Configurer l'agent Okta SharePoint People Picker
Installer le plug-in Okta SharePoint People Picker vous permet de récupérer des utilisateurs et des groupes dans Okta. Le plug-in People Picker est un exécutable Microsoft Windows que vous pouvez télécharger sur la page Téléchargements de votre Dashboard administrateur Okta.
Avant de commencer
-
Suivez les instructions de la rubrique Déployer l'agent Okta People Picker pour SharePoint.
- Vérifiez que le compte utilisateur dispose des permissions nécessaires pour modifier la batterie de serveurs SharePoint.
-
Vérifiez que vous disposez de SharePoint Management Shell ou du composant logiciel enfichable SharePoint PowerShell pour exécuter les commandes PowerShell sur votre serveur SharePoint. Ajoutez le composant logiciel enfichable requis dans une invite PowerShell existante en saisissant la commande suivante :
Add-PSSnapIn Microsoft.Sharepoint.Powershell
Commencer la procédure
Cette procédure comporte les tâches suivantes :
1. Définir les valeurs de configuration dans la batterie de serveurs SharePoint
2. Exécuter les commandes appropriées
3. Configurer les valeurs de la permission de recherche
4. Facultatif : filtrer les importations Active Directory
1. Définir les valeurs de configuration dans la batterie de serveurs SharePoint
Vous devez définir plusieurs valeurs de configuration dans la batterie de serveurs SharePoint pour installer Okta People Picker. Ces valeurs sont utilisées pour configurer la fonctionnalité People Picker et définir l'org Okta que vous intégrez à cet environnement SharePoint.
| Propriété | Valeur |
|---|---|
| Clé Okta API | Clé d'API Administrateur en lecture seule générée lors des étapes prérequises |
| BaseUrl | Le domaine de votre org Okta, par exemple : https://oktaorg.okta.com |
| OktaClaimProviderDisplayName | Défini sur Okta par défaut. Peut être défini sur une autre valeur si vous préférez afficher un autre nom pour Okta People Picker |
| MapUpnToWindowsUser | Indicateur de configuration pour activer ou désactiver la conversion au protocole C2WTS |
| UniqueUserIdentifierClaimType |
Définit la déclaration utilisée comme identificateur unique de l'utilisateur. Le type de déclaration d'identificateur sur l'émetteur de jetons de confiance Okta doit être unique et inaltérable, et doit correspondre à UniqueUserIdentifierClaimType. Défini sur E-mail ou UserName, en fonction de ce que vous souhaitez utiliser en temps que déclaration d'identificateur. |
2. Exécuter les commandes appropriées
Saisissez les commandes suivantes, en remplaçant les variables par les valeurs appropriées telles que définies dans la section précédente.
Saisissez les commandes plutôt que de les copier et coller.
-
Saisissez la commande suivante pour mettre à jour les propriétés de la batterie de serveurs.
Copier$farm = Get-SPFarm
$farm.Properties["OktaApiKey"] = "OktaAPIKey"
$farm.Properties["OktaBaseUrl"] = "https://oktaorg.okta.com""
$farm.Properties["OktaLoginProviderName"] = "Okta"
$farm.Properties["OktaClaimProviderDisplayName"] = "Okta" -
Facultatif : si vous activez C2WTS, exécutez la commande suivante. Sinon, passez à la prochaine étape.
Copier$farm.Properties["MapUpnToWindowsUser"] = $true -
Pour spécifier
UniqueUserIdentifierClaimType, exécutez l'une des commandes suivantes.Copier$farm.Properties["UniqueUserIdentifierClaimType"] = "Email"OU
Copier$farm.Properties["UniqueUserIdentifierClaimType"] = "UserName" -
Saisissez la commande suivante pour mettre à jour les valeurs de la batterie de serveurs.
Copier$farm.Update()
3. Configurer les valeurs de la permission de recherche
Vous devez définir plusieurs valeurs de configuration dans l'application Web SharePoint pour qu'Okta People Picker utilise la permission de recherche.
$webApplication = Get-SPWebApplication
$ webApplication.Properties["UserSearchScope"] = "OKTA"OU
$ webApplication.Properties["UserSearchScope"] = "APP"
$ webApplication.Properties["UserSearchScopeAppId"] = "{AppID}" //app instance id in Okta org
$webApplication.Update();- Lorsque l'identifiant d'application n'est pas fourni ou n'est pas valide,
UserSearchScopese rabat sur OKTA (recherche au niveau de l'org) comme permission de recherche. - People Picker ne vérifie pas si l'identifiant d'application spécifié appartient à une instance d'application WS-fédérée avec cette application Web SharePoint. La vérification doit être effectuée manuellement.
Si vous disposez de plusieurs applications Web dans la même batterie de serveurs, vérifiez la valeur de $webApplication avant de paramétrer les propriétés. Cela vous permet de vous assurer que vous définissez les valeurs de l'application Web qui convient.
Par exemple : définissez UserSearchScope et UserSearchScopeAppId pour $webApplication[1]
PS C:\Users\administrator.SP10> $w[1].properties
Name Value
------ ------
UserSearchScope OKTA
UserSearchScopeAppID 0oalx5qLAHqqLVtNv0w4
PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScope"] = "APP"
PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScopeAppID"] = "0oalx5qLAHqqLVtNv0w4"
PS C:\Users\administrator.SP10> $w[1].properties
Name Value
------ ------
UserSearchScope APP
UserSearchScopeAppID 0oalx5qLAHqqLVtNv0w4
PS C:\Users\administrator.SP10> $w[1].update()4. Facultatif : filtrer les importations Active Directory
Okta People Picker affiche les utilisateurs importés d'Active Directory deux fois : en tant qu'utilisateur Okta et qu'utilisateur du domaine AD. Vous pouvez voir et gérer uniquement les utilisateurs AD d'origine. Vous pouvez également préciser que certains domaines conservent leur comportement initial. Activer cette fonctionnalité nécessite de paramétrer certaines propriétés de l'objet $farm dans SharePoint.
Si l'importation se fait à partir d'Active Directory, vous pouvez tirer parti de l'option de filtrage Active Directory de People Picker, qui permet de filtrer les importations AD.
Pour activer cette fonctionnalité, utilisez les propriétés suivantes :
$farm = Get-SPFarm
$farm.Properties["FilterActiveDirectoryClaims"] = $true
$farm.Properties["AllowedActiveDirectoryDomains"] = "foo.com", "bar.com"
$farm.Update()
Le filtre de domaine Active Directory n'est disponible qu'avec la permission de recherche OKTA.