Okta est un fournisseur d’identité (IdP) qui gère l’accès des utilisateurs à travers plusieurs applications depuis une seule plateforme. Avec le SSO SAML configuré entre Okta et Document360, vos utilisateurs et lecteurs peuvent se connecter à Document360 en utilisant leurs identifiants Okta existants, sans avoir besoin d’un mot de passe séparé.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Que pouvez-vous faire avec Okta comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Connexion initiée par l’IdP | Oui |
| Provisionnement utilisateur SCIM | Oui |
| Provisionnement des lecteurs SCIM | Oui |
| Synchronisation du groupe SCIM | Oui |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
Avant que tu commences
- Vous avez un compte Okta actif avec accès administrateur. Si vous devez en créer un, inscrivez-vous sur developer.okta.com/signup.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et Okta dans deux onglets de navigateur distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une application SAML dans Okta
Créer l’intégration de l’application
- Connectez-vous à votre compte Okta et cliquez sur Admin en haut à droite pour accéder à la console d’administration.
- Dans la navigation de gauche, déplacez Applications et cliquez sur Applications.
- Cliquez sur Créer une intégration d’application.
- Dans la boîte d’intégration Créer une nouvelle application , sélectionnez SAML 2.0 comme méthode de connexion et cliquez sur Suivant.
Configurer les réglages généraux
- Dans l’onglet Paramètres généraux , saisissez un nom pour votre application dans le champ Nom de l’application (par exemple, « Document360 SSO »).
- En option, téléchargez un logo et configurez les paramètres de visibilité de l’application.
- Cliquez sur Suivant pour accéder à l’onglet Configurer le SAML .
Configurez les paramètres SAML en utilisant les paramètres Document360
Vous avez besoin des paramètres Service Provider (SP) de Document360 pour compléter cette étape.
Obtenez les paramètres sur Document360 :
- Dans Document360, naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO et sélectionnez Okta comme fournisseur d’identité.
- Document360 affiche la page Configurer le fournisseur de service (SP) avec les paramètres dont vous avez besoin.
Entrez les paramètres dans Okta :
- Passe à l’onglet Okta. Dans l’onglet Configurer le SAML , saisissez les paramètres Document360 en utilisant la correspondance ci-dessous.
| Document360 | Okta |
|---|---|
| Chemin de rappel | URL de connexion unique |
| ID d’entité fournisseur de services | URI d’audience (ID d’entité SP) |
- Définir le format Name ID sur EmailAddress.
- Définir le nom d’utilisateur de l’application sur Email.
Les paramètres des e-mails et des noms sont sensibles à la casse.
- Cliquez sur Suivant pour accéder à la page des retours .
Complétez la page de retours
La page de retours sert à fournir des informations à Okta sur la façon dont vous configurez l’application.
- Sélectionnez : C’est une application interne que nous avons créée.
- Cliquez sur Terminer.
Votre application Okta est maintenant créée.
Assigner les instructions d’attribut du profil
- Dans votre application Okta, allez à l’onglet Connexion et descendez jusqu’à Attributs de déclarations.
- Afficher la configuration héritée et cliquez sur Modifier sur les instructions d’attribut du profil.
- Ajoutez les énoncés d’attribut suivants. Vous devrez ajouter deux rangs supplémentaires.
| Nom | Format du nom | Valeur |
|---|---|---|
| urn :oasis :names :tc :SAML :2.0 :nameid | Référence URI | user.email |
| Nom | Non précisé | user.email |
| Non précisé | user.email |
- Cliquez sur Enregistrer.
Étape 2 : Compléter la configuration SSO dans Document360
Récupérer les instructions de configuration SAML depuis Okta
- Sur le tableau de bord Okta, cliquez sur Applications et sélectionnez Applications.
- Sélectionnez l’application active que vous souhaitez configurer sur Document360.
- Cliquez sur l’onglet Connexion à la connexion.
- Cliquez sur Voir les instructions de configuration du SAML.
Les paramètres nécessaires pour configurer Document360 s’ouvrent sur une nouvelle page web.
Configurez le fournisseur d’identité dans Document360
- Passez à l’onglet Document360, qui devrait toujours afficher la page Configurer le fournisseur de service (SP ).
- Dans le champ Configurer une connexion existante , vous pouvez hériter d’une configuration SSO déjà créée qui a SCIM activé dans le projet parent. En sélectionnant et en héritant de cette connexion, la configuration SSO actuelle sera définie comme la configuration SSO héritée par l’enfant et héritera automatiquement de la configuration SCIM du parent.
