Guía del usuario de Orchestrator

Configura OKTA para reconocer una nueva instancia de Orchestrator​

1. Inicia sesión en OKTA. La siguiente configuración se realiza en la vista de IU clásica. Puedes cambiarla desde el menú desplegable en la esquina superior derecha de la ventana.

   Figura 1. Interfaz clásica

   

2. En la pestaña Aplicación, selecciona Crear nueva aplicación. Se mostrará la ventana Crear una nueva integración de aplicaciones.

3. Elige SAML 2.0 como método de inicio de sesión y selecciona Crear.

   Figura 2. Crear nueva ventana de integración de aplicaciones

   

4. Para la nueva integración, en la ventana Configuración general, introduce el nombre de la aplicación.

5. En la ventana Configuración de SAML, rellena la sección General según este ejemplo:

   • URL de inicio de sesión único: la instancia de Orchestrator + /identity/Saml2/Acs. Por ejemplo, https://orchestratorURL/identity/Saml2/Acs.
   • Habilita la casilla Usar esto para la URL del destinatario y la URL del destino.
   • Audience URI1: https://orchestratorURL/identity
   • Formato de ID del nombre: Correo electrónico
   • Nombre de usuario de la aplicación: Correo electrónico
     Nota:

     Cuando rellenes la URL de la instancia de Orchestrator, asegúrate de que no contenga una barra al final. https://orchestratorURL/identityhttps://orchestratorURL/identity/Rellénala siempre como , y no com..

6. Selecciona Mostrar configuración avanzada y rellena la sección Declaraciones de atributos:

   • Establece el campo Nombre como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress y selecciona user.email en el campo Valor desplegable.

     Figura 3. Sección "Declaraciones de atributo (opcional)"

     

7. Descarga el certificado OKTA.

8. En la sección Comentarios, selecciona la opción que más te convenga y selecciona Finalizar.

9. En la pestaña Iniciar sesión, en la sección Configuración, selecciona Instrucciones de configuración. Se te redirige a una nueva página que contiene las instrucciones necesarias para completar la configuración de Orchestrator para SAML 2.0: URL de inicio de sesión del proveedor de identidad, emisor del proveedor de identidad, certificado X.509.

   Nota:

   Si por algún motivo se pierde la información sobre el proveedor de identidad, puedes, en cualquier momento, visitar Inicio de sesión > Configuración > Ver instrucciones de configuración.

Asignar personas a la aplicación​

1. Inicia sesión en OKTA.

2. En la página Aplicación, selecciona la aplicación recién creada.

3. En la pestaña Asignar, selecciona Asignar > Asignar a la gente y selecciona los usuarios a los que se les debe dar los permisos necesarios.

   Figura 4. Ventana Asignar Orchestrator25 a las personas

   

4. Los usuarios recién añadido se muestran en la pestaña Personas.

Establece Orchestrator/Identity Server para utilizar la autenticación de OKTA​

1. Define un usuario en Orchestrator y establece una dirección de correo electrónico válida en la página de Usuarios.

2. Importa el certificado de firma:

   • Para implementaciones en Windows, importa el certificado de firma proporcionado por el proveedor de identidades al almacén de certificados de Windows mediante Microsoft Management Console.
   • Para las implementaciones de Azure, carga el certificado proporcionado por el proveedor de identidades en el portal de Azure. (Configuración de TLS/SSL > Certificados públicos (.cer) > Cargar certificado de clave pública). Consulta Errores frecuentes de Orchestrator para ajustar la configuración de tu aplicación web si no puedes utilizar la autenticación de OKTA y recibes el siguiente mensaje de error: An error occurred while loading the external identity provider. Please check the external identity provider configuration.

3. Inicia sesión en el portal de gestión como administrador del sistema.

4. Ve a Seguridad.

5. Selecciona Configurar bajo SAML SSO:

   Se abre la página Configuración de SAML SSO.

6. Configúralo de la siguiente manera:

   • De forma opcional, marca la casilla de verificación Forzar inicio de sesión automático usando este proveedor si, después de habilitar la integración, quieres que los usuarios solo puedan iniciar sesión usando la integración de SAML.
   • Set the Service Provider Entity ID parameter to https://orchestratorURL/identity.
   • Establece el parámetro ID de entidad del proveedor de identidad en el valor obtenido al configurar la autenticación de Okta (consulta el paso 9).
   • Establece el parámetro URL del servicio de inicio de sesión único en el valor obtenido al configurar la autenticación de Okta (consulta el paso 9).
   • Selecciona la casilla de verificación Permitir respuesta de autenticación no solicitada.
   • Establece el parámetro Devolver URL en https://orchestratorURL/identity/externalidentity/saml2redirectcallback. Asegúrate de añadir /identity/externalidentity/saml2redirectcallback al final de la URL del parámetro URL de retorno. Esta ruta es específica para OKTA, y te permite acceder a un entorno de Orchestrator directamente desde OKTA.
   • Set the SAML binding type parameter to HTTP redirect.
   • En la sección Certificado de firma, desde la lista Nombre de almacén, selecciona Mío.
   • En la lista Ubicación de tienda, seleccione LocalMachine para implementaciones de Windows o CurrentUser para implementaciones de Web App de Azure.
   • En el campo Huella digital , añade el valor de la huella digital proporcionado en el almacén de certificados de Windows. Detalles
     Nota:

     Reemplaza todas las ocurrencias de https://orchestratorURL con la URL de tu instancia de Orchestrator. Comprueba que la URL de la instancia de Orchestrator no contiene una barra al final. Rellénala siempre como https://orchestratorURL/identity y no como https://orchestratorURL/identity/.

7. Selecciona Guardar para guardar los cambios en la configuración del proveedor de identidades externo.

   La página se cierra y vuelves a la página Configuración de seguridad.

8. Selecciona la alternancia a la izquierda de SAML SSO para habilitar la integración.

9. Reinicia el servidor IIS.