Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Disclaimer: Dit artikel is gegenereerd door automatische vertaling.

SAML SSO met Okta

Prev Next

Okta is een Identity Provider (IdP) die gebruikerstoegang beheert over meerdere applicaties vanaf één platform. Met SAML SSO geconfigureerd tussen Okta en Document360 kunnen je gebruikers en lezers inloggen op Document360 met hun bestaande Okta-inloggegevens, zonder dat er een apart wachtwoord nodig is.

OPMERKING

Alleen gebruikers met de rol Eigenaar of Beheerder kunnen SSO configureren in Document360.

Wat je kunt doen met Okta als je IdP

Capaciteit Ondersteund
Gebruikers- (portaal) authenticatie Ja
Lezer (kennisbanksite) authenticatie Ja
IdP-geïnitieerde aanmelding Ja
SCIM-gebruikersprovisioning Ja
SCIM-lezerprovisioning Ja
SCIM groepssynchronisatie Ja
SSO-configuratie-overerving (ouder-kindprojecten) Ja

Voordat je begint

  • Je hebt een actief Okta-account met beheerdersrecht. Als je er een moet aanmaken, meld je dan aan bij developer.okta.com/signup.
  • Je hebt eigenaar - of beheerdersrechten in je Document360-project.
  • Open Document360 en Okta in twee aparte browsertabbladen. Je zult tijdens de installatie meerdere keren tussen deze moeten wisselen.

Stap 1: Maak een SAML-applicatie aan in Okta

Maak de app-integratie aan

  1. Log in op je Okta-account en klik rechtsboven op Admin om over te schakelen naar de beheerdersconsole.
  2. Vemeer in de linkernavigatie Applicaties en klik op Applicaties.
  3. Klik op App-integratie aanmaken.
  4. Selecteer in het dialoog 'Maak een nieuwe app' integratie SAML 2.0 als aanmeldmethode en klik op Volgende.
Creating a SAML 2.0 app integration in Okta

Configureer algemene instellingen

  1. Voer op het tabblad Algemene Instellingen een naam van je applicatie in het veld voor App-naam (bijvoorbeeld "Document360 SSO").
  2. Upload optioneel een logo en configureer de zichtbaarheidsinstellingen van de app.
  3. Klik op Volgende om naar het tabblad SAML Configureren te gaan.
Okta general settings tab for the SAML app integration

Configureer SAML-instellingen met behulp van Document360-parameters

Je hebt de Service Provider (SP)-parameters van Document360 nodig om deze stap te voltooien.

Haal de parameters van Document360 op:

  1. Ga in Document360 naar  Instellingen () > Gebruikers & machtigingen > SSO-configuratie.
  2. Klik op Create SSO en selecteer Okta als je identiteitsprovider.
SSO configuration screen showing identity provider options and setup steps for integration.
  1. Document360 toont de pagina 'Configureer the Service Provider (SP' met de parameters die je nodig hebt.
Configuration settings for Okta SSO, highlighting callback paths and service provider entity ID.

Voer de parameters in Okta in:

  1. Schakel over naar het tabblad Okta. Voer op het tabblad SAML configureren de Document360-parameters in met behulp van de onderstaande mapping.
Document360 Okta
Callback-pad Enkele aanmeldings-URL
Entiteits-ID van dienstverlener Publiek URI (SP Entity ID)
  1. Stel het Naam-ID-formaat in op E-mailadres.
  2. Stel de gebruikersnaam van de applicatie in op e-mail.

OPMERKING

E-mail- en naamparameters zijn hoofdlettergevoelig.

SAML settings configuration with highlighted fields for single sign-on and audience URI.
  1. Klik op Volgende om naar de Feedbackpagina te gaan.

Voltooi de feedbackpagina

De Feedbackpagina is bedoeld om informatie aan Okta te geven over hoe je de applicatie configureert.

  1. Selecteer Dit is een interne app die we hebben gemaakt.
  2. Klik op Voltooien.
Feedback section for Okta SAML integration with highlighted internal app description.

