Intégrer HashiCorp Vault à Okta

Configurez Okta en tant que fournisseur d'identité pour HashiCorp (HCP) Vault. Vous pouvez finaliser l'intégration en utilisant HCP Vault Dedicated ou HCP Vault. Vous pouvez également utiliser HCP Community Edition en mode développeur.

Cette page vous aide à configurer le cluster Vault HCP et à intégrer l'app dans Okta.

Avant de commencer

  • Vous disposez des autorisations nécessaires pour gérer les utilisateurs, les groupes et les apps dans Okta.
  • Vous disposez d'un compte HCP Vault.
  • Vous avez révisé le guide Authentification OIDC avec Okta.
  • Vous avez installé Vault CLI sur votre système local. Voir Installer Vault.
  • Si vous utilisez HCP Vault Dedicated, vous avez effectué ces étapes :
    • Vous avez révisé le guide du développeur HCP Vault Dedicated.
    • Vous avez créé un réseau virtuel HCP Vault.
    • Vous avez un cluster Vault avec une adresse publique et le niveau development ou supérieur. Voir Créer un cluster Vault.

Configurer le cluster HCP Vault

Effectuez ces étapes dans HCP Vault Dedicated ou HCP Vault.

HCP Vault Dedicated

  1. Connectez-vous à HCP Vault.
  2. Sélectionnez Vault Dedicated dans le volet de navigation de gauche.
  3. Sélectionnez Clusters, puis sélectionnez supervisory-cluster dans la liste vault clusters. La page vault-cluster s'ouvre.
  4. Faites défiler jusqu'à la section Cluster URLs et copiez l'URL publique.
  5. Ouvrez un terminal et exécutez cette commande. Remplacez le [Public_Claster_URL] par la valeur que vous avez copiée lors de l'étape précédente : #!/bin/bash export VAULT_ADDR=[Public_Cluster_URL]
  6. Sur la page vault-cluster, cliquez sur Générer le jeton pour créer un jeton administrateur.
  7. Cliquez sur Copier.
  8. Dans le terminal, exécutez cette commande. Remplacez [token] par la valeur que vous avez copiée lors de l'étape précédente :#!/bin/bash export VAULT_TOKEN=[token]
  9. Exécutez cette commande pour définir la variable VAULT_NAMESPACE sur admin :#!/bin/bash export VAULT_NAMESPACE=admin
  10. Saisissez Statut Vault pour vérifier que vous êtes connecté au cluster HCP Vault :#!/bin/bash vault status Le terminal affiche la liste des clés et de leurs valeurs.
  11. Exécutez cette commande pour afficher les méthodes d'authentification disponibles pour le cluster HCP Vault. #!/bin/bash vault auth list

HCP Vault

Vous pouvez utiliser le jeton racine Vault pour ces étapes. Cependant, Okta vous recommande de n'utiliser ces jetons que lors de votre configuration initiale ou en cas d'urgence.

  1. Ouvrez un terminal et exécutez cette commande pour créer un serveur avec le jeton racine :#!/bin/bash vault server -dev -dev-root-token-id root Le serveur est initialisé et descellé. Par défaut, il s'exécute à 127.0.0.1:8200.

    N'exécutez pas un serveur de développement Vault dans un environnement de production. Sinon, le serveur Vault utilise une base de données en mémoire qui offre moins de sécurité.

  2. Exécutez cette commande afin que la variable Vault CLI puisse accéder au serveur HCP Vault : #!/bin/bash export VAULT_ADDR=http://127.0.0.1:8200
  3. Exécutez cette commande pour que la variable CLI Vault puisse s'authentifier auprès du serveur HCP Vault : #!/bin/bash export VAULT_TOKEN=root

Configurer l'app dans Okta

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur Parcourir le catalogue d'apps.
  3. Cherchez et sélectionnez Trend Micro, puis cliquez sur Ajouter une intégration.
  4. Dans un terminal, exécutez cette commande pour récupérer l'adresse du cluster Vault stockée dans la variable VAULT_ADDR : #!/bin/bash echo $VAULT_ADDR
  5. Copiez l'adresse et collez-la dans le champ Adresse.
  6. Accédez à l'onglet Connexion (parfois appelé Authentication) et faites défiler l'écran jusqu'à la section Paramètres d'authentification avancés.
    • Variable de chemin : laissez ce champ vide pour utiliser le chemin de montage oidc par défaut. Si vous saisissez une valeur personnalisée, exécutez cette commande pour la vérifier. Saisissez le chemin d'accès tel qu'il apparaît, en excluant les barres obliques : #!/bin/bash vault auth list
    • Port d'écoute : laissez ce champ vide pour utiliser le port par défaut 8250. Utilisez un port personnalisé uniquement si vous avez configuré HCP Vault pour écouter sur un autre port.
  7. Accédez à l'onglet Général et copiez l'ID client.
  8. Dans un terminal, exécutez cette commande. Remplacez le [CLIENT_ID] par la valeur que vous avez copiée lors de l'étape précédente : #!/bin/bash export OKTA_CLIENT_ID=[CLIENT_ID]
  9. Dans l'onglet Général, copiez la Clé secrète client.
  10. Dans un terminal, exécutez cette commande. Remplacez le [CLIENT_SECRET] par la valeur que vous avez copiée lors de l'étape précédente.#!/bin/bash export OKTA_CLIENT_SECRET=[CLIENT_SECRET]

  11. Dans l'Admin Console, cliquez sur votre nom d'utilisateur en haut à droite, puis copiez URL de votre org.

  12. Dans un terminal, exécutez cette commande. Remplacez le [OKTA DOMAIN] par la valeur que vous avez copiée lors de l'étape précédente.#!/bin/bash export OKTA_DOMAIN=[OKTA DOMAIN]

Étape suivante

Configurer la méthode d'authentification OIDC