Okta ist ein Identity Provider (IdP), der den Benutzerzugriff über mehrere Anwendungen auf einer einzigen Plattform verwaltet. Mit SAML SSO zwischen Okta und Document360 können sich Ihre Benutzer und Leser mit ihren bestehenden Okta-Zugangsdaten bei Document360 anmelden, ohne ein separates Passwort zu benötigen.
Nur Benutzer mit der Rolle Eigentümer oder Administrator können SSO in Document360 konfigurieren.
Was du mit Okta als deinem IdP machen kannst
| Leistungsfähigkeit | Unterstützt |
|---|---|
| Benutzer-(Portal-)Authentifizierung | Ja |
| Leser- (Wissensdatenbank-)Authentifizierung | Ja |
| IdP-initiierte Anmeldung | Ja |
| SCIM-Benutzerbereitstellung | Ja |
| SCIM-Leserbereitstellung | Ja |
| SCIM-Gruppensynchronisation | Ja |
| SSO-Konfigurationsvererbung (Eltern-Kind-Projekte) | Ja |
Bevor du anfängst
- Du hast ein aktives Okta-Konto mit Administratorzugriff. Wenn Sie eine erstellen müssen, melden Sie sich bei developer.okta.com/signup an.
- Du hast Eigentümer - oder Administratorzugriff in deinem Document360-Projekt.
- Öffne Document360 und Okta in zwei separaten Browser-Tabs. Du musst während der Einrichtung mehrmals zwischen ihnen wechseln.
Schritt 1: Erstellen Sie eine SAML-Anwendung in Okta
Erstelle die App-Integration
- Melde dich in deinem Okta-Konto an und klicke oben rechts auf Admin, um zur Admin-Konsole zu wechseln.
- In der linken Navigation erweitern Sie Anwendungen und klicken Sie auf Anwendungen.
- Klicken Sie auf App-Integration erstellen.
- Im Dialogfenster "Eine neue App erstellen " wählen Sie SAML 2.0 als Anmeldemethode aus und klicken Sie auf Weiter.
Allgemeine Einstellungen konfigurieren
- Im Reiter Allgemeine Einstellungen geben Sie einen Namen Ihrer Anwendung im Feld App-Name ein (zum Beispiel "Document360 SSO").
- Lade optional ein Logo hoch und konfiguriere die Sichtbarkeitseinstellungen der App.
- Klicken Sie auf Nächsten, um zum Tab "SAML konfigurieren" zu gelangen.
Konfigurieren Sie SAML-Einstellungen mit Document360-Parametern
Für diesen Schritt benötigen Sie die Service Provider (SP)-Parameter aus Document360.
Holen Sie sich die Parameter von Document360:
- In Document360 navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration.
- Klicken Sie auf SSO erstellen und wählen Sie Okta als Ihren Identitätsanbieter aus.
- Document360 zeigt die Seite "Service Provider konfigurieren" (SP) mit den benötigten Parametern an.
Geben Sie die Parameter in Okta ein:
- Wechsle zum Okta-Tab. Im Tab "SAML konfigurieren " geben Sie die Document360-Parameter mit der untenstehenden Abbildung ein.
| Document360 | Okta |
|---|---|
| Rückrufpfad | Single-Sign-on-URL |
| Dienstanbieter-Entitäts-ID | Zielgruppen-URI (SP-Entitäts-ID) |
- Setze das Format der Name-ID auf EmailAddress.
- Setze den Anwendungsbenutzernamen auf E-Mail.
E-Mail- und Namensparameter sind groß- und kleinschreibungssensitiv.
- Klicken Sie auf Weiter, um zur Feedback-Seite zu gelangen.
Füllen Sie die Feedback-Seite aus
Die Feedback-Seite dient dazu, Okta Informationen darüber zu geben, wie Sie die Anwendung konfigurieren.
- Wählen Sie Dies ist eine interne App, die wir erstellt haben.
- Klicken Sie auf Beenden.
Ihre Okta-Anwendung ist jetzt erstellt.
Profilattributsausweisungen
- In Ihrer Okta-Anwendung navigieren Sie zum Reiter "Anmelden An" und scrollen Sie zu Attribut-Anweisungen nach unten.
