passaggio 5 della procedura guidata di VMware Identity Services, incollare i metadati nella casella di testo Metadati provider di identità.
Configurare le altre opzioni nella sezione Configura Single Sign-On SAML come richiesto.
- Protocollo di binding: selezionare il protocollo di binding SAML, HTTP POST o Reindirizzamento HTTP.
- Formato ID nome: utilizzare le impostazioni di Formato ID nome e Valore ID nome per mappare gli utenti tra il provider di identità e VMware Identity Services. In Formato ID nome, specificare il formato dell'ID nome utilizzato nella risposta SAML.
- Valore ID nome: selezionare l'attributo utente di VMware Identity Services a cui mappare il valore dell'ID nome ricevuto nella risposta SAML.
- Invia oggetto nella richiesta SAML (se disponibile): selezionare questa opzione se si desidera inviare l'oggetto al provider di identità come suggerimento di accesso per migliorare l'esperienza di accesso dell'utente, se disponibile.
- Usa mappatura del formato ID nome per l'oggetto: selezionare questa opzione se si desidera applicare la mappatura di Formato ID nome e Valore ID nome all'oggetto nella richiesta SAML. Questa opzione viene utilizzata con l'opzione Invia oggetto nella richiesta SAML (se disponibile).
  Attenzione: Se si abilita questa opzione, è possibile che aumenti il rischio che si verifichi la vulnerabilità della sicurezza nota come enumerazione dell'utente.
- Usa disconnessione singola SAML: selezionare questa opzione se si desidera disconnettere gli utenti dalla sessione del provider di identità quando si disconnettono dai servizi di Workspace ONE.
- URL disconnessione singola provider di identità: se il provider di identità non supporta la disconnessione singola SAML, è possibile utilizzare questa opzione per specificare l'URL a cui reindirizzare gli utenti dopo la disconnessione dai servizi di Workspace ONE. Se si utilizza questa opzione, selezionare anche la casella di controllo Usa disconnessione singola SAML.
  Se si lascia vuota questa opzione, gli utenti vengono reindirizzati al provider di identità utilizzando la disconnessione singola SAML.
- Certificato di crittografia: caricare questo certificato nell'app SAML di Okta se si intende abilitare la crittografia SAML in Okta.
Fare clic su Fine per completare la configurazione dell'integrazione tra VMware Identity Services e Okta.

Risultati

L'integrazione tra VMware Identity Services e Okta è stata completata.

In VMware Identity Services viene creata la directory che verrà compilata quando si esegue il push di utenti e gruppi dall'app di provisioning in Okta. Gli utenti e i gruppi di cui è stato eseguito il provisioning verranno visualizzati automaticamente nei servizi di Workspace ONE scelti per l'utilizzo con VMware Identity Services, come Workspace ONE Access e Workspace ONE UEM.

Non è possibile modificare la directory nelle console di Workspace ONE Access e Workspace ONE UEM. Le pagine di directory, utenti, gruppi di utenti, attributi utente e provider di identità sono di sola lettura.

Operazioni successive

Selezionare i servizi di Workspace ONE in cui si desidera eseguire il provisioning di utenti e gruppi.

Quindi, eseguire il push di utenti e gruppi da Okta. Vedere Provisioning degli utenti in Workspace ONE.