Autenticação do OKTA

Configurar o OKTA para reconhecer uma nova instância do Orchestrator

Observação: as etapas abaixo são válidas para a configuração Okta SAML. Observe que o procedimento abaixo é uma descrição ampla de um exemplo de configuração. Para instruções detalhadas sobre como fazer, visite a documentação oficial da Okta.

Faça logon no OKTA. A seguinte configuração é feita na exibição de Interface Gráfica Clássica. Você pode alterá-la no menu suspenso no canto superior direito da janela.
Na guia Aplicativo, clique em Criar novo aplicativo. A janela Criar uma nova integração de aplicativo é exibida.
Escolha o SAML 2.0 como método de logon e clique em Criar.
Para a nova integração, na janela Configurações gerais, insira o nome do aplicativo.
Na janela de Configurações do SAML, preencha a seção Geral conforme este exemplo:
- Logon único em URL: a URL de instância do Orchestrator + /identity/Saml2/Acs. Por exemplo, https://orchestratorURL/identity/Saml2/Acs.
- Habilite a caixa de seleção Usar isso para a URL do destinatário e a URL de destino.
- URI da audiência: https://orchestratorURL/identity
- Formato de ID de nome: EmailAddress
- Nome de usuário do aplicativo: E-mail
  
  Observação: sempre que preencher o URL da instância do Orchestrator, certifique-se de que ele não contenha uma barra final. Sempre preencha-o como https://orchestratorURL/identity, não https://orchestratorURL/identity/.
Clique em Exibir configurações avançadas e preencha a seção Declarações de atributos:
- Defina o campo Nome como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresse selecione e-mail.do.usuário no menu suspenso Valor.
Baixe o certificado do OKTA.
Na seção Feedback, selecione a opção que lhe convém e clique em Concluir.
Na guia Logon, na seção Configurações, clique em Instruções de configuração. Você será redirecionado a uma nova página contendo as instruções necessárias para concluir a configuração do Orchestrator para o SAML 2.0: URL de logon do provedor de identidade, Emissor de provedor de identidade, Certificado X.509.

Observação: se, por qualquer motivo, as informações sobre o provedor de identidade forem perdidas, você pode acessar Logon > Configurações > Exibir instruções de configuração, a qualquer momento.

Atribuição de pessoas ao aplicativo

Para que um usuário possa usar a autenticação OKTA, o aplicativo recém-criado deve ser atribuído a ele:

Faça logon no OKTA.
Na página Aplicativo, selecione o aplicativo recém-criado.
Na guia Atribuições, selecione Atribuir > Atribuir a Pessoas e selecione os usuários que receberão as permissões necessárias.
Os usuários recém-adicionados serão exibidos na guia Pessoas.

Defina o Orchestrator/Identity Server para usar a Autenticação OKTA

Defina um usuário no Orchestrator e tenha um endereço de e-mail válido definido na página Usuários.
Importe o certificado de assinatura:
- Para implantações do Windows, importe o certificado de assinatura fornecido pelo Provedor de Identidade para o repositório de certificados do Windows usando o Console de gerenciamento Microsoft.
- Para implantações do Azure, carregue o certificado fornecido pelo Provedor de Identidade a partir do portal do Azure. (Configurações TLS/SSL > Certificados públicos (.cer) > Carregar certificado de chave pública). Veja aqui como ajustar a configuração do seu aplicativo da web se não puder usar a autenticação do OKTA e encontrar a seguinte mensagem de erro: An error occurred while loading the external identity provider. Please check the external identity provider configuration.
Faça login no Portal de gerenciamento como administrador do sistema.
Vá para Segurança.
Clique em Configurar em SAML SSO:

A página Configuração do SAML SSO é aberta.
Configure desta forma:
- Ou então, marque a caixa de seleção Forçar login automático usando esse provedor se, após a integração estar habilitada, você quiser que seus usuários só se conectem usando a autenticação do SAML.
- Defina o parâmetro ID da Entidade do Provedor de Serviços como https://orchestratorURL/identity.
- Defina o parâmetro ID da entidade do Provedor de identidade com o valor obtido configurando a autenticação Okta (consulte a etapa 9 ).
- Defina o parâmetro URL do serviço de login único como o valor obtido na configuração da autenticação Okta (consulte a etapa 9 ).
- Selecione a caixa de seleção Permitir resposta a autenticação não solicitada.
- Defina o parâmetro URL de retorno como https://orchestratorURL/identity/externalidentity/saml2redirectcallback. Certifique-se de adicionar /identity/externalidentity/saml2redirectcallback no final da URL para o parâmetro URL de Retorno. Esse caminho é específico do OKTA, pois permite que você alcance um ambiente do Orchestrator diretamente do OKTA.
- Defina o parâmetro de tipo de ligação SAML como HTTP redirect.
- Na seção Certificado de assinatura, na lista Nome do armazenamento, selecione Meu.
- Na lista Local do armazenamento, selecione LocalMachine para implantações do Windows ou CurrentUser para implantações do Azure Web App.
- No Campo Impressão digital adicione o valor da impressão digital fornecido no armazenamento de certificados do Windows. Detalhes .
  
  Observação:
  Substitua todas as ocorrências de https://orchestratorURL pela URL da sua instância do Orchestrator.
  
  Certifique-se de que a URL da instância do Orchestrator não contenha uma barra normal. Sempre preencha-o como https://orchestratorURL/identity, não https://orchestratorURL/identity/.
Clique em Salvar para salvar as alterações nas configurações do provedor de identidade externo.

A página é fechada e você retorna à página Configurações de segurança.
Clique na alternância à esquerda do SAML SSO para habilitar a integração.
Reinicie o servidor IIS.