Configurer l'authentification SSO avec Okta

Utiliser Okta avec Devolutions Cloud pour l’authentification unique (SSO) en suivant les étapes sur cette page. Consulter d’abord les exigences et les fonctionnalités prises en charge ci-dessous.

Pour utiliser l’authentification unique (SSO) ou le provisionnement automatique (SCIM) avec Okta, un compte Okta avec les droits appropriés est requis. La procédure de validation du domaine doit aussi être complétée pour vérifier la propriété du ou des domaines configurés. Seuls les utilisateurs dont les courriels appartiennent à des domaines validés peuvent se connecter en SSO ou être provisionnés via SCIM.

• Se connecter à l’instance Devolutions Cloud via Okta SSO

• Provisionnement juste-à-temps (JAT) des utilisateurs connectés via Okta SSO

• Synchroniser votre Okta avec Devolutions Cloud

  • Créer/mettre à jour des utilisateurs d’Okta vers Devolutions Cloud (créer des utilisateurs, mettre à jour les attributs des utilisateurs et désactiver des utilisateurs)

  • Créer/mettre à jour des groupes d’Okta vers Devolutions Cloud (push de groupes)

Voici les étapes pour valider le domaine, configurer l’authentification unique et effectuer le provisionnement des utilisateurs.

Dans Devolutions Cloud

1. Accéder à Administration – Authentification – Domaine, puis cliquer sur Ajouter un domaine.

   

2. Saisir le domaine, puis cliquer sur la coche pour lancer le processus de vérification.

   

   Pour des raisons de sécurité, seuls les courriels qui se terminent par le nom de votre domaine sont autorisés à se connecter à Devolutions Cloud avec l'authentification Okta. Par exemple, si les courriels des employés suivent le format "bob@windjammer.co", le domaine est "windjammer.co".

3. Pour gérer plusieurs domaines, cliquer sur Ajouter un domaine de nouveau, saisir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine à ajouter.

   

4. Créer un enregistrement DNS TXT à l’aide du nom d’hôte et de la valeur TXT fournis. Cela permet de vérifier la propriété du ou des domaines indiqués.

   

   Il est recommandé de vérifier que la configuration est adéquate en utilisant des outils d’interrogation DNS tels que MXToolBox ou whatsmydns.net. L’exemple ci-dessous utilise l’outil « TXT Lookup » de MXToolBox. La première partie du nom de domaine doit correspondre au Nom d’hôte dans Devolutions Cloud et l’Enregistrement doit correspondre à la Valeur TXT dans Devolutions Cloud également.

   Les enregistrements DNS TXT peuvent mettre un certain temps à se propager. Une fois le domaine vérifié, il n'est plus nécessaire de conserver l’enregistrement DNS TXT.

   

5. Attendre la vérification du domaine. Une fois que la vérification est réussie, une coche dans un cercle vert s’affichera à côté du domaine. Procéder à la configuration de l’authentification unique (SSO) pendant le processus de vérification; toutefois, le provisionnement des utilisateurs ne devient accessible qu’après la vérification du domaine.

   

   Cette validation dure 48 heures et ne redémarre pas automatiquement après ce délai. Si l'enregistrement TXT n'est pas configuré dans ces 48 heures, le statut de la validation sera Expiré. Si cela se produit, cliquer sur Réessayer.

   Si des problèmes surviennent lors de la tentative de vérification du domaine, consulter notre guide de dépannage de validation de domaine.

1. Aller dans Administration – Authentification – Authentification unique (SSO), puis cliquer sur Okta authentification unique (SSO) pour être redirigé vers la page de configuration.

2. Nommer la configuration SSO. Ce nom apparaîtra uniquement dans le menu des paramètres SSO de Devolutions Cloud. Le nom par défaut est « Okta ».

   Ne pas fermer cette page de configuration, car les étapes suivantes montrent où trouver les informations à saisir dans ses champs.

Dans Okta

3. Se connecter au compte Okta.

4. Dans Applications, cliquer sur Explorer le catalogue d’applis.

   

5. Rechercher Devolutions Cloud, puis cliquer sur l'application dans les résultats de recherche.

6. Cliquer sur Ajouter une intégration en haut.

7. Dans l'onglet Connexion, copier l'ID client.

Dans Devolutions Cloud

8. Revenir à la page Configurer l’authentification unique (SSO) et coller le Client ID de l’étape précédente dans le champ du même nom.

Dans Okta

9. De retour dans l'onglet Connexion, copier le secret client.

Dans Devolutions Cloud

10. De retour sur la page Configurer l'authentification unique (SSO), coller le Secret client de l'étape précédente dans le champ Clé du secret client.

11. Dans URL de découverte, entrer l'URL utilisée pour accéder à Okta, sans la partie « -admin ».

    Ne pas tester la connexion tout de suite, car les utilisateurs doivent d'abord être assignés à l'application.

