Autenticação do OKTA

Configurar o OKTA para reconhecer uma nova instância do Orchestrator

Observação: as etapas abaixo são válidas para a configuração Okta SAML. Observe que o procedimento abaixo é uma descrição ampla de um exemplo de configuração. Para instruções detalhadas sobre como fazer, visite a documentação oficial da Okta.

Faça logon no OKTA. A seguinte configuração é feita na exibição de Interface Gráfica Clássica. Você pode alterá-la no menu suspenso no canto superior direito da janela.
Na guia Aplicativo, clique em Criar novo aplicativo. A janela Criar uma nova integração de aplicativo é exibida.
Escolha o SAML 2.0 como método de logon e clique em Criar.
Para a nova integração, na janela Configurações gerais, insira o nome do aplicativo.
Na janela de Configurações do SAML, preencha a seção Geral conforme este exemplo:
- Logon único em URL: a URL de instância do Orchestrator + /identity/Saml2/Acs. Por exemplo, https://orchestratorURL/identity/Saml2/Acs.
- Habilite a caixa de seleção Usar isso para a URL do destinatário e a URL de destino.
- URI da audiência: https://orchestratorURL/identity
- Formato de ID de nome: EmailAddress
- Nome de usuário do aplicativo: E-mail
  
  Observação: sempre que preencher o URL da instância do Orchestrator, certifique-se de que ele não contenha uma barra final. Sempre preencha-o como https://orchestratorURL/identity, não https://orchestratorURL/identity/.
Clique em Exibir configurações avançadas e preencha a seção Declarações de atributos:
- Defina o campo Nome como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresse selecione e-mail.do.usuário no menu suspenso Valor.
Baixe o certificado do OKTA.
Na seção Feedback, selecione a opção que lhe convém e clique em Concluir.
Na guia Logon, na seção Configurações, clique em Instruções de configuração. Você será redirecionado a uma nova página contendo as instruções necessárias para concluir a configuração do Orchestrator para o SAML 2.0: URL de logon do provedor de identidade, Emissor de provedor de identidade, Certificado X.509.

Observação: se, por qualquer motivo, as informações sobre o provedor de identidade forem perdidas, você pode acessar Logon > Configurações > Exibir instruções de configuração, a qualquer momento.

Atribuição de pessoas ao aplicativo

Para que um usuário possa usar a autenticação OKTA, o aplicativo recém-criado deve ser atribuído a ele:

Faça logon no OKTA.
Na página Aplicativo, selecione o aplicativo recém-criado.
Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias.
Os usuários recém-adicionados serão exibidos na guia Pessoas.

Defina o Orchestrator/Identity Server para usar a Autenticação OKTA

Defina um usuário no Orchestrator e tenha um endereço de e-mail válido definido na página Usuários.
Importe o certificado de assinatura:
- Para implantações do Windows, importe o certificado de assinatura fornecido pelo Provedor de Identidade para o repositório de certificados do Windows usando o Console de gerenciamento Microsoft.
- Para implantações do Azure, carregue o certificado fornecido pelo Provedor de Identidade a partir do portal do Azure. (Configurações TLS/SSL > Certificados públicos (.cer) > Carregar certificado de chave pública). Veja aqui como ajustar a configuração do seu aplicativo da web se não puder usar a autenticação do OKTA e encontrar a seguinte mensagem de erro: An error occurred while loading the external identity provider. Please check the external identity provider configuration.
Faça login no Portal de gerenciamento como administrador do sistema.
Acesse Usuários e selecione a guia Configurações de segurança.
Na seção Provedores externos, clique em Configurar sob SAML 2.0:

O painel Configurar SAML 2.0 é aberto à direita da janela.
Configure desta forma:
- Selecione a caixa de seleção Habilitado.
- Defina o parâmetro ID da Entidade do Provedor de Serviços como https://orchestratorURL/identity.
- Defina o parâmetro ID da entidade do Provedor de identidade com o valor obtido configurando a autenticação Okta (consulte a etapa 9 ).
- Defina o parâmetro URL do serviço de login único como o valor obtido na configuração da autenticação Okta (consulte a etapa 9 ).
- Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
- Defina o parâmetro URL de retorno como https://orchestratorURL/identity/externalidentity/saml2redirectcallback. Certifique-se de adicionar /identity/externalidentity/saml2redirectcallback no final da URL para o parâmetro URL de Retorno. Esse caminho é específico do OKTA, pois permite que você alcance um ambiente do Orchestrator diretamente do OKTA.
- Defina o parâmetro de tipo de ligação SAML como HTTP redirect.
- Na seção Certificado de assinatura, defina o parâmetro Nome do repositório como My.
- Defina o parâmetro Local do repositório como LocalMachine para implantações do Windows ou CurrentUser para implantações de aplicativo web do Azure.
- Defina o parâmetro Impressão digital como o valor da impressão digital fornecida no armazenamento de certificados do Windows. Detalhes aqui .
  
  Observação:
  Substitua todas as ocorrências de https://orchestratorURL pela URL da sua instância do Orchestrator.
  
  Certifique-se de que a URL da instância do Orchestrator não contenha uma barra normal. Sempre preencha-o como https://orchestratorURL/identity, não https://orchestratorURL/identity/.
Clique em Salvar para salvar as alterações nas configurações do provedor de identidade externo.
Reinicie o servidor IIS.