Configurer l'authentification SSO avec Okta

Sur cette page

Utiliser Okta avec Devolutions Hub Business pour l’authentification par authentification unique (SSO) en suivant les étapes de cette page. Voir d’abord les exigences et les fonctionnalités prises en charge ci-dessous.

Même avec une SSO configurée, accéder à une information sensible nécessite toujours de saisir un mot de passe, de répondre à une notification poussée, de scanner un code QR ou de satisfaire à toute autre étape de confirmation jugée nécessaire pour respecter le principe de connaissance nulle. Installer le service de chiffrement de Devolutions permet de contourner cette mesure.

Exigences

Pour utiliser la SSO ou le provisionnement automatique (SCIM) avec Okta, un compte Okta avec les droits appropriés est requis. La procédure de validation de domaine doit également être complétée afin de vérifier la propriété du ou des domaines configurés. Seuls les utilisateurs ayant une adresse courriel dont le domaine a été validé peuvent se connecter via SSO ou être provisionnés via SCIM.

Fonctionnalités prises en charge

  • Se connecter au Hub via Okta SSO

  • Effectuer le provisioning juste-à-temps (JAT) des utilisateurs connectés via Okta SSO

  • Synchroniser votre Okta à Devolutions Hub\n

    • Créer/mettre à jour les utilisateurs d’Okta vers Devolutions Hub (créer des utilisateurs, mettre à jour les attributs utilisateur et désactiver les utilisateurs)

    • Créer/mette à jour des groupes depuis Okta vers Devolutions Hub (group push)

Inviter les utilisateurs provisionnés juste-à-temps par SSO ou créés par synchronisation SCIM sur le Hub dans Administration – Utilisateurs, comme indiqué dans les étapes ci-dessous.

Étapes de la configuration

Voici les étapes pour valider le domaine, configurer l'authentification unique et effectuer le provisionnement des utilisateurs.

Vérification du domaine

Dans Devolutions Hub Business

  1. Aller dans Administration – Authentification – Domaine, puis cliquer sur Ajouter un domaine.

  2. Saisir le domaine, puis cliquer sur la coche pour lancer le processus de vérification.

    Pour des raisons de sécurité, seuls les courriels se terminant par votre nom de domaine peuvent se connecter à Devolutions Hub avec l’authentification Okta. Par exemple, si les courriels des employés sont au format « bob@windjammer.co », le domaine est « windjammer.co ».

  3. Pour ajouter plusieurs domaines, cliquer de nouveau sur Ajouter un domaine, saisir l’autre domaine, puis cliquer sur la coche. Répéter cette opération pour chaque domaine que vous souhaitez ajouter.

  4. Créer un DNS TXT Record en utilisant le nom d’hôte et la valeur TXT fournis. Cela nous permet de vérifier la propriété du ou des domaines fournis.

    Il est recommandé de vérifier que la configuration est adéquate à l’aide d’outils de requête DNS tels que MXToolBox ou whatsmydns.net. L’exemple ci-dessous utilise l’outil de recherche TXT de MXToolBox. La première partie du nom de domaine doit être identique au Nom d’hôte dans Devolutions Hub et l’enregistrement doit correspondre à la valeur TXT dans Devolutions Hub également.

    Les enregistrements DNS TXT peuvent prendre un certain temps à se propager. Une fois le domaine vérifié, il n'est pas nécessaire de garder l’enregistrement DNS TXT.

  5. Attendre la vérification du domaine. Après une vérification réussie, une coche dans un cercle vert s’affichera à côté du domaine. Procéder à la configuration de l’authentification unique (SSO) durant le processus de vérification ; cependant, le provisioning des utilisateurs ne devient accessible qu’après la vérification du domaine.

    Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si l’enregistrement TXT n’est pas configuré dans ce délai de 48 heures, le statut de validation deviendra Expiré. Si cela survient, cliquer sur Réessayer.