Dans Okta

12. Dans l’onglet Attributions, vérifier que chaque utilisateur utilisé pour tester la configuration est affecté à l’application. Pour plus de détails, consulter la documentation propre à Okta sur la gestion des utilisateurs et l’attribution d’application.

Dans Devolutions Cloud

13. Tester la configuration dans Devolutions Cloud. Une nouvelle fenêtre s'ouvre pour connecter à Devolutions Cloud via Okta. Une fois connecté, un message de réussite s'affiche.

14. Cliquer sur Enregistrer dans le Résumé de la configuration Okta SSO.

    

La configuration SSO est maintenant terminée. Une icône de coche verte devrait apparaître à côté de la configuration, ce qui signifie que la configuration SSO via Okta est maintenant activée sur Devolutions Cloud.

Lors de la connexion à Devolutions Cloud, cliquer sur Se connecter avec Okta.

Une page de connexion Okta s’ouvrira. Saisir les identifiants Okta et cliquer sur Se connecter. Devolutions Cloud deviendra alors accessible.

Synchroniser les utilisateurs et les groupes d'utilisateurs des fournisseurs vers Devolutions Cloud en suivant les étapes de cette section. Consulter d'abord la liste des fonctionnalités prises en charge ci-dessous.

• Créer des utilisateurs

• Mettre à jour les attributs utilisateur

• Désactiver des utilisateurs

• Push de groupe

Dans Okta

1. Aller à l’application Devolutions Cloud.

2. Dans l'onglet Provisionnement, cliquer sur Configurer l'intégration API.

3. Cocher la case Activer l’intégration API.

Dans Devolutions Cloud

4. Aller à Administration – Authentification – Provisionnement et activer le provisionnement SCIM.

5. Copier le jeton secret en cliquant sur l'icône Copier dans le presse-papiers à côté.

Dans Okta

6. De retour dans l'onglet Provisionnement dans Okta, coller le jeton secret de l'étape précédente dans le champ Jeton API.

7. Cliquer sur Tester les identifiants de l’API. Un message de succès devrait apparaître.

Dans Devolutions Cloud

9. De retour dans la configuration Provisionnement dans Devolutions Cloud, cliquer sur Activer la synchronisation.

Dans Okta

10. Enregistrer la configuration du provisionnement Okta.

11. Toujours dans l'onglet Provisionnement, aller dans les paramètres Vers l’application, puis cliquer sur Modifier.

12. Activer/désactiver les paramètres suivants :

    • Activer :

      • Créer des utilisateurs

      • Mettre à jour les attributs

      • Désactiver les utilisateurs

    • Désactiver :\n

      • Définir le mot de passe lors de la création de nouveaux utilisateurs (sous le paramètre Créer des utilisateurs)

13. Enregistrer les modifications.

La synchronisation d'Okta vers Devolutions Cloud est maintenant configurée.

Q : Pourquoi les utilisateurs reçoivent-ils encore une invite de mot de passe après la connexion SSO ?

R : Cette invite concerne la clé privée. Lorsque les utilisateurs se connectent, ils doivent choisir comment la clé privée sera stockée. S’ils choisissent mot de passe, ils devront le saisir la première fois qu’ils se connectent à partir d’un nouveau navigateur ou après avoir vidé le cache du navigateur.

Q : Peut-on désactiver cette invite clé privée ?

R : La seule façon de désactiver l'invite de clé privée est de configurer votre propre service de chiffrement. Pour plus de détails, voir cet article suivant.

Q : Comment ajouter des invités sur Devolutions Cloud ?

R : Si des utilisateurs invités font partie d'Okta, ils peuvent être ajoutés via le processus de provisionnement. Une fois que les utilisateurs invités n'ont plus besoin d'accès, il suffit de les retirer de la configuration de provisionnement.

Q : L'ID client ou le secret fourni par votre organisation est invalide, veuillez contacter un administrateur de votre organisation.

R : Cela signifie probablement que le secret client a expiré dans Okta. La solution est de créer un nouveau secret et de le mettre à jour dans la configuration SSO de Devolutions Cloud.

Q : Si l’option pour forcer tous les utilisateurs et administrateurs à s’authentifier avec le SSO est activée, que se passe-t-il si le SSO échoue ?

R : Si Forcer SSO est activé pour tous les utilisateurs, ils perdront l'accès à Devolutions Cloud en cas de mauvaise configuration ou de panne du fournisseur SSO. Il est fortement recommandé d’informer tous les utilisateurs existants de Devolutions Cloud de cette nouvelle méthode d’authentification avant l’activation. Sinon, voir Désactiver Forcer SSO pour tous les utilisateurs dans Devolutions Cloud avec PowerShell pour désactiver temporairement la fonctionnalité.

Q : Peut-on modifier l’UPN d’un utilisateur ?

R : Devolutions Cloud utilise l’UPN, et non le courriel, pour authentifier les utilisateurs dans la base de données. Modifier l’UPN modifie également les informations liées à l’utilisateur. Devolutions Cloud considère alors qu’il s’agit d’un nouvel utilisateur, ce qui exige de répéter le processus d’invitation.