These instructions only apply if you have a standalone installation of Orchestrator.

Okta so konfigurieren, dass eine neue Orchestrator-Instanz erkannt wird

📘

Hinweis:

Die folgenden Schritte gelten für die Okta SAML-Einrichtung. Bitte beachten Sie, dass das folgende Verfahren eine umfassende Beschreibung einer Beispielkonfiguration ist. Eine ausführliche Anleitung finden Sie in der offiziellen Okta-Dokumentation .

1. Melden Sie sich bei Okta an. Die folgende Einrichtung erfolgt in der klassischen UI- Ansicht. Sie können es über das Dropdown-Menü in der oberen rechten Ecke des Fensters ändern.

2. Klicken Sie auf der Registerkarte Anwendung (Application)) auf Neue App erstellen (Create New App). Das Fenster Neue Anwendungsintegration erstellen (Create a New Application Integration) wird angezeigt.
3. Wählen Sie als Anmeldemethode SAML 2.0 und klicken Sie auf Erstellen (Create).

4. Geben Sie den Namen der Anwendung für die neue Integration im Fenster Allgemeine Einstellungen (General Settings) ein.
5. Füllen Sie im Fenster SAML-Einstellungen (SAML Settings) den Abschnitt Allgemein (General) aus wie im folgenden Beispiel veranschaulicht:
   • Single Sign On-URL: Die URL der Orchestrator-Instanz + /identity/Saml2/Acs. Zum Beispiel https://orchestratorURL/identity/Saml2/Acs.
   • Aktivieren Sie das Kontrollfeld Dies für Empfänger-URL und Bestimmungs-URL verwenden (Use this for Recipient URL and Destination URL).
   • Empfänger-URI: https://orchestratorURL/identity
   • Name ID-Format (Name ID Format): E-Mail-Adresse (EmailAddress)
   • Anwendungs-Benutzername: E-Mail-Adresse

📘

Hinweis

Wenn Sie die URL der Orchestrator-Instanz eintragen, müssen Sie immer darauf achten, dass sie keinen Schrägstich am Ende enthält. Geben Sie sie immer als https://orchestratorURL/identity und nicht als https://orchestratorURL/identity/ ein.

6. Klicken Sie auf Erweiterte Einstellungen anzeigen (Show Advanced Settings) und füllen Sie den Abschnitt Attributs-Statements (Attribute Statements) aus:
   • Setzen Sie das Feld Name (Name) auf http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und wählen Sie Benutzer-E-Mail-Adresse (user.email) aus dem Dropdownmenü Wert (Value) aus.

7. Laden Sie das Okta-Zertifikat herunter.
8. Wählen Sie im Abschnitt Rückmeldung (Feedback) die gewünschte Option aus und klicken Sie auf Fertigstellen (Finish).
9. Klicken Sie auf der Registerkarte Anmelden (Sign On) im Abschnitt Einstellungen (Settings) auf Setup-Anweisungen (Setup Instructions). Sie werden auf eine neue Seite umgeleitet. Diese enthält die erforderlichen Anweisungen zur Fertigstellung Ihrer Orchestrator-Konfiguration für SAML 2.0: Identitäts-Provider-Sign-On URL (Identity Provider Sign-On URL), Identitäts-Provider-Aussteller (Identity Provider Issuer), X.509-Zertifikat (X.509 Certificate).

📘

Hinweis

Sollten die Informationen über den Identitäts-Provider aus irgendeinem Grund verloren gehen, können Sie jederzeit Anmelden (Sign On) > Einstellungen (Settings) > Setup-Anweisungen anzeigen (View Setup Instructions)besuchen.

Zuordnen von Mitarbeitern zur Anwendung

Damit ein Benutzer die Okta-Authentifizierung verwenden kann, muss ihm die neu erstellte Anwendung zugewiesen werden:

1. Melden Sie sich bei Okta an.
2. Wählen Sie auf der Seite Anwendung (Application) die neu erstellte Anwendung aus.
3. Wählen Sie auf der Registerkarte Zuordnungen (Assignments) die Option Zuweisen (Assign) > Zu Mitarbeitern zuweisen (Assign to People) und anschließend die Benutzer aus, denen die erforderlichen Berechtigungen erteilt werden sollen.

