Configurer le modèle de l'application WS-Federation d'Okta

Okta fournit une app modèle WS-Federation avec laquelle vous pouvez créer des apps compatibles avec WS-Fed à la demande.

Lorsque vous utilisez cette application modèle, Okta fait office de fournisseur d'identité (IdP), et l'application cible est le fournisseur de services (SP).

Pour WS-Fed, Okta (qui fait office d'IdP) prend en charge l'authentification initiée par le SP. Voici le flux de travail de l'authentification :

  1. Accédez d'abord au SP cible ou cliquez sur l'app dans Okta. Vous ne devez pas avoir de session établie avec le SP.
  2. Le SP redirige l'utilisateur vers l'URL de connexion configurée (URL d'instance d'app générée par Okta) en envoyant une demande passive.
  3. Okta reçoit une demande passive (à condition que vous ayez une session Okta existante).
  4. Okta envoie une réponse au SP configuré.
  5. Le SP reçoit la réponse et vérifie que les demandes sont correctes. Cela établit une session du côté du SP.
  6. L'authentification est réussie.

La configuration de WS-Fed est plus poussée sur l'app cible (SP) que vous utilisez pour configurer WS-Fed. Okta fournit ces informations dans nos instructions d'app WS-Fed (accessibles dans l'onglet Authentification sur la page de l'app WS-Fed). Les instructions contiennent les éléments suivants : domaine Realm, émetteur et URL passive (en temps normal, nécessaire uniquement dans le flux de travail initié par le SP indiqué précédemment). La configuration dépend de l'application. Okta recommande de contacter le distributeur de votre SP pour vérifier si l'activation de WS-Fed est une fonctionnalité tout ou rien.

Noms de domaines Realm

Le nom de domaine Realm doit être unique pour l'IdP. Toutes les parties de confiance ne prennent pas en charge l'utilisation d'un point de terminaison unique généré par partie. L'app modèle WS-Federation prend en charge deux modes de domaines Realm.

  • Point de terminaison partagé avec un nom de domaine Realm généré par Okta

    Si vous ne saisissez pas de nom de domaine Realm, Okta en générera un avec la clé externe de l'application. Par exemple : https://[orgname].okta.com/app/template_wsfed/sso/wsfed/passive. La partie de confiance utilise un point de terminaison commun pour les demandes, et le paramètre de la requête suivant : wtrealm=urn:okta:app:[key] identifie l'instance d'app cible.

  • Point de terminaison de l'app avec un nom de domaine Realm défini par le client

    Si vous indiquez un nom de domaine Realm, Okta générera un point de terminaison spécifique à l'application. Par exemple : https://[orgname].okta.com/apt/template_wsfed/[key]/sso/wsfed/. Les noms de domaines Realm peuvent être réutilisés, puisque l'espace de nommage est l'app ; il ne s'agit pas d'un espace de nommage global. Le nom de domaine Realm est validé grâce à la correspondance avec la valeur configurée, et il n'est utilisé dans aucun autre but.

Dans les deux configurations, l'émetteur de l'assertion SAML est toujours la clé de l'instance d'app. Par exemple : http://www.okta.com/[key]. Le public correspond toujours à la valeur configurée pour Restriction du public. Okta recommande d'utiliser la même valeur que le nom de domaine Realm, mais il est possible d'utiliser une valeur différente si nécessaire.

Ajouter et configurer le modèle de WS-Fed

Vous devez tout d'abord ajouter le modèle de l'app WS-Fed à votre org. Vous devez d'abord ajouter l'app privée en tant que super utilisateur.

