Intégrer Okta Org2Org à Okta

Vous pouvez utiliser l'intégration Okta Org2Org pour authentifier et éventuellement approvisionner les utilisateurs d'une org source Okta vers une org cible. L'intégration est installée et configurée dans l'org source. Vous pouvez utiliser Okta Org2Org pour connecter plusieurs org à une org cible Okta. Cette intégration permet aux org sources d'envoyer les utilisateurs vers l'org cible.

Si vous choisissez d'utiliser les fonctionnalités approvisionnement de l'application Org2Org, vous pouvez utiliser OAuth 2.0 ou un jeton d'API pour sécuriser la connexion entre les org.

Un scénario courant où Org2Org est utilisé est le modèle en étoile. Dans ces scénarios, les org en étoile sont les org sources et l'org hub est l'org cible.

Tâches

• Configurer la fédération entre les org à l'aide d'OIDC (recommandé)
• Configurer la fédération entre les org à l'aide de SAML
• Utiliser OAuth 2.0 pour l'approvisionnement (avec rotation automatique des clés)
• Utiliser OAuth 2.0 pour l'approvisionnement (avec configuration manuelle des clés)
• Utiliser un jeton d'API pour l'approvisionnement
• Intégrer Okta Org2Org à Okta
• Tester vos configurations Org2Org
• Créer une application de signet pour les utilisateurs d'une org source

Configurer la fédération entre les org à l'aide d'OIDC (recommandé)

Pour configurer la fédération entre deux organisations Okta à l'aide d'OIDC, ajoutez d'abord une intégration Org2Org dans votre org source (spoke), puis configurer un fournisseur d'identité OIDC dans votre org cible (hub).

Ajouter une intégration Org2Org dans votre org source

1. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
2. Cliquez sur Parcourir le catalogue d'applications.
3. Recherchez et sélectionnez l'application Okta Org2Org.
4. Cliquez sur Ajouter une intégration.
5. Renseignez les champs de la page Paramètres généraux :
   • Libellé de l'application: ajoutez le nom de votre application source (par exemple : org spoke Okta spoke).
   • Url de base: ajoutez le nom de domaine Okta de votre org cible (hub) (par exemple : https://your-hub-domain.okta.com).
   • Visibilité de l'application: cochez cette case si vous ne souhaitez pas afficher l'application Org2Org dans le tableau de bord de l'utilisateur final de l'org source. Vous pourrez le modifier ultérieurement, si nécessaire.
   • Envoi automatique du plug-in de navigateur: cochez cette case pour activer la fonctionnalité.
6. Cliquez sur Suivant.
7. Sélectionnez l'optiond'authentification OpenID Connect, puis cliquez sur Terminé.

Configurer un IdP OIDC dans votre org cible

1. Dans l'org cible, ouvrez Admin Console et allez à SécuritéFournisseurs d'identité.
2. Cliquez sur Ajouter un fournisseur d'identité.
3. Cliquez sur IdP d'intégration Okta, puis cliquez sur Suivant.
4. Dans Paramètres généraux, saisissez un nom pour l'IdP.
5. Dans le champ URL de l'Org de l'IdP Okta, saisissez l'URL de base de l'org source (spoke). Par exemple, https://your_spoke_domain.okta.com.
6. Dans la section Détails du client, saisissez l'ID client de l'application Org2Org. Vous pouvez trouver l'ID client dans la liste des applications de l'organisation source.
7. Dans la section Paramètres d'authentification, utilisez les paramètres par défaut. Pour plus d'informations sur ces configurations, consultez Ajouter un Fournisseur d'identité d'intégration Okta.
8. Cliquez sur Terminer.
9. Dans le résumé de votre IdP d'intégration Okta, copiez les valeurs ID de l'IdP, URL d'autorisationet URI de redirection et conservez-les en lieu sûr.

Terminer la configuration OIDC Org2Org dans votre org source

1. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
2. Sélectionnez l'application Okta Org2Org.
3. Dans l'onglet Authentification, cliquez sur Modifier pour la section Paramètres pour l'authentification.
4. Dans Paramètres d'authentification avancés, collez l'ID de l'IdP que vous avez copié précédemment dans le champ ID de l'IdP de l'organisation cible.
5. Cliquez sur Enregistrer.
6. Facultatif. Activez l'approvisionnement de l'org source vers l'org cible à l'aide de OAuth 2.0 (de préférence) ou d'un jeton d'API.

