Configurer Okta comme fournisseur d'identité pour Workspace ONE Access

Cette rubrique décrit comment configurer Okta en tant que fournisseur d'identité (IdP) pour Workspace™ ONE™. Vous pouvez utiliser cette configuration pour simplifier l'inscription des appareils, fournir l'authentification multifacteur (MFA) extensible aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs et aux administrateurs.

Vous effectuez cette procédure dans Workspace ONE Access, le composant d'identité de Workspace ONE.

Créer un IdP dans Workspace ONE Access

Créez un IdP tiers dans la console Workspace ONE Access et trouvez les métadonnées SAML.

  1. Connectez-vous à la console Workspace ONE Access en tant qu'administrateur système.

  2. Cliquez sur l'onglet Gestion des accès et des identités, puis sur Fournisseurs d'identité.

  3. Cliquez sur Ajouter un fournisseur d'identité, puis sélectionnez Créer un IdP tiers.

  4. Faites défiler vers le bas de la page jusqu'à la section Certificats de signature SAML.

  5. Faites un clic droit sur le lien Métadonnées du fournisseur de services (SP) et ouvrez-le dans un nouvel onglet.

  6. Dans le fichier de métadonnées SAML, repérez les valeurs pour les éléments suivants :

    • entityID : un nom unique au niveau mondial, généralement sous le formulaire d'une URL, qui identifie votre IdP. Par exemple, https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml.

    • AssertionConsumerService Location pour la liaison HTTP-POST. Par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response.

    Vous aurez besoin de ces valeurs pour la tâche suivante.

Créer une application SAML dans Okta

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur Créer une intégration d'application.

  3. Sélectionnez SAML 2.0.

  4. Cliquez sur Suivant.

  5. Dans Paramètres généraux, saisissez un nom d'application, par exemple Workspace ONE SAML.

  6. Cliquez sur Suivant.

  7. Dans Paramètres SAML, configurez les éléments suivants :

    • URL d'authentification unique: copiez et collez l'URL HTTP-POSTAssertionConsumerService Location de la tâche précédente. Par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response.

    • URI de public (ID d'entité du SP): copiez et collez le entityID de la tâche précédente. Par exemple, https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml.

    • Format d'ID de nom : sélectionnez Non spécifié.

    • Nom d'utilisateur de l'application : sélectionnez Nom d'utilisateur Okta. Cela correspond au Nom principal de l'utilisateur (UPN) dans Workspace ONE.

  8. Cliquez sur Suivant.

  9. Sélectionnez Je suis un client Okta qui ajoute une application interne.

  10. Sélectionnez Application interne que nous avons créée.

  11. Cliquez sur Terminer.

  12. Dans la section Paramètres de l'onglet Authentification, copiez l'URL pour Métadonnées du fournisseur d'identité.

Complétez le nouvel IdP dans Workspace ONE Access

  1. Dans la page du nouveau fournisseur d'identité, saisissez les informations suivantes :

    • Nom du fournisseur d’identité : saisissez un nom pour le nouveau fournisseur d’identité, comme IdP Okta SAML.

    • identityProvider.idpForm.saml : sélectionnez HTTP Post. Ce champ apparaît après que vous avez saisi l’URL des métadonnées dans la section Métadonnées SAML et cliqué sur Traiter les métadonnées du fournisseur d’identité.

    • Métadonnées SAML :

      1. Dans la zone de texte Métadonnées du fournisseur d’identité, saisissez l’URL des métadonnées copiée depuis Okta. Par exemple, https://yourOktaTenant/app/appId/sso/saml/metadata.

      2. Cliquez sur Process IdP Metadata (Traiter les métadonnées du fournisseur d'identité).

      3. Dans la section Mappage du format de l’ID du nom à partir de la réponse SAML, cliquez sur l’icône +, puis sélectionnez les valeurs suivantes :

        Format d’ID de nom : urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

        Valeur d’ID de nom : userPrincipalName

        Sélectionnez l’Attribut utilisateur qui correspond à la valeur de l’application définie dans Okta.

    • Utilisateurs : sélectionnez les répertoires que vous souhaitez authentifier à l’aide de ce fournisseur d’identité.

    • Réseau : sélectionnez les réseaux qui peuvent accéder à ce fournisseur d’identité.

    • Méthodes d’authentification :

      1. Méthodes d’authentification : saisissez un nom pour la méthode d’authentification Okta, comme Méthode d’authentification Okta.

      2. Contexte SAML : urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.

  2. Cliquez sur Ajouter.

Ajouter la méthode d'authentification Okta aux politiques d'accès dans Workspace ONE Access

Après avoir configuré Okta comme IdP pour Workspace ONE Access, ajoutez la méthode d'authentification nouvellement créée aux politiques d'accès dans Workspace ONE Access. Mettez à jour la politique d'accès par défaut et les autres politiques le cas échéant.

Ajoutez la méthode d'authentification Okta à la politique d'accès par défaut afin qu'Okta soit utilisé comme fournisseur de connexion pour le catalogue Workspace ONE. La politique d'accès par défaut régit les actions connexion au catalogue et à toutes les applications configurées dans Workspace ONE Access qui n'ont pas déjà une autre définition de politique.

  1. Dans la console Workspace ONE Access, cliquez sur l'onglet Gestion des accès et des identités, puis sur Politiques.

  2. Cliquez sur Modifier la politique d'accès par défaut.

  3. Dans l'assistant Modifier la politique, cliquez sur Configuration.

  4. Cliquez sur la règle de politique pour les navigateurs Web.

    • Définissez l'authentification Okta comme méthode d'authentification.

      Si la plage de réseau de l'utilisateur est ALL RANGES, que l'utilisateur accède au contenu à partir du navigateur Web et que l'utilisateur appartient au groupe Empty (all users) effectuez cette action : Authenticate using . . .. L'utilisateur final peut s'authentifier en utilisant : Méthode d'authentification Okta.

      Pour Méthode d'authentification Okta, sélectionnez la méthode d'authentification que vous avez créée pour l'IdP dans Compléter le nouvel IdP dans Workspace ONE Access.

    • Cliquez sur Enregistrer.

  5. Modifiez les autres politiques si nécessaire pour ajouter la méthode d'authentification Okta.

Assignez l'application aux utilisateurs finaux dans Okta

Une fois la configuration terminée, retournez sur l'organisation Okta et assignez l'application Workspace ONE nouvellement créée aux utilisateurs finaux. Assignez l'application à quelques utilisateurs finaux dans un premier temps, puis testez l'intégration. Pour plus de détails, consultez Affecter les intégrations d'application.