    En cas de problème lors de la tentative de validation du domaine, consulter notre guide de dépannage de la validation de domaine.

Configurer l’authentification unique (SSO)

  1. Aller dans Administration – Authentification – Authentification unique (SSO), puis cliquer sur Authentification unique Okta (SSO) afin d’être redirigé vers la page de configuration.

  2. Nommer la configuration SSO dans Name. Ce nom s’affichera uniquement dans le menu des paramètres SSO de Devolutions Hub. Le nom par défaut est « Okta ».

    Ne pas fermer cette page de configuration, car les étapes suivantes indiquent où trouver les informations à renseigner dans ses champs.

Dans Okta

  1. Se connecter au compte Okta.

  2. Dans Applications, cliquer sur Browse App Catalog.

  3. Rechercher Devolutions Hub, puis cliquer sur l’application dans les résultats de recherche.

  4. Cliquer sur Add Integration en haut.

  5. Dans l’onglet Sign On, copier l’ID client.

Dans Devolutions Hub Business

  1. De retour sur la page Configurer l’authentification unique (SSO), coller le Client ID obtenu à l’étape précédente dans le champ du même nom.

Dans Okta

  1. De retour sur l’onglet Sign On, copier le secret client.

Dans Devolutions Hub Business

  1. Retourner à la page Configurer l’authentification unique (SSO) et coller le secret client de l’étape précédente dans le champ clé secret client.

  2. Dans URL de découverte, saisir l’URL utilisée pour accéder à Okta, sans la partie « -admin ».

    Ne pas tester la connexion tout de suite, car les utilisateurs doivent d’abord être assignés à l’application.

Dans Okta

  1. Dans l’onglet Assignments, s’assurer que chaque utilisateur utilisé pour tester la configuration est affecté à l’application. Pour plus de détails, consulter la documentation d’Okta concernant la gestion de l'accès et l’affectation des applications.

Dans Devolutions Hub Business

  1. Tester la configuration dans Devolutions Hub. Une nouvelle fenêtre s’ouvre afin de se connecter à Devolutions Hub via Okta. Une fois connecté, un message de réussite s’affiche.

Si la fenêtre contextuelle n’apparaît pas, le navigateur ou une extension de navigateur peut la bloquer. Changer les paramètres du navigateur et/ou de l’extension. Si cela ne fonctionne toujours pas, désactiver/retirer l’extension ou changer de navigateur peut aussi résoudre le problème.

  1. Cliquer sur Enregistrer dans le Résumé de la configuration SSO Okta.

La configuration SSO est maintenant terminée. Une icône de coche verte devrait maintenant apparaître à côté de la configuration, indiquant que l’authentification unique via Okta est maintenant activée sur le Hub.

Connexion SSO Okta

Lors de la connexion au Hub, cliquer sur Se connecter avec Okta.

Une page d’authentification Okta s’ouvre. Entrer les identifiants Okta et cliquer sur Sign in. Le Hub sera alors accessible.

Configuration du provisionnement SCIM

Synchroniser les utilisateurs et groupes d’utilisateurs provenant des fournisseurs vers le Hub en suivant les étapes de cette section. Voir d’abord la liste des fonctionnalités prises en charge ci-dessous.

Noter que seule la synchronisation dans un sens est prise en charge, d’Okta vers Devolutions Hub, spécifiquement pour les utilisateurs et les groupes. La synchronisation de Devolutions Hub vers Okta n’est pas prise en charge.

Fonctionnalités prises en charge

  • Créer des utilisateurs

  • Mettre à jour les attributs utilisateur

  • Désactiver les utilisateurs

  • Push de groupe

Étapes de configuration du provisionnement

Dans Okta

  1. Accéder à l’application Devolutions Hub Business.

  2. Dans l’onglet Provisioning, cliquer sur Configurer l’intégration API.

  3. Cocher la case Enable API Integration.

Dans Devolutions Hub Business

  1. Aller à Administration – Authentification – Provisioning et activer le provisioning SCIM.

  2. Copier le jeton secret en cliquant sur l’icône Copier dans le presse-papiers à côté.

Dans Okta

  1. Retourner à l’onglet Provisioning dans Okta, puis coller le jeton secret de l’étape précédente dans le champ API Token.