Pour plus d’informations sur l’héritage, voir Gestion des utilisateurs et des lecteurs avec SCIM dans Okta.
- Complétez les champs de la page Configurer le fournisseur d’identité (IdP) en utilisant les instructions de configuration d’Okta.
- Téléchargez le certificat X.509 depuis Okta et joignez le fichier téléchargé dans le champ du certificat SAML dans Document360.
| Document360 | Okta |
|---|---|
| URL de connexion | URL de connexion unique du fournisseur d’identité |
| Identifiant d’entité | Fournisseur d’identité Émetteur |
| Certificat SAML | Certificat X.509 |
- Activez ou désactivez le bouton de connexion initiée par l’Autorisation d’idP selon vos besoins. En savoir plus sur la connexion initiée par l’IDP.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 3 : Configurer le provisionnement SCIM
Le provisionnement SCIM automatise la gestion du cycle de vie utilisateur et lecteur entre Okta et Document360. Une fois activés, les utilisateurs ajoutés, mis à jour ou désactivés dans Okta sont automatiquement synchronisés avec Document360.
Si vous n’avez pas besoin de provisionnement SCIM, cliquez sur Suivant et suivez les instructions de l’étape 4 : Plus de paramètres.
Activez SCIM dans Document360
- Sur la page de provisionnement SCIM , activez l’option Activer le provisionnement SCIM .
- Une boîte de dialogue de confirmation apparaît. Consultez les conditions, sélectionnez la case à cocher, puis cliquez sur Accepter.
- Les paramètres nécessaires pour compléter la configuration SCIM dans Okta seront alors affichés.
Les jetons primaires et secondaires sont générés une seule fois et affichés uniquement au moment de la création. Assurez-vous de les copier et de les stocker dans un lieu sécurisé avant de sauvegarder la configuration. Une fois la configuration SSO sauvegardée, les jetons apparaîtront masqués et ne pourront pas être récupérés. Régénérer un jeton invalide l’existant, vous devrez mettre à jour le nouveau jeton dans votre configuration Okta pour continuer la synchronisation sans interruption.
Activer le provisionnement SCIM dans Okta
- Dans la console d’administration Okta, déplorez Applications et cliquez sur Applications.
- Sélectionnez l’application où vous souhaitez activer le provisionnement SCIM.
- Accédez à l’onglet Général et cliquez sur Modifier dans Paramètres de l’application.
- Sélectionnez le bouton SCIM Provisioning et cliquez sur Enregistrer.
Configurez la connexion SCIM dans Okta
- Allez dans l’onglet Provisionnement et sous la section Connexion SCIM , cliquez sur Modifier.
- Entrez l’URL de base SCIM de Document360 dans le champ URL de base du connecteur SCIM d’Okta en utilisant la correspondance ci-dessous.
| Okta | Document360 |
|---|---|
| URL de base du connecteur SCIM | SCIM Base URL |
| Autorisation d’en-tête HTTP | Jeton secret principal |
- Dans le champ Identifiant unique pour les utilisateurs, saisissez Nom d’utilisateur.
- Dans la section Actions de provisionnement supportées, sélectionnez uniquement les éléments suivants :
- Pousser les nouveaux utilisateurs
- Mises à jour du profil Push
- Groupes poussés
- Dans la liste déroulante du mode d’authentification , choisissez HTTP Header.
- Dans Document360, copiez le jeton secret principal depuis la page de provisionnement SCIM.
- Collez le jeton secret principal dans le champ d’autorisation HTTP Header .
Ne cliquez pas encore sur Configuration de Tester le connecteur. À ce stade, le provisionnement SCIM ne fonctionnera pas avec Document360 car la configuration SSO dans Document360 n’est pas encore terminée.
Définir les rôles et groupes par défaut dans Document360
- Allez sur la page de provisionnement SCIM dans Document360 et activez le bouton Activer la synchronisation de groupe si nécessaire. Cela assigne automatiquement les utilisateurs et lecteurs en fonction de vos correspondances de groupes IdP.
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Pour tous les détails sur la gestion des utilisateurs, lecteurs et groupes via SCIM, y compris la cartographie d’attributs, le constructeur d’expressions, les flux de travail de provisionnement et le déprovisionement, voir Gérer les utilisateurs et lecteurs avec SCIM dans Okta.