  1. Dans Admin Console, accédez à Applications, cliquez sur Parcourir le catalogue d'applications, puis saisissez Modèle WS-Fed dans la zone Rechercher.
  2. Remplissez les champs suivants dans le modèle de l'app WS-Fed. Reportez-vous à la documentation de votre application cible (SP) pour obtenir plus d'informations sur la manière de remplir ces champs.
    • Libellé de l'application : donnez un libellé à votre app, à afficher sur la page d'accueil de vos utilisateurs.
    • URL de l'application Web : l'URL de lancement pour l'application Web. Par exemple : http://example.com.
    • Domaine Realm : un ou plusieurs domaines qui sont configurés pour partager des ressources en toute sécurité. Le domaine Realm est l'URI (Uniform Resource Identifier) de l'application. Il s'agit de l'identité qui est envoyée à l'IdP Okta lors de la connexion. Si vous n'indiquez pas de domaine Realm, Okta en générera un à votre place, comme indiqué dans les instructions de configuration. Voir Noms de domaines Realm.
    • URL ReplyTo : il s'agit du point de terminaison du SP WS-Fed (c'est-à-dire, l'emplacement où se connectent vos utilisateurs). Par exemple : http://test.acme.com/example-post-sign/.
    • AllowReplyToOverride : cela permet à une application Web de remplacer l'URL ReplyTo par un paramètre de réponse.
    • Format d'ID de nom : la valeur que vous choisirez dépend de l'application. Il s'agit du format du nom d'utilisateur que vous envoyez dans la réponse WS-Fed. Consultez la documentation du SP pour obtenir cette information.
    • Restriction du public : il s'agit de l'ID d'entité du SP. Il est fourni par le SP et doit correspondre exactement. Consultez la documentation du SP pour obtenir cette information.
    • Contexte d'authentification de l'assertion : vous indique le type de restriction d'authentification. Ce champ doit généralement être configuré sur Transport protégé par mot de passe. Consultez la documentation du SP pour obtenir cette information.
    • Instructions d'attribut (facultatif) : vous pouvez fédérer les attributs utilisateur, comme les champs du profil Okta, LDAP, Active Directory et les valeurs Workday. Le SP utilise les valeurs des attributs WS-Fed fédérés en conséquence. Consultez la section Mappage d'Active Directory, de LDAP et des valeurs Workday dans un modèle SAML 2.0 ou un modèle d'application WS-Fed pour plus d'informations.
    • Nom de groupe (facultatif) : saisissez un nom pour cet attribut à inclure dans l'instruction d'attribut de la réponse WS-Fed. Saisissez ensuite les groupes (en utilisant des expressions) dans le champ Filtre de groupe pour indiquer les groupes inclus dans cet attribut. Tous les utilisateurs qui appartiennent au groupe que vous avez filtré sont inclus dans l'instruction d'attribut de la réponse WS-Fed.
    • Valeur d'attribut de groupe : indique la valeur de l'attribut d'assertion WS-Fed pour les groupes filtrés. Cet attribut n'est appliqué qu'aux groupes Active Directory. Vous avez le choix entre : WindowsDomainQualifiedName, samAccountName et dn.
    • Filtre de groupe (facultatif) : indiquez les groupes d'utilisateurs que vous souhaitez inclure dans l'attribut que vous avez configuré dans le champ Nom de groupe. Saisissez une expression régulière à utiliser pour filtrer les groupes. Si le groupe d'utilisateurs trouvé possède un groupe AD correspondant, alors l'instruction d'attribut inclura la valeur de l'attribut indiqué dans Valeur d'attribut de groupe. Si le groupe d'utilisateurs trouvé ne contient pas de groupe AD correspondant, alors le nom de groupe sera utilisé dans l'instruction d'attribut.
    • Instructions d'attribut du nom d'utilisateur : indique les autres instructions d'attribut du nom d'utilisateur à inclure dans l'assertion WS-Fed. Cela simplifie l'intégration avec les apps .NET qui ignorent les instructions de sujet. Vous avez le choix entre : nom d'utilisateur, UPN, nom d'utilisateur et UPN, et aucune.
    • Instructions d'attribut personnalisées : définit les instructions d'attribut SAML personnalisées.
    • Algorithme de signature : choisissez SHA1 ou SHA256.
    • Algorithme Digest : choisissez SHA1 ou SHA256.
    • Visibilité de l'application (facultatif) : vous pouvez choisir de masquer l'icône de l'application sur la page d'accueil de vos utilisateurs.

Configurer WS-Fed dans l'application cible (SP)

Pour que WS-Fed fonctionne, vous devez suivre certaines étapes supplémentaires dans l'application cible (SP).

Appelez le distributeur de votre SP pour déterminer si l'activation de SAML est une option tout ou rien. Okta fournit les informations nécessaires sur la configuration à effectuer dans le SP cible.

Pour accéder à ces informations, procédez comme suit :

  1. Cliquez sur l'instance de l'app modèle que vous avez ajoutée.
  2. Sélectionnez l'onglet Authentification, puis cliquez sur Voir les instructions de configuration.
  3. Dans les instructions, faites défiler vers le bas jusqu'à la section Configurer le domaine où vous pouvez obtenir toutes les informations nécessaires sur la configuration du point de terminaison du SP.

Tester l'application

Affectez un utilisateur à l'app et assurez-vous qu'il peut bien s'authentifier.

Rubrique liée

Configurer l'app de modèle d'Okta et l'app de modèle de plug-in d'Okta