Okta est un fournisseur d’identité (IdP) qui gère l’accès des utilisateurs à travers plusieurs applications depuis une seule plateforme. Avec OpenID Connect SSO configuré entre Okta et Document360, vos utilisateurs et lecteurs peuvent se connecter à Document360 en utilisant leurs identifiants Okta existants.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Que pouvez-vous faire avec Okta comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Provisionnement utilisateur SCIM | Oui |
| Provisionnement des lecteurs SCIM | Oui |
| Synchronisation du groupe SCIM | Oui |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
Lors de l’utilisation d’Okta avec OpenID Connect, le provisionnement SCIM nécessite une application OAuth Bearer Token distincte du catalogue d’applications Okta. Contrairement à la configuration SAML, SCIM ne peut pas être activé au sein de la même application OIDC.
Avant que tu commences
- Vous avez un compte Okta actif avec accès administrateur. Si vous devez en créer un, inscrivez-vous à developer.okta.com/signup.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et Okta dans deux onglets de navigateur distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une application OpenID Connect dans Okta
- Connectez-vous à votre compte Okta et cliquez sur Admin en haut à droite pour accéder à la console d’administration.
- Dans la navigation de gauche, déplacez Applications et cliquez sur Applications.
- Cliquez sur Créer une intégration d’application.
- Sélectionnez OIDC - OpenID Connect comme méthode de connexion.
- Choisissez Application Web comme type d’application et cliquez sur Suivant.
- Sur la page Nouvelle Intégration Web App, saisissez un nom pour votre application dans le champ Nom d’Intégration d’application .
Étape 2 : Obtenir les paramètres SP depuis Document360
- Ouvrez Document360 dans un onglet séparé.
- Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Sélectionnez Okta comme fournisseur d’identité pour accéder automatiquement à la page Configurer le fournisseur de service (SP ).
- Sur la page Configurer le fournisseur de services (SP), sélectionnez le bouton de radio OpenID .
- Un ensemble de paramètres sera affiché.
Étape 3 : Entrez les paramètres Document360 dans Okta
- Passez à l’onglet Okta sur la page Nouvelle Intégration de l’application Web .
- Entrez les paramètres Document360 en utilisant la correspondance ci-dessous.
| Document360 | Okta |
|---|---|
| URI de redirection de connexion | URI de redirection de connexion |
| URI de redirection de déconnexion | Déconnexion de l’URI de redirection |
- Faites défiler jusqu’à Assignations et sélectionnez l’option d’accès contrôlé souhaitée.
- Cliquez sur Enregistrer. Vous serez redirigé vers la page générale de la demande.
Étape 4 : Configurez le fournisseur d’identité dans Document360
- Retournez à Document360 sur la page Configurer le Fournisseur de Service (SP) et cliquez sur Suivant pour accéder à la page Configurer le Fournisseur d’Identité (IdP ).
- Saisissez les valeurs correspondantes de votre application Okta en utilisant la correspondance ci-dessous.
| Okta | Document360 |
|---|---|
| Client ID | Client ID |
| Client Secret | Client Secret |
| URI de l’émetteur | Autorité |
Pour trouver l’URI de l’émetteur dans Okta, naviguez dans Security > API.
- Dans le champ Scope (optionnel), tapez une valeur de scope et cliquez sur + pour l’ajouter comme puce. Cela définit quelles informations utilisateur ou permissions Document360 demande à Okta. Vous pouvez additionner jusqu’à 3 lunettes de lunette.
- Assurez-vous que l’ID Client et le Secret Client correspondent aux valeurs générées dans Okta.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 5 : Configurer le provisionnement SCIM
Le provisionnement SCIM automatise la gestion du cycle de vie utilisateur et lecteur entre Okta et Document360. Lors de l’utilisation d’OpenID Connect, SCIM nécessite une application OAuth Bearer Token distincte dans le catalogue Okta. Il ne peut pas être activé au sein de la même application OIDC.
Si vous n’avez pas besoin de provisionnement SCIM, passez à l’étape 6 : configurez le nom SSO et les options de connexion.
Activez SCIM dans Document360
- Activez le bouton Activer la provision SCIM .
- Une boîte de dialogue de confirmation apparaît. Lisez les conditions et cliquez sur Accepter.
- Les paramètres nécessaires pour compléter la configuration SCIM dans Okta seront alors affichés.
Ajouter l’application SCIM OAuth Bearer Token dans Okta
- Dans Okta, déplacez Applications dans la navigation de gauche et cliquez sur Applications.
- Cliquez sur Parcourir le catalogue d’applications et recherchez SCIM 2.0 (OAuth Bearer Token), puis sélectionnez Voir tous les résultats.
- Dans les résultats de recherche, sélectionnez (OAuth Bearer Token) Gouvernance avec SCIM 2.0 et cliquez sur Ajouter une intégration.
Assurez-vous de sélectionner la bonne application. Ne sélectionnez pas la version de l’application de test.
