若要支援從 Okta 進行的 OpenID Connect (OIDC) 單一登入 (SSO),您必須先在 Okta 中設定應用程式。若要在 Okta 中設定用於 SSO 的 OIDC 應用程式,請執行此程序的步驟。
必要條件
請確定您有 Okta 帳戶可進行登入。
程序
- 若要建立新的應用程式:
- 在上方導覽列中,按一下應用程式 (Applications) > 新增應用程式 (Add Application)。
新增應用程式 (Add Application) 畫面隨即出現。
- 按一下建立新的應用程式 (Create New App)。
建立新的應用程式整合 (Create a New Application Integration) 對話方塊隨即出現。
- 在平台 (Platform) 下拉式功能表中,選取 Web。
- 選取 OpenID Connect 作為登入方法,然後按一下建立 (Create)。
建立 OpenID Connect 整合 (Create OpenID Connect Integration) 畫面隨即出現。
- 在一般設定 (General Settings) 區域的應用程式名稱 (Application name) 文字方塊中,輸入應用程式的名稱。
- 在設定 OPENID CONNECT (CONFIGURE OPENID CONNECT) 區域下的登入重新導向 URI (Login redirect URIs) 文字方塊中,輸入 SASE Orchestrator 應用程式作為回撥端點的重新導向 URL。
在 SASE Orchestrator 應用程式的 設定驗證 (Configure Authentication) 畫面底部,您可以找到重新導向 URL 連結。理想情況下, SASE Orchestrator 重新導向 URL 將會採用下列格式:https://<Orchestrator URL>/login/ssologin/openidCallback。
- 按一下儲存 (Save)。新建立的應用程式頁面隨即出現。
- 在一般 (General) 索引標籤上按一下編輯 (Edit),並針對允許的授與類型選取重新整理 Token (Refresh Token),然後按一下儲存 (Save)。
請記下 SASE Orchestrator 中 SSO 設定期間所要使用的用戶端認證 (用戶端識別碼和用戶端密碼)。
- 按一下登入 (Sign On) 索引標籤,然後在 OpenID Connect ID Token 區域下方按一下編輯 (Edit)。
- 在群組宣告類型 (Groups claim type) 下拉式功能表中,選取運算式 (Expression)。依預設,群組宣告類型會設定為篩選器 (Filter)。
- 群組宣告運算式 (Groups claim expression) 文字方塊中,輸入將在 Token 中使用的宣告名稱,以及評估 Token 的 Okta 輸入運算式陳述式。
- 按一下儲存 (Save)。
應用程式會設定於 IDP 中。您可以將使用者群組和使用者指派給 SASE Orchestrator 應用程式。
- 在上方導覽列中,按一下應用程式 (Applications) > 新增應用程式 (Add Application)。
- 若要將群組和使用者指派給 SASE Orchestrator 應用程式:
- 移至應用程式 (Application) > 應用程式 (Applications),然後按一下 SASE Orchestrator 應用程式連結。
- 在指派 (Assignments) 索引標籤上,從指派 (Assign) 下拉式功能表中選取指派給群組 (Assign to Groups) 或指派給人員 (Assign to People)。
將 <應用程式名稱> 指派給群組 (Assign <Application Name> to Groups) 或 將 <應用程式名稱> 指派給人員 (Assign <Application Name> to People) 對話方塊隨即出現。
- 按一下您想要為其指派 SASE Orchestrator 應用程式之可用使用者群組或使用者旁邊的指派 (Assign),然後按一下完成 (Done)。
指派給 SASE Orchestrator 應用程式的使用者或使用者群組將會顯示。
結果
您已完成在 Okta 中設定以 OIDC 為基礎的應用程式以用於 SSO 的作業。
下一步
在 SASE Orchestrator 中設定單一登入。