- Erweitern Sie Altkonfiguration anzeigen und klicken Sie auf Bearbeiten bei Profilattributanweisungen.
- Fügen Sie die folgenden Attributanweisungen hinzu. Du musst zwei zusätzliche Reihen hinzufügen.
| Name | Namensformat | Wert |
|---|---|---|
| urn:oasis:names:tc:SAML:2.0:nameid | URI-Referenz | user.email |
| Name | Unspezifiziert | user.email |
| Unspezifiziert | user.email |
- Klicken Sie auf Speichern.
Schritt 2: Schließen Sie die SSO-Konfiguration in Document360 ab
Holen Sie die SAML-Einrichtungsanweisungen von Okta ab
- Auf dem Okta-Dashboard klicken Sie auf Anwendungen und wählen Sie Anwendungen.
- Wählen Sie die aktive Anwendung aus, die Sie in Document360 konfigurieren möchten.
- Klicken Sie auf den Reiter "Anmelden ".
- Klicken Sie auf SAML-Einrichtungsanweisungen anzeigen.
Die Parameter, die zur Konfiguration von Document360 benötigt werden, öffnen sich auf einer neuen Webseite.
Konfigurieren Sie den Identitätsanbieter in Document360
- Wechsle zum Document360-Tab, der weiterhin die Seite "Service Provider konfigurieren" (SP) anzeigen sollte.
- Im Feld "Eine bestehende Verbindung konfigurieren " können Sie von einer bereits erstellten SSO-Konfiguration erben, die SCIM im Elternprojekt aktiviert hat. Durch die Auswahl und das Erben dieser Verbindung wird die aktuelle SSO-Konfiguration als kindlich geerbte SSO-Konfiguration gesetzt und erbt automatisch die SCIM-Konfiguration vom Elternteil.
Weitere Informationen zur Vererbung finden Sie unter Benutzer und Leser verwalten mit SCIM in Okta.
- Füllen Sie die Felder auf der Seite "Den Identitätsanbieter konfigurieren" (IdP) mit den Einrichtungsanweisungen von Okta aus.
- Laden Sie das X.509-Zertifikat von Okta herunter und fügen Sie die heruntergeladene Datei im SAML-Zertifikatsfeld in Document360 an.
| Document360 | Okta |
|---|---|
| Anmelde-URL | Identity Provider Single Sign-On URL |
| Entitäts-ID | Identitätsanbieter-Aussteller |
| SAML-Zertifikat | X.509-Zertifikat |
- Schalten Sie den Schalter "Erlaubt IdP-Anmeldung zulassen" je nach Ihren Anforderungen ein oder aus. Erfahren Sie mehr über die vom Idp initiierte Anmeldung.
- Klicken Sie auf Weiter, um zur SCIM-Bereitstellungsseite zu gelangen.
Schritt 3: Konfigurieren Sie die SCIM-Bereitstellung
Die SCIM-Bereitstellung automatisiert das Lebenszyklusmanagement von Benutzer und Lesern zwischen Okta und Document360. Wenn aktiviert, werden in Okta hinzugefügte, aktualisierte oder deaktivierte Benutzer automatisch mit Document360 synchronisiert.
Wenn du keine SCIM-Bereitstellung brauchst, klicke auf Nächste und folge den Anweisungen aus Schritt 4: Weitere Einstellungen.
Aktivieren Sie SCIM in Document360
- Auf der SCIM-Bereitstellungsseite aktivieren Sie den Schalter "SCIM Bereitstellung aktivieren ".
- Ein Bestätigungsdialog erscheint. Überprüfen Sie die Bedingungen, aktivieren Sie das Kästchen und klicken Sie auf Zustimmen.
- Die Parameter, die zur Durchführung der SCIM-Konfiguration in Okta erforderlich sind, werden dann angezeigt.
Die primären und sekundären Token werden einmal generiert und nur zum Zeitpunkt der Erstellung angezeigt. Stelle sicher, dass du sie kopierst und an einem sicheren Ort speicherst, bevor du die Konfiguration speicherst. Sobald die SSO-Konfiguration gespeichert ist, erscheinen die Token maskiert und können nicht mehr abgerufen werden. Das Regenerieren eines Tokens macht das bestehende ungültig, du musst das neue Token in deiner Okta-Konfiguration aktualisieren, damit die Synchronisation ohne Unterbrechung fortgesetzt wird.