Je Okta-applicatie is nu aangemaakt.

Profielattribuut-instructies toewijzen

  1. Navigeer in je Okta-applicatie naar het tabblad Aanmelden en scroll naar beneden naar Attribuut-instructies.
  2. Vouw Legacy-configuratie uit en klik op Bewerken op Profiel-attribuutinstructies.
Okta Admin Console displaying applications and attribute statements configuration options.
  1. Voeg de volgende attribuutstatements toe. Je zult twee extra rijen moeten toevoegen.
Naam Naamformaat Waarde
urn:oasis:names:tc:SAML:2.0:nameid URI-referentie user.email
Naam Onspecificeerd user.email
E-mail Onspecificeerd user.email
  1. Klik op Opslaan.

Stap 2: Voltooi de SSO-configuratie in Document360

Haal SAML-installatie-instructies op van Okta

  1. Klik op het Okta-dashboard op Applicaties en selecteer Applicaties.
  2. Selecteer de actieve applicatie die je wilt configureren op Document360.
  3. Klik op het tabblad Aanmelden .
  4. Klik op Bekijk de installatie-instructies van SAML.
Viewing SAML setup instructions in Okta

De parameters die nodig zijn om Document360 te configureren, openen in een nieuwe webpagina.

Okta SAML setup instructions page showing IdP parameters

Configureer de identiteitsprovider in Document360

  1. Schakel over naar het tabblad Document360, dat nog steeds de pagina Configureer the Service Provider (SP) zou moeten tonen.
  2. In het veld 'Configure an existing connection ' kun je erven van een reeds aangemaakte SSO-configuratie die SCIM heeft ingeschakeld in het hoofdproject. Door deze verbinding te selecteren en te erven, wordt de huidige SSO-configuratie ingesteld als de door kind geërfde SSO-configuratie en erft deze automatisch de SCIM-configuratie van de ouder.

OPMERKING

Voor meer informatie over overerving, zie Gebruikers en lezers beheren met SCIM in Okta.

  1. Voltooi de velden op de pagina Configure the Identity Provider (IdP) met behulp van de setup-instructies van Okta.
  2. Download het X.509-certificaat van Okta en voeg het gedownloade bestand toe in het SAML-certificaatveld in Document360.
Document360 Okta
Aanmeld-URL Identiteitsprovider Single Sign-On URL
Entiteits-ID Identiteitsaanbieder Uitgever
SAML-certificaat X.509 Certificaat
  1. Zet de schakelaar 'Admit IdP' geïnitieerd aanmelden aan of uit afhankelijk van je vereisten. Lees meer over IdP-geïnitieerde aanmeldingen.
Configuration settings for Single Sign-On with highlighted URLs and entity ID.
  1. Klik op Volgende om door te gaan naar de SCIM-provisioningpagina .

Stap 3: Configureer SCIM-provisioning

SCIM-provisioning automatiseert het beheer van de levenscyclus van gebruikers en lezers tussen Okta en Document360. Wanneer ingeschakeld, worden gebruikers die in Okta zijn toegevoegd, bijgewerkt of gedeactiveerd automatisch gesynchroniseerd met Document360.

Als je geen SCIM-provisioning nodig hebt, klik dan op Volgende en volg de instructies uit Stap 4: Meer instellingen.

Schakel SCIM in in Document360 in

  1. Zet op de SCIM-provisioning-pagina de schakelaar SCIM Provisioning Inschakelen in.
SCIM provisioning settings with steps to enable user synchronization.
  1. Er verschijnt een bevestigingsdialoog. Bekijk de voorwaarden, vink het vakje aan en klik op Akkoord.
  2. De parameters die nodig zijn om de SCIM-configuratie in Okta te voltooien, worden vervolgens weergegeven.
Configuration settings for SCIM provisioning including tokens and user roles.

