Utiliser Okta avec Devolutions Hub Business pour l'authentification à authentification unique (SSO) en suivant les étapes de cette page. Voir d'abord les exigences et les fonctionnalités prises en charge ci-dessous.
Exigences
Pour utiliser SSO ou le provisionnement automatique (SCIM) avec Okta, un compte Okta avec les droits appropriés est requis. La procédure de validation de domaine doit également être complétée pour vérifier la propriété des domaines configurés. Seuls les utilisateurs avec des courriels dont les domaines ont été vérifiés sont autorisés à se connecter via SSO ou à être provisionnés via SCIM.
Fonctionnalités prises en charge
- Se connecter au Hub via Okta SSO
- Provisionnement juste-à-temps (JAT) des utilisateurs connectés via Okta SSO
- Synchroniser votre Okta avec Devolutions Hub
- Créer/mettre à jour des utilisateurs d'Okta vers Devolutions Hub (créer des utilisateurs, mettre à jour les attributs des utilisateurs et désactiver des utilisateurs)
- Créer/mettre à jour des groupes d'Okta vers Devolutions Hub (push de groupe)
Les utilisateurs provisionnés JAT par SSO ou créés par synchronisation SCIM doivent être invités au Hub dans Administration – Utilisateurs, comme décrit dans les étapes ci-dessous.
Étapes de configuration
Voici les étapes pour valider le domaine, configurer l'authentification unique, et effectuer le provisionnement des utilisateurs.
Vérification de domaine
Dans Devolutions Hub Business
-
Aller à Administration – Authentification – Domaine, puis cliquer sur Ajouter un domaine.
-
Remplir le domaine, puis cliquer sur la coche pour démarrer le processus de vérification.
Pour des raisons de sécurité, seuls les courriels se terminant par votre nom de domaine sont autorisés à se connecter à Devolutions Hub en utilisant l'authentification Okta. Par exemple, si les courriels des employés sont au format "bob@windjammer.co", le domaine est "windjammer.co".
-
Pour avoir plusieurs domaines, cliquer sur Ajouter un domaine à nouveau, remplir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine que vous souhaitez ajouter.
-
Créer un enregistrement DNS TXT en utilisant le Nom d'hôte et la Valeur TXT fournis. Cela nous permet de vérifier la propriété du ou des domaines fournis.
Il est recommandé de vérifier que la configuration est adéquate en utilisant des outils de requête DNS tels que MXToolBox ou whatsmydns.net. L'exemple ci-dessous utilise l'outil de recherche TXT de MXToolBox. La première partie du nom de domaine doit correspondre au Nom d'hôte dans Devolutions Hub et l'enregistrement doit correspondre à la Valeur TXT dans Devolutions Hub également.
Les enregistrements DNS TXT peuvent prendre du temps à se propager.
-
Attendre la vérification du domaine. Après une vérification réussie, une coche dans un cercle vert s'affichera à côté du domaine. Procéder à la configuration de l'authentification unique (SSO) pendant le processus de vérification ; cependant, le provisionnement des utilisateurs devient accessible uniquement après que le domaine a été vérifié.
Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si l'enregistrement TXT n'est pas configuré dans ces 48 heures, le statut de validation sera Expiré. Si cela se produit, cliquer sur Réessayer.
Si des problèmes surviennent lors de la tentative de vérification du domaine, consulter notre guide de dépannage de la validation de domaine.
Configuration de l'authentification unique (SSO)
-
Aller à Administration – Authentification – Authentification unique (SSO), puis cliquer sur Okta authentification unique (SSO) pour être redirigé vers la page de configuration.
-
Nommer la configuration SSO. Ce nom n'apparaîtra que dans le menu des paramètres SSO de Devolutions Hub. Le nom par défaut est "Okta".
Ne pas fermer cette page de configuration, car les étapes suivantes montrent où trouver les informations à entrer dans ses champs.
Dans Okta
-
Se connecter au compte Okta.
-
Dans Applications, cliquer sur Parcourir le catalogue d'applications.
-
Rechercher Devolutions Hub, puis cliquer sur l'application dans les résultats de recherche.
-
Cliquer sur Ajouter une intégration en haut.
-
Dans l'onglet Connexion, copier l'ID client.
