Configurer Okta comme fournisseur d'identité pour Workspace ONE Access

Cette rubrique explique comment configurer Okta en tant que fournisseur d'identité (IdP) pour Workspace™ ONE™. Vous pouvez utiliser cette configuration pour simplifier l'enrôlement des appareils, fournir l'authentification multifacteur (MFA) extensible aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Vous effectuez cette procédure dans Workspace ONE Access, le composant d'identité de Workspace ONE.

Créer un IdP dans Workspace ONE Access

Créez un IdP tiers dans la console Workspace ONE Access et recherchez les métadonnées SAML.

  1. Connectez-vous à la console Workspace ONE Access en tant qu'administrateur système.

  2. Cliquez sur l'onglet Gestion des identités et des accès, puis sur Fournisseurs d'identité.

  3. Cliquez sur Ajouter un fournisseur d'identité, puis sélectionnez Créer un IDP tiers .

  4. Faites défiler vers le bas de la page jusqu'à la section Certificats de signature SAML.

  5. Faites un clic droit sur le lien Métadonnées du fournisseur de services (SP) et ouvrez-le dans un nouvel onglet.

  6. Dans le fichier de métadonnées SAML, repérez les valeurs pour les éléments suivants :

    • entityID : un nom unique au niveau mondial, généralement sous la forme d'une URL, qui identifie votre IdP. Par exemple, https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml.

    • Emplacement de AssertionConsumerServicepour la liaison HTTP-POST. Par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response.

    Vous aurez besoin de ces valeurs pour la tâche suivante.

Créer une application SAML dans Okta

  1. Dans l'Admin Console, accédez à Applications > Applications.

  2. Cliquez sur Créer une intégration d'application.

  3. Sélectionnez SAML 2.0.

  4. Cliquez sur Suivant.

  5. Dans Paramètres généraux, saisissez un nom d'application, par exemple, Workspace ONE SAML.

  6. Cliquez sur Suivant.

  7. Dans Paramètres SAML, configurez les éléments suivants :

    • URL d'authentification unique : copiez et collez l'URL HTTP-POSTEmplacement de AssertionConsumerService Location de la tâche précédente. Par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response.

    • URI de public (ID d'entité du SP) : copiez et collez le entityID de la tâche précédente. Par exemple, https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml.

    • Format d'ID de nom : sélectionnez Non spécifié.

    • Nom d'utilisateur de l'application : sélectionnez Nom d'utilisateur Okta. Cela correspond au Nom principal de l'utilisateur (UPN) dans Workspace ONE.

  8. Cliquez sur Suivant.

  9. Sélectionnez Je suis un client Okta qui ajoute une application interne.

  10. Sélectionnez Application interne que nous avons créée.

  11. Cliquez sur Terminer.

  12. Dans la section Paramètres de l'onglet Authentification, copiez l'URL pour Métadonnées du fournisseur d'identité.

Complétez le nouveau IdP dans Workspace ONE Access

  1. Dans la page du nouveau fournisseur d'identité, saisissez les informations suivantes :

    • Nom du fournisseur d'identité : saisissez un nom pour le nouveau fournisseur d'identité, comme Okta SAML IdP.

    • identityProvider.idpForm.saml : sélectionnez HTTP HTTP Post. Ce champ apparaît après que vous avez saisi l'URL des métadonnées dans la section Métadonnées SAML et cliqué sur Process IdP Metadata (Traiter les métadonnées du fournisseur d'identité).

    • Métadonnées SAML :

      1. Dans la zone de texte Métadonnées du fournisseur d'identité, saisissez l'URL des métadonnées copiée depuis Okta. Par exemple, https://yourOktaTenant/app/appId/sso/saml/metadata.

      2. Cliquez sur Traiter les métadonnées du fournisseur d'identité.

      3. Dans la section Mappage du format de l'ID du nom à partir de la réponse SAML, cliquez sur l'icône +, puis sélectionnez les valeurs suivantes :

        Format d'ID du nom : urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

        Valeur d'ID du nom : userPrincipalName

        Sélectionnez l'Attribut utilisateur qui correspond à la valeur de l'app définie dans Okta.

    • Utilisateurs : sélectionnez les répertoires que vous souhaitez authentifier à l'aide de ce fournisseur d'identité.

    • Réseau : sélectionnez les réseaux qui peuvent accéder à ce fournisseur d'identité.

    • Méthodes d'authentification :

      1. Méthodes d'authentification : saisissez un nom pour la méthode d'authentification Okta, comme Okta Auth Method.

      2. Contexte SAML : urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  2. Cliquez sur Ajouter.

Ajoutez la Oktaméthode d'authentification aux politiques d'accès dans Workspace ONE Access

Après avoir configuré Okta en tant que IdP pour Workspace ONE Access, ajoutez la méthode d'authentification nouvellement créée pour les politiques d'accès dans Workspace ONE Access. Mettez à jour la politique d'accès par défaut et les autres politiques le cas échéant.

Ajoutez la méthode d'authentificationOkta à la politique d'accès par défaut afin que Oktasoit utilisé comme fournisseur de connexion pour le catalogue Workspace ONE. La politique d'accès par défaut régit les actions connexion au catalogue et à toutes les applications configurées dans Workspace ONE Access qui n'ont pas déjà une autre définition de politique.

  1. Dans la console Workspace ONE Access, cliquez sur l'onglet Gestion des identités et des accès, puis sur Politiques.

  2. Cliquez sur Edit Default Access Policy (Modifier la stratégie d'accès par défaut).

  3. Dans l'assistant Modifier la stratégie, cliquez sur Configuration.

  4. Cliquez sur la règle de politique pour les navigateurs Web.

    • Définissez l'authentification de Okta comme méthode d'authentification.

      Si la plage de réseau de l'utilisateur est TOUTES LES PLAGES, que l'utilisateur accède au contenu à partir du navigateur Web et que l'utilisateur appartient au groupe Vide (tous les utilisateurs) effectuez cette action : Authentifier à l'aide de . . . . L'utilisateur peut s'authentifier en utilisant : Okta Auth Method (Méthode d'authentification Okta).

      Pour la Méthode d'authentification Okta, sélectionnez la méthode d'authentification que vous avez créée pour IdP dans Compléter le nouveau Fournisseur d'identitédans Workspace ONE Access .

    • Cliquez Enregistrer.

  5. Modifiez les autres politiques si nécessaire pour ajouter la méthode d'authentification Okta.

Affectez l'application aux utilisateurs finaux dans Okta

Une fois la configuration terminée, retournez sur l'organisation Okta et assignez l'application Workspace ONE nouvellement créée aux utilisateurs finaux. Assignez l'application à quelques utilisateurs finaux dans un premier temps, puis testez l'intégration. Pour plus de détails, consultez Affecter les intégrations d'application.