4. Die neu hinzugefügten Benutzer werden auf der Registerkarte Mitarbeiter (People) angezeigt.

Orchestrator/Identity Server für die Verwendung der Okta-Authentifizierung festlegen

1. Definieren Sie einen Benutzer in Orchestrator und richten Sie auf der Seite Benutzer (Users) eine gültige E-Mail-Adresse ein.
2. Importieren Sie das Signaturzertifikat.
   • Importieren Sie bei Windows-Bereitstellungen das vom Identitätsanbieter bereitgestellte Signaturzertifikat mithilfe der Microsoft Management Console in den Windows-Zertifikatspeicher.
   • Laden Sie für Azure-Bereitstellungen das vom Identitätsanbieter bereitgestellte Zertifikat im Azure-Portal hoch. (TLS/SSL-Einstellungen > Öffentliche Zertifikate (.cer) > Öffentliches Schlüsselzertifikat hochladen). Lesen Sie hier, wie Sie Ihre Web-App-Konfiguration anpassen, wenn Sie die OKTA-Authentifizierung nicht verwenden können und die folgende Fehlermeldung angezeigt wird: An error occurred while loading the external identity provider. Please check the external identity provider configuration.
3. Melden Sie sich beim Management-Portal als Systemadministrator an.
4. Gehen Sie zu Sicherheit .
   Wenn Sie immer noch die alte Administratorumgebung verwenden, wechseln Sie zu Benutzer anstelle von Sicherheit .
5. Klicken Sie unter SAML SSO auf Konfigurieren :
   Die SAML-SSO-Konfigurationsseite wird geöffnet.
6. Richten Sie es wie folgt ein:
   • Aktivieren Sie optional das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie möchten, dass sich Ihre Benutzer nach der Aktivierung der Integration nur über die SAML-Integration anmelden.
   • Set the Service Provider Entity ID parameter to https://orchestratorURL/identity.
   • Legen Sie den Parameter Identity Provider Entity ID auf den Wert fest, den Sie durch Konfigurieren der Okta-Authentifizierung erhalten haben (siehe Schritt 9 ).
   • Legen Sie den Parameter Single Sign-On Service URL auf den Wert fest, den Sie durch Konfigurieren der Okta-Authentifizierung erhalten haben (siehe Schritt 9 ).
   • Aktivieren Sie das Kontrollkästchen Unangeforderte Authentifizierungsantwort zulassen.
   • Legen Sie den Parameter Rückgabe-URL auf https://orchestratorURL/identity/externalidentity/saml2redirectcallback . Stellen Sie sicher, dass Sie /identity/externalidentity/saml2redirectcallback am Ende der URL für den Parameter Rückgabe-URL hinzufügen. Dieser Pfad ist spezifisch für Okta, da Sie über ihn direkt von Okta aus auf eine Orchestrator-Umgebung zugreifen können.
   • Set the SAML binding type parameter to HTTP redirect.
   • Wählen Sie im Abschnitt Signaturzertifikat in der Liste Store name die Option My aus.
   • Wählen Sie aus der Liste Speicherort die Option LocalMachine für Windows-Bereitstellungen oder CurrentUser für Azure Web App-Bereitstellungen aus.
   • Fügen Sie im Feld Fingerabdruck den Fingerabdruckwert hinzu, der im Windows-Zertifikatspeicher bereitgestellt wird. Einzelheiten .

📘

Hinweis

Ersetzen Sie alle vorkommenden https://orchestratorURL durch die URL Ihrer Orchestrator-Instanz.

Stellen Sie sicher, dass die URL der Orchestrator-Instanz keinen nachgestellten Schrägstrich enthält. Geben Sie sie immer als https://orchestratorURL/identity und nicht als https://orchestratorURL/identity/ ein.

7. Klicken Sie auf Speichern, um die Änderungen an den Einstellungen des externen Identitätsanbieters zu speichern.
   Die Seite wird geschlossen und Sie kehren zur Seite Sicherheitseinstellungen zurück.
8. Klicken Sie auf den Umschalter links neben SAML SSO , um die Integration zu aktivieren.
9. Starten Sie den IIS-Server neu.