Configurando Okta¶

Okta es un proveedor de identidad (IdP) que admite la autenticación de inicio de sesión único (SSO) SAML. Vinyl se integra con Okta como proveedor de servicios (SP). Cada instancia de Vinyl debe integrarse con Okta y viceversa. Hay tres tareas principales involucradas:

1. Registre Vinyl como una aplicación de Okta.
2. Configure Okta como proveedor de seguridad de Vinyl.
3. Asigne usuarios de Vinyl a identidades de Okta.

Se supone que su organización ya tiene una cuenta Okta existente.

Las instrucciones siguientes se referirán a las siguientes propiedades:

Registre Vinyl Como una Aplicación Okta¶

El siguiente documento de Okta describe cómo registrar una aplicación SAML : https://developer.okta.com/standards/SAML/setting_up_a_saml_application_in_okta

1. Durante el proceso de configuración, se le solicitará la siguiente información:

   • Nombre: nombre del ambiente de Vinyl.\

     Ejemplo: Revelado de Vinyl

   • URL de inicio de sesión único: Corresponde a la Assertion Consumer Service URL.\

     Ejemplo: https://example.com/Vinyl/signin-Okta

   • URI de audiencia: aunque el URI de audiencia es arbitrario, Okta y Vinyl deben usar el mismo URI de audiencia. Considere usar el Vinyl App URL.\

     Ejemplo: https://example.com/Vinyl/.

   • Formato de ID de nombre: EmailAddress

   • Nombre de usuario de la aplicación: Okta username

2. Puede proporcionar asignaciones de reclamos opcionales de Declaraciones de atributos o Declaraciones de atributos de grupo. Los reclamos comúnmente mapeados incluyen:

   • Dirección de Correo - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Membresía de grupo - http://schemas.xmlsoap.org/claims/Group

   Nota

   Vea Reclamaciones para obtener información adicional sobre reclamaciones.

3. Haga clic en Siguiente, seleccione Soy un cliente de Okta y agrego una aplicación interna y haga clic en Finalizar.

4. Una vez que se haya creado la aplicación Okta, copie y almacene los siguientes valores para consultarlos más adelante:

   • URL de metadatos. Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata
   • URL de inicio de sesión. Ejemplo: https://example.okta.com/app/abcdef012345/sso/saml
   • Emisor. Ejemplo: http://www.okta.com/abcdef012345

Configure Okta Como Proveedor de Seguridad de Vinyl¶

Para configurar Okta como proveedor de seguridad de Vinyl, comience iniciando sesión en Vinyl como administrador.

1. Navegue hasta IDE
2. Seleccione el botón Proveedores de seguridad
3. En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario

4. Proporcione lo siguiente:

   • Nombre: Security Provider Name (véase más arriba)\

     Ejemplo: * Okta*

   • Tipo: * SAML*

   • Habilitado: Verificar

5. Haga clic en el botón Guardar

6. En la sección Tokens, proporcione lo siguiente:

   • Audiencia: Audience URI (véase más arriba)

     Ejemplo: https://example.com/Vinyl/

   • Destinatario: Single sign-on URL (véase más arriba)

     Ejemplo: https://example.com/Vinyl/signin-Okta

   • Emisor: Issuer (véase más arriba)

     Ejemplo: http://www.okta.com/abcdef012345

7. Haga clic en el botón Guardar

8. En la sección Aprovisionamiento, confirme las siguientes configuraciones:

   • Aprovisionamiento de usuarios: comprobar
   • Membresía del grupo de suministros: consultar
   • Reclamaciones de la tienda: consultar

9. En el panel Extremos, haga clic en el botón + Extremo

10. Proporcione lo siguiente:

    • Tipo: * Extremo de metadatos *

    • URL: Metadata URL (véase más arriba)

      Ejemplo: https://www.okta.com/app/abcdef012345/sso/saml/metadata

11. Haga clic en el botón Guardar

12. En el panel Reclamaciones, deberá asignar cualquier reclamación de Okta in Vinyl. Por ejemplo, para asignar las reclamaciones de grupo y dirección de correo electrónico, haga clic en el botón + Reclamación

13. Proporcione lo siguiente:

    • Identificador: nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/Group

    • Uso: uso del tipo de reclamo.

      Ejemplo: Grupo

14. Haga clic en el botón Guardar

15. Salga de la pantalla Reclamaciones y haga clic en el botón + Reclamación del panel Reclamaciones

16. Proporcione lo siguiente:

    • Identificador: nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: uso del tipo de reclamo.

      Ejemplo: Dirección de correo electrónico

17. Haga clic en el botón Guardar

18. En la sección Iniciar sesión, marque para habilitar Mostrar en el formulario de inicio de sesión. Esto permite que se muestre el botón Iniciar sesión con Okta en la página de inicio de sesión de Vinyl.
19. Haga clic en el botón Guardar

Asignar Usuarios de Vinyl a Identidades de Okta¶

Con Aprovisionamiento de Usuarios¶

Si ha habilitado el aprovisionamiento de usuarios como se describe anteriormente e intenta iniciar sesión, es posible que se le redirija nuevamente al formulario de inicio de sesión de Vinyl con el siguiente mensaje:

La cuenta de usuario (arthur.dent@example.com) no se le ha concedido acceso a una aplicación.