Dans Devolutions Hub Business
- Retourner à la page Configurer l'authentification unique (SSO), coller l'ID client de l'étape précédente dans le champ du même nom.
Dans Okta
- Retourner à l'onglet Connexion, copier le secret client.
Dans Devolutions Hub Business
-
Retourner à la page Configurer l'authentification unique (SSO), coller le secret client de l'étape précédente dans le champ Clé secrète client.
-
Dans URL de découverte, entrer l'URL utilisée pour accéder à Okta, sans la partie "-admin".
Ne pas tester la connexion pour l'instant, car les utilisateurs doivent être assignés à l'application d'abord.
Dans Okta
- Dans l'onglet Affectations, s'assurer que chaque utilisateur utilisé pour tester la configuration est assigné à l'application. Pour plus de détails, voir la documentation propre à Okta sur la gestion des utilisateurs et l'affectation des applications.
Dans Devolutions Hub Business
- Tester la configuration dans Devolutions Hub. Une nouvelle fenêtre s'ouvre pour vous connecter à Devolutions Hub via Okta. Une fois connecté, un message de succès apparaît.
Si la fenêtre contextuelle n'apparaît pas, le navigateur ou une extension de navigateur peut la bloquer. Modifier les paramètres du navigateur et/ou de l'extension. Si cela ne fonctionne toujours pas, désactiver/retirer l'extension ou changer de navigateur peut également résoudre le problème.
- Cliquer sur Enregistrer dans le Résumé de la configuration Okta SSO.
La configuration SSO est maintenant complète. Une icône de coche verte devrait maintenant être visible à côté de la configuration, signifiant que la configuration SSO via Okta est maintenant activée sur le Hub.
Connexion SSO Okta
Lors de la connexion au Hub, cliquer sur Se connecter avec Okta.
Une page de connexion Okta s'ouvrira. Entrer les identifiants Okta et cliquer sur Se connecter. Le Hub sera alors accessible.
Configuration du provisionnement SCIM
Synchroniser les utilisateurs et les groupes d'utilisateurs des fournisseurs vers le Hub en suivant les étapes de cette section. Voir d'abord la liste des fonctionnalités prises en charge ci-dessous.
Notez que nous ne prenons en charge la synchronisation que dans une seule direction, d'Okta vers Devolutions Hub, spécifiquement pour les utilisateurs et les groupes. La synchronisation de Devolutions Hub vers Okta n'est pas prise en charge.
Fonctionnalités prises en charge
- Créer des utilisateurs
- Mettre à jour les attributs des utilisateurs
- Désactiver des utilisateurs
- Push de groupe
Étapes de configuration du provisionnement
Dans Okta
- Aller à l'application Devolutions Hub Business.
- Dans l'onglet Provisionnement, cliquer sur Configurer l'intégration API.
- Cocher la case Activer l'intégration API.
Dans Devolutions Hub Business
- Aller à Administration – Authentification – Provisionnement et activer le provisionnement SCIM.
- Copier le jeton secret en cliquant sur l'icône Copier dans le presse-papiers à côté.
Dans Okta
- Retourner à l'onglet Provisionnement dans Okta, coller le jeton secret de l'étape précédente dans le champ Jeton API.
- Cliquer sur Tester les identifiants API. Un message de succès devrait apparaître.
Dans Devolutions Hub Business
- Retourner à la configuration du Provisionnement dans Devolutions Hub, cliquer sur Activer la synchronisation.
Dans Okta
-
Enregistrer la configuration de provisionnement Okta.
-
Toujours dans l'onglet Provisionnement, aller aux paramètres Vers l'application, puis cliquer sur Modifier.
-
Activer/désactiver les paramètres suivants :
- Activer :
- Créer des utilisateurs
- Mettre à jour les attributs
- Désactiver des utilisateurs
- Désactiver :
- Définir le mot de passe lors de la création de nouveaux utilisateurs (sous le paramètre Créer des utilisateurs)
- Activer :
-
Enregistrer les modifications.
La synchronisation d'Okta vers Devolutions Hub Business est maintenant configurée.
Il est possible d'assigner des utilisateurs et des groupes à synchroniser. Pour plus de détails, voir la documentation propre à Okta sur l'affectation d'applications aux utilisateurs et l'affectation d'une intégration d'application à un groupe.