Configurer Okta comme fournisseur d'identité pour Workspace ONE Access

Cette fonctionnalité est disponible en accès anticipé. Pour l'activer, dans Okta Admin Console, accédez à ParamètresFonctionnalités, puis activez Workspace1 Device Trust pour votre ou vos plateformes mobiles.

Cette section décrit comment configurer Okta en tant que fournisseur d'identité pour Workspace™ ONE™. Vous pouvez utiliser cette configuration pour simplifier l'inscription des appareils, fournir l'authentification multifacteur extensible d'Okta aux applications de Workspace ONE et offrir une expérience de connexion cohérente et familière aux utilisateurs finaux et aux administrateurs.

Vous effectuez cette procédure dans Workspace ONE Access, le composant d'identité de Workspace ONE.

Commencer à créer un fournisseur d'identité dans Workspace ONE Access

Créez un fournisseur d'identité tiers dans la console Workspace ONE Access et trouvez les informations de métadonnées SAML.

  1. Connectez-vous à la console Workspace ONE Access en tant qu'administrateur système.
  2. Cliquez sur l'onglet Gestion des identités et des accès, puis sur Fournisseurs d'identité.
  3. Cliquez sur Ajouter un fournisseur d'identité, puis sélectionnez Create Third Party IDP (Créer un fournisseur d'identité tiers).

  4. Faites défiler vers le bas de la page jusqu’à la section Certificats de signature SAML.
  5. Faites un clic droit sur le lien Métadonnées du fournisseur de services (SP) et ouvrez-le dans un nouvel onglet.
  6. Dans le fichier de métadonnées SAML, repérez les valeurs pour les éléments suivants :
    • entityID : par exemple, https://tenant.vmwareidentity.com/SAAS/API/1.0/GET/metadata/sp.xml
    • AssertionConsumerService Location pour la liaison HTTP-POST : par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response

    Vous utiliserez ces valeurs dans la procédure Créer une application SAML dans Okta.

Créer une application SAML dans Okta

Si vous utilisez le tableau de bord du développeur Okta, passez d'abord à l'interface utilisateur classique. Si vous voyez une invite <> Développeur en haut à gauche, cliquez dessus et sélectionnez Interface utilisateur classique pour passer à l'interface utilisateur classique. Utilisez l'interface utilisateur classique pour toutes les tâches Okta présentées dans ce document.

  1. Dans l’Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur Créer une intégration d'application.
  3. Sélectionnez SAML 2.0.
  4. Cliquez sur Suivant.
  5. Dans Paramètres généraux, saisissez un nom d'application (par exemple, Workspace ONE SAML).
  6. Cliquez sur Suivant.
  7. Dans Paramètres SAML, configurez les éléments suivants :
    OptionDescription
    URL d'authentification uniqueCopiez et collez l'URL d'emplacement HTTP-POST AssertionConsumerService Location que vous avez saisie dans Commencer à créer un fournisseur d'identité dans Workspace ONE Access. Par exemple, https://tenant.vmwareidentity.com/SAAS/auth/saml/response.
    Format d'ID de nomSélectionnez Non spécifié.
    Nom d'utilisateur de l'application

    Sélectionnez Nom d'utilisateur Okta. Cela correspond au Nom d'utilisateur principal (User Principal Name, UPN) dans Workspace ONE.

  8. Cliquez sur Suivant.
  9. Sélectionnez Je suis un client Okta qui ajoute une application interne.
  10. Sélectionnez Application interne que nous avons créée.
  11. Cliquez sur Terminer.
  12. Dans la section Paramètres de l'onglet Authentification, repérez et copiez l'URL pour Métadonnées du fournisseur d'identité.

Terminer la création d'un Fournisseur d'identité dans Workspace ONE Access

  1. Dans la page du nouveau fournisseur d'identité, saisissez les informations suivantes :

    • Nom du fournisseur d'identité : saisissez un nom pour le nouveau fournisseur d'identité, comme IdP Okta SAML.

    • identityProvider.idpForm.saml : sélectionnez HTTP Post. Ce champ apparaît après que vous avez saisi l'URL des métadonnées dans la section Métadonnées SAML et cliqué sur Traiter les métadonnées du IdP.

    • Métadonnées SAML :

      1. Dans la zone de texte Métadonnées du fournisseur d'identité, saisissez l'URL des métadonnées copiée depuis Okta. Par exemple, https://yourOktaTenant/app/appId/sso/saml/metadata.

      2. Cliquez sur Process IdP Metadata (Traiter les métadonnées du fournisseur d'identité).

      3. Dans la section Mappage du format de l'ID du nom à partir de la réponse SAML, cliquez sur l'icône +, puis sélectionnez les valeurs suivantes :

        Format d'ID de nom : urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

        Valeur d'ID de nom : userPrincipalName

        Sélectionnez l'Attribut utilisateur qui correspond à la valeur de l'application définie dans Okta.

    • Utilisateurs : sélectionnez les répertoires que vous souhaitez authentifier à l'aide de ce fournisseur d'identité.

    • Réseau : sélectionnez les réseaux qui peuvent accéder à ce fournisseur d'identité.

    • Méthodes d'authentification :

      1. Méthodes d'authentification : saisissez un nom pour la méthode d'authentification Okta, comme Méthode d'authentification Okta.

      2. Contexte SAML :urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.

  2. Cliquez sur Ajouter.

Ajouter la méthode d'authentification Okta aux politiques d'accès dans Workspace ONE Access

Après avoir configuré Okta comme fournisseur d'identité pour Workspace ONE Access, ajoutez la méthode d'authentification nouvellement créée aux politiques d'accès dans Workspace ONE Access. Mettez à jour la stratégie d'accès par défaut et les autres stratégies le cas échéant.

Vous devez ajouter la méthode d'authentification Okta à la stratégie d'accès par défaut afin qu'Okta soit utilisé comme fournisseur de connexion pour le catalogue Workspace ONE. La politique d'accès par défaut régit la connexion au catalogue et à toutes les apps configurées dans Workspace ONE Access qui n'ont pas déjà une autre définition de politique.

  1. Dans la console Workspace ONE Access, cliquez sur l'onglet Gestion des identités et des accès, puis sur Politiques.
  2. Cliquez sur Modifier la politique d’accès par défaut.
  3. Dans l'assistant Modifier la stratégie, cliquez sur Configuration.
  4. Cliquez sur la règle de stratégie pour les navigateurs Web.
    • Définissez l'authentification Okta comme méthode d'authentification.

      Si la plage de réseau de l'utilisateur est ALL RANGES (TOUTES LES PLAGES), que l'utilisateur accède au contenu à partir du navigateur Web et que l'utilisateur appartient au groupe Empty (all users) (Vider [tous les utilisateurs]) effectuez cette action : Authenticate using… (S'authentifier à l'aide de…). L’utilisateur final peut s’authentifier en utilisant : Méthode d’authentification Okta.

      Pour Méthode d'authentification Okta, sélectionnez la méthode d'authentification que vous avez créée pour l'IdP dans Terminer la création d'un fournisseur d'identité dans Workspace ONE Access

    • Cliquez sur Enregistrer.
  5. Modifiez les autres stratégies si nécessaire pour ajouter la méthode d'authentification Okta.

Assignez l'application aux utilisateurs finaux dans Okta

Une fois la configuration terminée, retournez sur l'organisation Okta et assignez l'application Workspace ONE nouvellement créée aux utilisateurs finaux. Assignez l'application à quelques utilisateurs finaux dans un premier temps, puis testez l'intégration. Pour plus de détails, consultez Affecter les intégrations d'application.