Aunque Vinyl pudo aprovisionar exitosamente al usuario, el usuario no tiene acceso a ninguna aplicación de Vinyl de manera predeterminada. Suponiendo que el usuario de Okta se haya agregado a uno o más grupos y que la membresía del grupo de suministros esté habilitada (como se describe anteriormente), deberá asignar los grupos de seguridad de Okta a los grupos de seguridad de Vinyl.

Para asignar grupos de seguridad de Okta a grupos de seguridad de Vinyl, comience iniciando sesión en Vinyl como administrador.

1. Navegue hasta IDE
2. Haga clic en el botón Administración de usuarios
3. Haga clic en la pestaña Identidades
4. En el panel Grupos de proveedores, ubique el grupo Okta y haga clic en el ícono Detalles (emergente).
5. Haga clic en el botón Editar
6. En la lista Grupo, seleccione el grupo Vinyl.
7. Haga clic en el botón Guardar

Consulte el Aprovisionamiento de usuarios y grupos para informacion adicional.

Sin Aprovisionamiento de Usuarios¶

Si no ha habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:

Aunque te hayas autenticado exitosamente con Okta, la cuenta arthur.dent@example.com (arthur.dent@example.com) no está asociado con una cuenta local.

En el mensaje de arriba, arthur.dent@example.com es el Nombre de usuario de Okta (llamado "nombre" en la autenticación de reclamos). La parte entre paréntesis es el Identificador de nombre de Okta (llamado "identificador de nombre" en la autenticación de reclamos). Necesitará estos dos datos para el siguiente paso.

Para asignar una cuenta de usuario de Vinyl a una identidad de Okta, comience iniciando sesión en Vinyl como administrador:

1. Navegue hasta IDE
2. Haga clic en el botón Administración de usuarios
3. En el panel Usuarios, localice y seleccione el usuario que desea asignar.
4. En el panel Identidades, haga clic en el botón + Identidad

5. Proporcione lo siguiente:

   • Proveedor: Security Provider Name\

     Ejemplo: * Okta*

   • Nombre: Okta User Name (véase más arriba)

   • Identificador: Okta Name Identifier (véase más arriba)

6. Haga clic en el ícono Guardar (Verificar)

Solución de Problemas¶

El Usuario Es Redirigido a la Página de Inicio de Sesión Después de Iniciar Sesión.¶

Si se ha habilitado Aprovisionamiento de usuarios, es posible que el usuario haya sido creado pero no asignado a ningún grupo o que los grupos a los que se asignó el usuario no hayan tenido acceso a ninguna aplicación de Vinyl. El único grupo asignado a nuevos usuarios de forma predeterminada (es decir, tiene habilitada la opción Conceder al crear un usuario) es el grupo Usuarios. Este grupo no tiene acceso a ninguna aplicación de forma predeterminada.

Si se ha habilitado la opción Membresía de grupo de suministros, Vinyl habrá registrado los grupos de Okta. Inicie sesión como administrador y asigne los grupos de Okta a los grupos de seguridad de Vinyl. Si la opción Membresía de grupo de suministros no se ha habilitado, el proveedor de seguridad de Okta no tendrá ningún grupo. Inicie sesión como administrador y defina uno o más grupos de proveedores de seguridad de Okta con la opción Conceder al crear identidad habilitada y asigne los grupos de proveedores a grupos de seguridad de Vinyl.

Si no se ha habilitado Requerir proveedor de seguridad HTTPS, el usuario puede iniciar el proceso SAML SSO desde una URL no segura (p. ej. http://example.com/Vinyl/). Sin embargo, el proveedor de identidad devolverá al usuario a la URL segura del Servicio de consumidor de aserción (ACS) (https://example.com/Vinyl/signin-Okta). Vinyl autentica al usuario en el contexto de la URL segura antes de devolverlo a la URL no segura. En efecto, el usuario tiene dos sesiones separadas. Para solucionar este problema, habilite Requerir proveedor de seguridad HTTPS.

Es posible que la aplicación Okta esté desactivada.

Error: "la AudienceRestrictionCondition No Era Válida Porque la Audiencia Especificada No Está Presente en AudienceUris".¶

Este error indica que el URI de audiencia no coincide. Asegúrese de que la propiedad Audiencia se haya establecido explícitamente. Si no se configura, se utilizará de forma predeterminada la URL actual, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.

Error: "se Detectó una Excepción No Controlada al Final del Proceso".¶

Este error puede indicar una discrepancia entre el valor de Destinatario configurado y el valor de Destinatario esperado en Vinyl. Asegúrese de que el valor del Destinatario esté configurado correctamente.