  2. Cliquer sur Test API Credentials. Un message de succès devrait s'afficher.

Dans Devolutions Hub Business

  1. Retourner à la configuration Provisioning dans Devolutions Hub, cliquer sur Activer la synchronisation.

Dans Okta

  1. Enregistrer la configuration d’approvisionnement Okta.

  2. Toujours dans l’onglet Provisioning, aller dans les paramètres Vers l’application puis cliquer sur Modifier.

  3. Activer/désactiver les paramètres suivants :

    • Activer :\n

      • Créer des utilisateurs

      • Update Attributes

      • Désactiver les utilisateurs

    • Désactiver :\n

      • Définir un mot de passe lors de la création de nouveaux utilisateurs (sous le paramètre Créer des utilisateurs)

  4. Enregistrer les modifications.

La synchronisation d’Okta vers Devolutions Hub Business est maintenant configurée.

Il est possible d’assigner des utilisateurs et des groupes à synchroniser. Pour plus de détails, consulter la documentation d’Okta sur l’assignation d’applications à des utilisateurs et l’assignation d’une intégration d’application à un groupe.

Q&R

Q : Pourquoi les utilisateurs reçoivent-ils toujours une invite de mot de passe après la connexion SSO ?

R : Cette invite est liée à la clé privée. Lorsque les utilisateurs se connectent, ils doivent choisir la façon dont la clé privée sera stockée. S’ils choisissent mot de passe, ils devront le saisir la première fois qu’ils se connectent depuis un nouveau navigateur ou après avoir vidé le cache de leur navigateur.

Q : Peut-on désactiver cette invite de clé privée ?

R : La seule façon de désactiver l’invite de clé privée consiste à configurer votre propre service de chiffrement. Pour plus de détails, consulter le article suivant.

Q : Comment ajouter des utilisateurs invités à notre Devolutions Hub ?

R : Si les utilisateurs invités font partie d’Okta, ils peuvent être ajoutés lors du processus de provisionnement. Une fois que ces utilisateurs n’ont plus besoin d’accès, simplement les retirer de la configuration du provisionnement.

Q : L’ID client ou le secret fourni par votre organisation est invalide, veuillez contacter un administrateur de votre organisation.

R : Cela signifie probablement que le secret client a expiré dans Okta. La solution est de créer un nouveau secret et de le mettre à jour dans la configuration SSO de Devolutions Hub Business.

Q : Si l’option obligeant tous les utilisateurs et administrateurs à se connecter via SSO est activée, que se passe-t-il si le SSO échoue ?

R : Si Forcer SSO est activé pour tout le monde, les utilisateurs perdront l’accès à Devolutions Hub Business en cas d’erreur de configuration ou d’indisponibilité du fournisseur SSO. Il est fortement recommandé d’aviser tous les utilisateurs existants dans Devolutions Hub Business de cette nouvelle méthode d'authentification avant son activation. Alternativement, voir Désactiver Forcer SSO pour tous les utilisateurs dans Devolutions Hub Business à l’aide de PowerShell pour désactiver temporairement la fonctionnalité.

Q : Le UPN d’un utilisateur peut-il être modifié ?

R : Devolutions Hub Business utilise l’UPN, et non l’adresse courriel, pour authentifier les utilisateurs dans la base de données. Modifier l’UPN change aussi les informations liées à l’utilisateur. Devolutions Hub considère alors ce cas comme un nouvel utilisateur, ce qui nécessite de répéter le processus d’invitation.

Devolutions Forum logo Partagez vos commentaires