Aktivieren Sie die SCIM-Bereitstellung in Okta
- In der Okta Admin Console erweitern Sie Anwendungen und klicken Sie auf Anwendungen.
- Wählen Sie die Anwendung aus, in der Sie die SCIM-Bereitstellung aktivieren möchten.
- Navigiere zum Reiter Allgemeine und klicke unter App-Einstellungen auf Bearbeiten.
- Wählen Sie die SCIM-Bereitstellungs-Funktaste und klicken Sie auf Speichern.
Konfigurieren Sie die SCIM-Verbindung in Okta
- Gehe zum Reiter Provisioning und klicke unter dem Abschnitt SCIM-Verbindung auf Bearbeiten.
- Geben Sie die SCIM-Basis-URL von Document360 mit der untenstehenden Abbildung in das Feld der SCIM-Connector-Basis-URL von Okta ein.
| Okta | Document360 |
|---|---|
| SCIM-Connector-Basis-URL | SCIM-Basis-URL |
| HTTP-Header-Autorisierung | Primäres geheimes Token |
- Im Feld Eindeutige Kennung für Benutzer geben Sie BenutzerName ein.
- Unter Unterstützte Bereitstellungsaktionen wählen Sie nur Folgendes aus:
- Neue Nutzer vorantreiben
- Push-Profil-Updates
- Push-Gruppen
- Im Dropdown-Menü Authentifizierungsmodus wählen Sie HTTP-Header.
- In Document360 kopieren Sie das primäre Geheimtoken von der SCIM-Bereitstellungsseite.
- Füge das primäre geheime Token in das HTTP-Header-Autorisierungsfeld ein.
Klicken Sie noch nicht auf "Connector-Konfiguration testen ". In diesem Stadium funktioniert die SCIM-Bereitstellung mit Document360 nicht, da die SSO-Konfiguration in Document360 noch nicht abgeschlossen ist.
Setze Standardrollen und -gruppen in Document360
- Gehe zur SCIM-Bereitstellungsseite in Document360 und aktiviere bei Bedarf den Schalter Gruppensynchronisation aktivieren . Dies weist automatisch Benutzer und Leser basierend auf deinen IdP-Gruppenzuordnungen zu.
- Im Feld Standardrolle ist die Rolle standardmäßig auf Beitragsmitglied gesetzt. Du kannst das bei Bedarf im Dropdown-Menü ändern.
- In den Feldern Benutzergruppen und Lesergruppen wählen Sie die Gruppen aus, die Sie hinzufügen möchten. Mehrere Gruppen können hinzugefügt werden, und sie übernehmen die zuvor gewählte Standardrolle.
- Klicken Sie auf Weiter, um zur Seite Mehr-Einstellungen zu gelangen.
Für vollständige Details zur Verwaltung von Benutzern, Lesern und Gruppen über SCIM, einschließlich Attributzuordnung, Ausdrucksgenerator, Bereitstellungs-Workflows und Deprovisioning, siehe Verwaltung von Benutzern und Lesern mit SCIM in Okta.
Schritt 4: Mehr Einstellungen
Konfigurieren Sie den SSO-Namen und die Anmeldeoptionen
- Im SSO-Namensfeld geben Sie einen Namen für Ihre SSO-Konfiguration ein.
- Im Text "Login-Anpassung" geben Sie den Text ein, den Sie auf der Login-Schaltfläche anzeigen möchten.
- Aktivieren Sie bei Bedarf den Ausloggen des leeren SSO-Benutzers und legen Sie die Dauer fest, nach der ein leerer SSO-Benutzer automatisch ausgeloggt wird.
- Wählen Sie aus, ob Sie alle Nutzer oder ausgewählte Nutzer mit den Optionen bestehende Team- und Leserkonten zu SSO-Funkschaltern einladen .
- Klicken Sie auf Erstellen , um die SSO-Konfiguration abzuschließen.
Schritt 5: Komplette SCIM-Einrichtung in Okta
Wenn du die SCIM-Bereitstellung in 3 aktiviert hast, schließe sie jetzt ab, da die Document360-Konfiguration gespeichert ist.