VOORZICHTIGHEID

De primaire en secundaire tokens worden eenmaal gegenereerd en alleen getoond op het moment van aanmaken. Zorg ervoor dat je ze kopieert en op een veilige plek opslaat voordat je de configuratie opslaat. Zodra de SSO-configuratie is opgeslagen, verschijnen de tokens gemaskeerd en kunnen ze niet worden teruggevonden. Het regenereren van een token maakt de bestaande ongeldig; je zult het nieuwe token in je Okta-configuratie moeten bijwerken om zonder onderbreking te kunnen blijven synchroniseren.

Schakel SCIM-provisioning in Okta in

  1. Vouw in de Okta Admin Console Applicaties uit en klik op Applicaties.
  2. Selecteer de applicatie waarin je SCIM-provisioning wilt inschakelen.
  3. Ga naar het tabblad Algemeen en klik op Bewerken onder App-instellingen.
  4. Selecteer de knop SCIM Provisioning en klik op Opslaan.
App settings interface showing provisioning options and highlighted SCIM selection.

Configureer de SCIM-verbinding in Okta

  1. Ga naar het tabblad Provisioning en klik onder de sectie SCIM Connection op Bewerken.
Okta Admin Console showing provisioning settings and SCIM connection details.
  1. Voer de SCIM Base URL van Document360 in het SCIM connector basis-URL-veld van Okta met behulp van de onderstaande mapping.
Okta Document360
SCIM-connectorbasis-URL SCIM Base URL
HTTP Header Autorisatie Primaire geheime token
  1. Voer in het veld Unieke identificatie voor gebruikers gebruikersnaam in.
  2. Selecteer onder Ondersteunde provisioningacties alleen het volgende:
    • Nieuwe gebruikers pushen
    • Push-profielupdates
    • Pushgroepen
  3. Kies in het keuzemenu Authenticatiemodus HTTP Header.
  4. Kopieer in Document360 het primaire geheime token van de SCIM-provisioningpagina.
  5. Plak het primaire geheime token in het veld HTTP Header Authorization .
SCIM connection settings including URL, user identifier, and provisioning actions options.

OPMERKING

Klik nog niet op Test Connector Configuration . Op dit moment werkt SCIM-provisioning niet met Document360, omdat de SSO-configuratie in Document360 nog niet is voltooid.

Stel standaardrollen en groepen in in Document360

  1. Ga naar de SCIM-provisioningpagina in Document360 en zet indien nodig de schakelaar Groepssynchronisatie inschakelen in. Dit wijst automatisch gebruikers en lezers toe op basis van je IdP-groepsmapping.
  2. In het veld Standaardrol staat de rol standaard op Bijdrager . Je kunt dit wijzigen via het dropdownmenu indien nodig.
  3. Selecteer in de velden Gebruikersgroepen en Lezergroepen de groepen die je wilt toevoegen. Meerdere groepen kunnen worden toegevoegd, en ze erven de standaardrol die je eerder hebt gekozen.
Configuration settings for SCIM provisioning with highlighted options for roles and group sync.
  1. Klik op Volgende om naar de pagina Meer-instellingen te gaan.

OPMERKING

Voor volledige details over het beheren van gebruikers, lezers en groepen via SCIM, inclusief attribuutmapping, expression builder, provisioning workflows en deprovisioning, zie Gebruikers en lezers beheren met SCIM in Okta.


Stap 4: Meer instellingen

Configureer SSO-naam en inlogopties

  1. Voer in het veld voor SSO-naam een naam in voor je SSO-configuratie.
  2. Voer in de tekst van de inlogknop aanpassen de tekst in die je wilt laten zien op de inlogknop.
  3. Activeer de uitloggende SSO-gebruiker indien nodig en stel de duur in waarna een inactieve SSO-gebruiker automatisch wordt uitgelogd.
  4. Kies of je alle gebruikers of geselecteerde gebruikers uitnodigt met de Bestaande team- en lezersaccounts omzetten naar SSO-radioknoppen .
Settings for creating a new SSO with options for timeout and user management.
  1. Klik op Aanmaken om de SSO-configuratie te voltooien.

