Okta-Anbindung

Vorbemerkung

Die Anbindung der LockSelf-Anwendung an einen Identitätsverbund erfolgt über das Protokoll SAMLv2. Es ist daher möglich, die Anwendung mit Ihrem Okta-Unternehmenskonto zu verbinden.

Schritt 1: Den Konnektor auf dem IdP erstellen

Melden Sie sich an Ihrer Okta-Admin-Oberfläche im Bereich Anwendungen an:

  • Schritt 1: klicken Sie auf „Create App Integration" und auf „SAML 2.0".

Screenshot_2022-03-22_at_12.44.25_PM.png

Screenshot_2022-03-22_at_12.45.17_PM.png

  • Schritt 2: Legen Sie einen Namen für den Konnektor fest, in der Regel „LockSelf", und fügen Sie bei Bedarf das Logo hinzu. Klicken Sie anschließend auf „Next".

Screenshot_2022-03-22_at_12.47.58_PM.png

  • Schritt 3: Füllen Sie den Block A mit dem Namen „SAML Settings" aus

Screenshot_2022-03-22_at_12.52.16_PM.png

  • Single sign on URL: entspricht der Antwort-URL, die vom Konnektor aufgerufen wird.
  • Audience URI (SP Entity ID): entspricht der URL der Metadaten der Anwendung.
  • Name ID format: wählen Sie EmailAddress
  • Application username: wählen Sie den gewünschten Wert (entspricht dem UPN des Benutzers)

(wobei FQDN den Domainnamen Ihrer LockSelf-Installation ersetzt).

Sobald diese ersten Informationen eingegeben sind, klicken Sie auf „Show Advanced Settings" und füllen Sie die Informationen wie unten dargestellt aus. Wählen Sie für das Feld „Encryption Certificate" das Zertifikat aus, das zu Ihrem Domainnamen gehört (ohne die Zertifizierungskette).

Screenshot_2022-03-22_at_12.59.11_PM.png

Sobald die erweiterten Optionen konfiguriert sind, konfigurieren Sie nun die Attribute, die an die LockSelf-Anwendung gesendet werden. In diesem Schritt müssen Sie die Ansprüche zwingend wie oben dargestellt zurückgeben. Achten Sie darauf, die Groß- und Kleinschreibung einzuhalten.

Screenshot_2022-03-22_at_1.14.17_PM.png

Schritt 2: Die IdP-Metadaten in LockSelf hochladen

Dieser erste Schritt besteht darin, die Metadatendatei aus Ihrem IdP abzurufen. Sie können die Datei oder die URL in der Registerkarte „Sign On" des Konnektors abrufen:

Screenshot_2022-03-22_at_1.26.57_PM.png

Rufen Sie diese URL ab und tragen Sie sie in die LockSelf-Anwendung ein. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung (nur Private Cloud).

Schritt 3: Benutzern den Zugriff auf die Anwendung erlauben

In diesem Schritt wählen Sie aus, welche Benutzer oder Benutzergruppen Zugriff auf den Konnektor und damit auf die Anwendung haben dürfen.

Klicken Sie dazu im linken Menü auf „Assignments" und dann auf „Assign".

Screenshot_2022-03-22_at_1.47.55_PM.png

Auf dieser Ebene können Sie die Benutzer und Gruppen hinzufügen, die den Konnektor verwenden dürfen.

Schritt 4: Die Verbindung überprüfen

Sobald diese Schritte ausgeführt sind, können Sie den Konnektor testen:

  • Schritt 1: Um korrekt testen zu können, öffnen Sie ein privates Browserfenster und rufen Sie die URL Ihrer Infrastruktur auf (https://FQDN/?sso). Wenn Sie die Browser-Erweiterung verwenden, klicken Sie auf das Zahnrad und dann auf „Cache leeren".
  • Schritt 2: Geben Sie auf der Registerkarte SSO Ihre E-Mail-Adresse in das angezeigte Feld ein oder klicken Sie direkt auf die Schaltfläche „Anmelden".
  • Schritt 3: In diesem Schritt werden Sie zum Okta-SSO-Portal Ihrer Organisation weitergeleitet, wo Sie sich authentifizieren können.
  • Schritt 4: Nach der Authentifizierung werden Sie zu LockSelf weitergeleitet, das Sie auffordert, den Ihrem Konto zugeordneten PIN-Code zu erstellen.

Sehen Sie bei Bedarf in dieser Dokumentation nach: Die SSO-Anmeldung (Single Sign-On).

Schritt 5: Den Konnektor aktualisieren

Mitunter muss eine Aktualisierung der Signatur-/Token-Verschlüsselungszertifikate am Okta-Konnektor durchgeführt werden.

In diesem Fall müssen Sie die neue IdP-Metadatendatei in der Registerkarte Einstellungen des Administratorkontos im SSO-Modul aktualisieren. Sehen Sie dazu in dieser Dokumentation nach: Konfiguration der SSO-Anbindung.

Aktualisiert