Les étapes suivantes décriront comment configurer Okta en tant qu'authentificateur pour le serveur Devolutions.
Un abonnement à Okta.
Une application Web utilisant OIDC configurée sur Okta.
Un jeton API configuré dans Okta.
Dans cette rubrique, nous supposerons que votre instance de Devolutions Server est configurée en HTTPS, que l'application Web est Devolutions Server et qu'elle est donc servie sous l'URL https://www.contoso.com/dvls.
-
Se connecter sur votre compte d'administration Okta.
-
Aller dans Applications dans le sous-menu Applications et cliquer sur le bouton Créer une Intégration d'Application.
-
Dans la section Méthode de connexion, sélectionner OIDC - OpenID Connect.
-
Dans la section Type d'application sélectionner Application à page unique.
-
Cliquer sur Suivant pour continuer.
-
Dans la page Nouvelle intégration d'application monopage présentant la configuration de la nouvelle application :
a. Premièrement, nommer l'application dans le champ Nom de l'intégration de l'application pour la retrouver dans votre liste d'applications dans Okta.
b. Sous Type de concession, activer les options Code d'autorisation et Jeton de rafraîchissement.
c. Ajouter l'URI dans la section Sign-in redirect URIs. Dans notre exemple, nous avons ajouté https://www.contoso.com/dvls/api/external-provider-response
d. Vous pourriez laisser les sections Sign-out redirect URIs et Trusted Origins vides. Le serveur Devolutions ne déconnecte pas votre utilisateur de la portée de l'application et le formulaire de connexion Okta n'est pas hébergé sur le serveur Devolutions, donc ils ne sont pas nécessaires.
e. Dans la section Affectations, nous recommandons que vous sélectionniez Permettre à tout le monde dans votre organisation d'accéder puis de cocher Activer l'accès immédiat avec le mode Fédération Broker. Cela vous évitera d'avoir à affecter chaque utilisateur à l'application manuellement.
f. Cliquer sur Enregistrer.
Dans le menu latéral gauche aller à Sécurité - Api.
Dans l'onglet Jetons, cliquer sur le bouton Créer un jeton.
Nommer le jeton pour le retrouver dans votre liste puis cliquer sur Créer un jeton.
Une fois créé, copier la valeur du jeton dans un endroit sûr.
Si vous ne copiez pas la Valeur du jeton, vous ne pourrez pas la retrouver par la suite. Vous devrez en créer un nouveau.
Le jeton hérite des droits de l'utilisateur qui le crée. Ceci est important car votre utilisateur doit être capable de lister les groupes et utilisateurs. Okta recommande la création d'un Utilisateur de service pour la création de jetons d'API. Vous pouvez en savoir plus sur le sujet sur le site d'Okta à partir de Créer un jeton d'API.
Une fois l'application et le jeton Api créés, vous pouvez configurer l'interface Web Devolutions Server.
Se connecter sur l'instance Devolutions Server avec un compte administrateur.
Aller dans le Administration - Paramètres du serveur - Authentification.
Cocher Authentification avec utilisateur Okta.
Dans la section Configuration, cliquer sur Authentification Okta.
Facultatif : Vous pouvez entrer une information dans le champ Nom d'affichage. Cela remplacera le mot Okta dans la page de connexion.
Dans la section Configuration de l'authentification, entrer votre Domaine Okta.
Pour trouver votre Domaine rendez-vous sur votre compte Okta. Dans le coin supérieur droit de l'écran, cliquez sur votre menu utilisateur. Votre domaine devrait être visible.
Dans la même section de Devolutions Server, remplir le champ ID Client avec l'ID Client de votre application.
Dans la section Synchroniser les utilisateurs et les groupes, remplir le jeton API sauvegardé précédemment.
Enfin, si vous le souhaitez, vous pouvez activer la Création automatique d'utilisateurs. Cela évitera à l'administrateur d'avoir à importer les utilisateurs manuellement dans le serveur Devolutions avant qu'ils ne puissent se connecter avec Okta. Vous pouvez également sélectionner un groupe d'utilisateurs. Dans ce cas, seuls les utilisateurs de ce groupe pourront bénéficier de la création automatique.
Cliquer sur le bouton Enregistrer. Vous pourrez désormais observer que le bouton vous permettant de vous connecter à Okta est maintenant présent sur la page de connexion.