Stap 5: Volledige SCIM-installatie in Okta

Als je SCIM-provisioning in 3 hebt ingeschakeld, voltooi het dan nu nu de Document360-configuratie is opgeslagen.

Test en sla de SCIM-verbinding op

Nadat de SSO-configuratie succesvol is aangemaakt in Document360, kan de SCIM-provisioning nu in Okta worden voltooid.

  1. Ga terug naar de Okta Admin Console en zorg dat alle benodigde gegevens zijn ingevuld.
SCIM connection settings including URL, user identifier, and provisioning actions options.
  1. Klik op Test Connector Configuration om de verbinding tussen Okta en Document360 te verifiëren.
  2. Er verschijnt een bevestigingsdialoog, dat aangeeft dat de test succesvol was.
Successful connector configuration with detected provisioning features listed below.
  1. Klik op Opslaan om de configuratie te voltooien.

De SSO-configuratie gebaseerd op het SAML-protocol is succesvol geconfigureerd met Okta.

OPMERKING

Voor meer details over hoe je gebruikers, lezers en gebruikers- en lezersgroepen kunt toevoegen, zie Gebruikers en lezers beheren met SCIM in Okta.


Best practices

  • Bewaar beide geheime tokens veilig. Behandel de primaire en secundaire SCIM-tokens als wachtwoorden. Sla ze op in een secrets manager of wachtwoordkluis, niet in platte tekstbestanden of coderepositories.
  • Gebruik de secundaire token voor veilige rotatie. Als de primaire token ooit wordt blootgesteld, wissel dan eerst Okta naar de secundaire token en regenereer dan de primaire token. Dit voorkomt onderbrekingen van de gebruikerssynchronisatie.
  • Test eerst in een niet-productieomgeving. Voordat je SSO uitrolt naar alle gebruikers, configureer en test je de integratie met een kleine groep om eventuele attributentoewijzing of toegangsproblemen op te sporen.
  • Stem de idle time-out af op je beveiligingsbeleid. Schakel uitloggen in, SSO-gebruiker in en stel de duur in die aansluit bij de sessiebeheervereisten van uw organisatie.
  • Test de SCIM-connector niet voordat je de Document360-configuratie opslaat. De test faalt op dat moment. Voltooi en sla altijd eerst de Document360 SSO-configuratie op, en keer dan terug naar Okta om te testen.

FAQ

Wat is het doel van het hebben van zowel een primaire als secundaire geheime token?

Met zowel een primaire als secundaire token kun je tokens veilig roteren zonder je SCIM-integratie te verstoren. Als het primaire token per ongeluk wordt blootgesteld, hoef je het niet direct in te trekken en loop je het risico je gebruikerssynchronisatie te verbreken. In plaats daarvan schakel je Okta-integratie om eerst de secundaire token te gebruiken en vervolgens de primaire token op de achtergrond opnieuw te genereren. Dit zorgt ervoor dat de gebruikerprovisioning ononderbroken doorgaat terwijl het gecompromitteerde token wordt vervangen.

Kan ik dezelfde Okta-applicatie gebruiken voor zowel SAML SSO als SCIM-provisioning?

Ja. Voor SAML wordt SCIM-provisioning ingeschakeld binnen dezelfde Okta-applicatie door de SCIM-provisioning-optie te activeren onder App-instellingen. Dit verschilt van de OpenID Connect-opzet, waar SCIM een aparte OAuth Bearer Token-app in Okta's catalogus vereist.

Wat gebeurt er met bestaande Document360-gebruikers wanneer ik SSO configureer?

Bestaande gebruikers worden niet automatisch omgezet. Tijdens de stap Meer instellingen kun je ervoor kiezen om alle bestaande gebruikers of geselecteerde gebruikers uit te nodigen om over te schakelen naar SSO-login. Gebruikers die zijn geconverteerd behouden al hun bestaande rollen en rechten.