Testen und speichern Sie die SCIM-Verbindung
Nachdem die SSO-Konfiguration in Document360 erfolgreich erstellt wurde, kann die SCIM-Bereitstellung nun in Okta abgeschlossen werden.
- Kehren Sie zur Okta-Admin-Konsole zurück und stellen Sie sicher, dass alle notwendigen Details ausgefüllt wurden.
- Klicken Sie auf "Connector-Konfiguration testen ", um die Verbindung zwischen Okta und Document360 zu überprüfen.
- Ein Bestätigungsdialog erscheint, der anzeigt, dass der Test erfolgreich war.
- Klicken Sie auf Speichern , um die Konfiguration abzuschließen.
Die SSO-Konfiguration basierend auf dem SAML-Protokoll wurde erfolgreich mit Okta konfiguriert.
Weitere Informationen zum Hinzufügen von Benutzern, Lesern sowie Benutzer- und Lesergruppen finden Sie unter Verwaltung von Benutzern und Lesern mit SCIM in Okta.
Best Practices
- Bewahren Sie beide geheimen Token sicher auf. Behandle die primären und sekundären SCIM-Token wie Passwörter. Speichere sie in einem Secrets-Manager oder Passwort-Tresor, nicht in Klartextdateien oder Code-Repositories.
- Benutze den sekundären Token für eine sichere Rotation. Wenn der primäre Token jemals offengelegt wird, wechselt Okta zuerst zum sekundären Token und generiert dann den primären Token neu. Dadurch werden jegliche Unterbrechungen der Benutzersynchronisation vermieden.
- Teste zuerst in einer nicht-produktiven Umgebung. Bevor Sie SSO für alle Nutzer ausrollen, konfigurieren und testen Sie die Integration mit einer kleinen Gruppe, um etwaige Attributzuordnung oder Zugriffsprobleme zu erkennen.
- Richten Sie den Leerlauf-Timeout an Ihre Sicherheitsrichtlinie ab. Aktivieren Sie Ausloggen, Leerlauf (SSO-Nutzer) und stellen Sie die Dauer so ein, dass sie den Anforderungen Ihrer Organisation an das Sitzungsmanagement entspricht.
- Testen Sie den SCIM-Anschluss nicht, bevor Sie die Document360-Konfiguration speichern. Der Test wird in diesem Stadium scheitern. Immer zuerst die Document360 SSO-Konfiguration abschließen und speichern und dann zu Okta zurückkehren, um zu testen.
FAQ
Was ist der Zweck sowohl eines primären als auch eines sekundären geheimen Tokens?
Mit sowohl einem primären als auch einem sekundären Token kannst du die Token sicher rotieren, ohne deine SCIM-Integration zu stören. Wenn das primäre Token versehentlich offengelegt wird, müssen Sie es nicht sofort widerrufen und riskieren, Ihre Benutzersynchronisation zu unterbrechen. Stattdessen solltest du deine Okta-Integration so umstellen, dass sie zuerst das sekundäre Token verwendet und dann im Hintergrund das primäre Token neu generieren. Dies stellt sicher, dass die Benutzerbereitstellung ohne Unterbrechung fortgesetzt wird, während das kompromittierte Token ersetzt wird.
Kann ich dieselbe Okta-Anwendung sowohl für die SAML SSO als auch für die SCIM-Bereitstellung verwenden?
Ja. Für SAML wird die SCIM-Bereitstellung innerhalb derselben Okta-Anwendung aktiviert, indem die SCIM-Bereitstellungsoption unter den App-Einstellungen aktiviert wird. Dies unterscheidet sich vom OpenID Connect-Setup, bei dem SCIM eine separate OAuth Bearer Token-App im Okta-Katalog benötigt.
Was passiert mit bestehenden Document360-Nutzern, wenn ich SSO konfiguriere?
Bestehende Nutzer werden nicht automatisch konvertiert. Während des Mehr-Einstellungs-Steps können Sie alle bestehenden oder ausgewählten Nutzer zum SSO-Login einladen. Konvertierte Nutzer behalten alle bestehenden Rollen und Berechtigungen bei.