- Dans la page des Paramètres généraux , vous pouvez changer l’étiquette Application si besoin et cliquer sur Suivant.
- Cliquez sur Terminé sur la page des options de connexion.
Aucune configuration n’est nécessaire sur la page des options de connexion. Cette application est créée uniquement pour le provisionnement SCIM — la configuration SSO OpenID avait déjà été complétée lors des étapes précédentes.
Configurez la connexion API SCIM dans Okta
- Dans l’application SCIM, allez dans l’onglet Provisionnement et sélectionnez Configurer l’intégration de l’API.
- Sélectionnez la case Activer l’intégration de l’API . Un ensemble de champs sera affiché.
- Entrez les paramètres Document360 en utilisant la correspondance ci-dessous.
| Document360 | Okta |
|---|---|
| SCIM Base URL | Base URL |
| Jeton secret principal | Jeton porteur OAuth |
Ne cliquez pas encore sur Configuration de Tester le connecteur. À ce stade, le provisionnement SCIM ne fonctionnera pas avec Document360 car la configuration SSO n’est pas encore achevée dans Document360.
- Une fois terminé, retournez dans Document360 pour finaliser la configuration.
Attribuer le rôle et les groupes par défaut dans Document360
- Activez le bouton Activer la synchronisation de groupe si besoin.
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Étape 6 : Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte du bouton de connexion affiché aux utilisateurs.
- Attribution automatique du groupe de lecteurs — cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes. En savoir plus sur le groupe de lecteurs Auto Assign.
- Activez la déconnexion de l’utilisateur SSO inactif si besoin, et basculez selon vos besoins.
- Choisissez d’inviter les comptes utilisateurs et lecteurs existants à SSO.
- Cliquez sur Créer pour compléter la configuration SSO OpenID.
Étape 7 : Intégration complète de SCIM dans Okta
- Retournez vers l’application Okta SCIM.
- Cliquez sur Tester les identifiants de l’API. Un message de réussite apparaîtra confirmant que l’application SCIM est intégrée avec succès.
- Cliquez sur Enregistrer.
- Allez dans l’onglet Provisionnement , sélectionnez Vers l’application, et cliquez sur Modifier dans la section Provisionnement vers l’application .
- Sélectionnez uniquement les actions prises en charge suivantes :
- Créer des utilisateurs
- Mettre à jour les attributs utilisateur
- Désactiver les utilisateurs
- Cliquez sur Enregistrer.
Le provisionnement SCIM avec Okta OpenID Connect est désormais configuré avec succès.
La configuration SSO basée sur le protocole OpenID a été configurée avec succès avec Okta.
Pour plus de détails sur la gestion des utilisateurs, des lecteurs et des groupes, voir Gérer les utilisateurs et lecteurs avec SCIM dans Okta.
Meilleures pratiques
- Utilisez une application SCIM séparée pour le provisionnement. Lorsqu’on utilise OpenID Connect avec Okta, SCIM nécessite sa propre application OAuth Bearer Token issue du catalogue Okta. N’essayez pas d’activer SCIM dans l’application OIDC.
- Sélectionnez la bonne application SCIM. Recherchez (OAuth Bearer Token) Gouvernance avec SCIM 2.0 spécifiquement. Ne sélectionnez pas la version de l’application de test.
- Complétez la configuration SSO de Document360 avant de tester SCIM. Cliquer sur Test Connector Configuration avant d’enregistrer la configuration Document360 échouera. Sauvegardez toujours la configuration Document360 d’abord, puis retournez sur Okta pour tester.
- Sélectionnez uniquement les trois actions de provisionnement prises en charge. Activer des actions non prises en charge peut entraîner des erreurs de provisionnement. Limitez la sélection pour créer des utilisateurs, mettre à jour les attributs utilisateurs et désactiver les utilisateurs.
FAQ
Pourquoi ai-je besoin d’une application séparée pour SCIM lorsque j’utilise OpenID Connect avec Okta ?
L’intégration de l’application OIDC dans Okta ne gère que l’authentification. Il ne supporte pas la provisionnement SCIM nativement. Une application OAuth Bearer Token distincte est nécessaire pour établir la connexion SCIM entre Okta et Document360. C’est différent de la configuration SAML, où SCIM peut être activé au sein de la même application Okta.
Où puis-je trouver l’URI de l’émetteur dans Okta ?
Dans Okta, naviguez vers Security > API. L’URI de l’émetteur y est listé et correspond au champ Autorité dans la page de configuration IdP de Document360.
Qu’est-ce que les oscillations et dois-je les ajouter ?
Les périmètres définissent quelles informations utilisateur ou permissions Document360 demande à Okta lors de l’authentification. Le champ Scope est optionnel — vous pouvez ajouter jusqu’à 3 lunettes en tapant une valeur et en cliquant sur le bouton + . Si vous n’êtes pas sûr que des endoscopes soient nécessaires, vérifiez auprès de votre administrateur Okta.