Étape 4 : Plus de réglages
Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour votre configuration SSO.
- Dans le texte du bouton Personnaliser la connexion, saisissez le texte que vous souhaitez afficher sur le bouton de connexion.
- Activez la déconnexion de l’utilisateur SSO inactif si nécessaire, et définissez la durée après laquelle un utilisateur SSO inactif sera automatiquement déconnecté.
- Choisissez d’inviter tous les utilisateurs ou certains utilisateurs en utilisant les boutons radio SSO Convertir les comptes d’équipe et de lecteurs existants .
- Cliquez sur Créer pour compléter la configuration SSO.
Étape 5 : Installation complète du SCIM dans Okta
Si vous avez activé le provisionnement SCIM dans le 3, complétez-le maintenant que la configuration Document360 est sauvegardée.
Tester et sauvegarder la connexion SCIM
Après la création réussie de la configuration SSO dans Document360, le provisionnement SCIM peut désormais être effectué dans Okta.
- Retournez à la console d’administration Okta et assurez-vous que toutes les informations nécessaires ont été remplies.
- Cliquez sur Configuration du connecteur de test pour vérifier la connexion entre Okta et Document360.
- Une boîte de dialogue de confirmation apparaîtra, indiquant que le test a réussi.
- Cliquez sur Enregistrer pour finaliser la configuration.
La configuration SSO basée sur le protocole SAML a été configurée avec succès avec Okta.
Pour plus de détails sur la façon d’ajouter des utilisateurs, des lecteurs, ainsi que des groupes d’utilisateurs et de lecteurs, voir Gérer les utilisateurs et lecteurs avec SCIM dans Okta.
Meilleures pratiques
- Stockez les deux jetons secrets en toute sécurité. Traitez les jetons SCIM principaux et secondaires comme des mots de passe. Stockez-les dans un gestionnaire de secrets ou un coffre-fort de mots de passe, pas dans des fichiers texte bruts ou des dépôts de code.
- Utilisez le jeton secondaire pour une rotation sécurisée. Si le jeton principal est un jour exposé, basculez d’abord Okta vers le jeton secondaire, puis régénérez le jeton principal. Cela évite toute interruption de la synchronisation utilisateur.
- Testez d’abord dans un environnement non productif. Avant de déployer SSO à tous les utilisateurs, configurez et testez l’intégration avec un petit groupe pour détecter tout problème de mappage d’attributs ou d’accès.
- Alignez le délai d’arrêt d’inactivité avec votre politique de sécurité. Activez la déconnexion de l’utilisateur SSO inactif et réglez la durée pour qu’elle corresponde aux besoins de gestion des sessions de votre organisation.
- Ne testez pas le connecteur SCIM avant d’enregistrer la configuration Document360. Le test échouera à ce stade. Complétez toujours et enregistrez d’abord la configuration SSO de Document360, puis retournez sur Okta pour tester.
FAQ
Quel est le but d’avoir à la fois un jeton secret principal et secondaire ?
Avoir à la fois un jeton principal et un jeton secondaire vous permet de faire pivoter les jetons en toute sécurité sans perturber votre intégration SCIM. Si le jeton principal est accidentellement exposé, vous n’avez pas besoin de le révoquer immédiatement au risque de casser votre synchronisation utilisateur. À la place, basculez votre intégration Okta pour utiliser d’abord le jeton secondaire, puis régénérez le jeton principal en arrière-plan. Cela garantit que le provisionnement des utilisateurs se poursuit sans interruption pendant que le jeton compromis est remplacé.
Puis-je utiliser la même application Okta pour le provisionnement SAML SSO et SCIM ?
Oui. Pour SAML, le provisionnement SCIM est activé dans la même application Okta en activant l’option de provisionnement SCIM dans Paramètres de l’application. Cela diffère de la configuration OpenID Connect, où SCIM nécessite une application OAuth Bearer Token distincte dans le catalogue d’Okta.
Que se passe-t-il pour les utilisateurs existants de Document360 lorsque je configure SSO ?
Les utilisateurs existants ne sont pas automatiquement convertis. Pendant l’étape Plus de paramètres, vous pouvez choisir d’inviter tous les utilisateurs existants ou sélectionnés à passer à la connexion SSO. Les utilisateurs convertis conservent tous leurs rôles et permissions existants.