Configurer la fédération entre les org à l'aide de SAML

Pour configurer la fédération entre deux org Okta à l'aide de SAML, ajoutez d'abord une intégration Org2Org dans votre org source (spoke), puis configurer un fournisseur d'identité SAML dans votre org cible (hub).

Ajouter une intégration Org2Org dans votre org source

1. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
2. Cliquez sur Parcourir le catalogue d'applications.
3. Dans le champ de recherche, saisissez Org2Org et sélectionnez Okta Org2Org.
4. Cliquez sur Ajouter une intégration.
5. Renseignez les champs de l'onglet Paramètres généraux :
   • Libellé d'application: le nom de votre org source (par exemple : org spoke Okta spoke).
   • URL de base: l'URL du domaine pour l'org cible (hub) (par exemple : https://your-hub-org.okta.com).
   • Visibilité de l'application: cochez cette case si vousne souhaitez pas afficher l'application Org2Org dans le tableau de bord de l'utilisateur final de l'org source. Vous pourrez modifier ultérieurement, si nécessaire.
   • Envoi automatique du plug-in de navigateur: laissez ce paramètre vide.
6. Cliquez sur Suivant.
7. Sélectionnez l'option d'authentification SAML 2.0.
8. Cliquez sur Terminé.
9. Ouvrez l'application Org2Org et accédez à l'onglet Authentification .
10. Cliquez sur Voir les instructions de configuration SAML. Utilisez les instructions spécifiques à l'org pour créer un IdP SAML dans l'org cible et utiliser l'application Org2Org.

Configurer un IdP SAML dans votre org cible

1. Dans l'org cible, ouvrez Admin Console et allez à SécuritéFournisseurs d'identité.
2. Cliquez sur Ajouter un fournisseur d'identité.
3. Sélectionnez SAML 2.0 IdP et cliquez sur Suivant.
4. Dans Paramètres généraux, ajoutez un nom pour l'IdP.
5. Dans Compte correspondant au nom d'utilisateur de l'IdP, sélectionnez idpuser.subjectNameId pour référencer l'entité dans l'assertion SAML qui contient le nom d'utilisateur.
6. Dans Paramètres de protocole SAML, mettez à jour les champs URI de l'émetteur de l'IdP, URL d'authentification unique de l'IdP et Certificat de signature de l'IdP avec les valeurs que vous avez copiées plus tôt.

Terminer la configuration SAML Org2Org dans votre org source

1. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
2. Sélectionnez votre application Org2Org.
3. Dans l'onglet Authentification, cliquez sur Modifier pour la section Paramètres pour 'authentification.
4. Dans Paramètres d'authentification avancés, mettez à jour les champs ACS URL du hub et URI d'audience avec les valeurs que vous avez copiées depuis les valeurs de l'org cible.
5. Cliquez sur Enregistrer.
6. Facultatif. Activez l'approvisionnement de l'org source vers l'org cible à l'aide d'OAuth 2.0 (de préférence) ou d'un jeton d'API .

Activer l'approvisionnement de la source à la cible

Si vous avez besoin de l'approvisionnement, mais pas de synchronisation en temps réel des utilisateurs, des attributs du profil utilisateur et des groupes, créez manuellement les utilisateurs de l'org source dans l'org cible :

1. Dans l'org source, exportez une liste des utilisateurs actifs. Dans la Admin Console, accédez à Rapports et cliquez sur Intégrité des mots de passe Okta. Le rapport est généré et envoyé à votre adresse e-mail. Vous pouvez également télécharger le rapport. Ouvrez le fichier CSV et filtrez la colonne Statut pour afficher les utilisateurs actifs.
2. Dans l'org cible, importez les utilisateurs depuis le fichier CSV. Affectez-les aux groupes pour leurs organisations sources et à tous les groupes pour les applications auxquelles ils ont besoin d'accéder.
3. Reliez manuellement les utilisateurs récemment créés à l'IdP configuré pour l'org source.

Si vous avez besoin de l'approvisionnement et de la synchronisation en temps réel des utilisateurs, choisissez l'une des méthodes suivantes :

• Utiliser OAuth 2.0 pour l'approvisionnement (avec rotation automatique des clés)
• Utiliser OAuth 2.0 pour l'approvisionnement (avec configuration manuelle des clés)
• Utiliser un jeton d'API pour l'approvisionnement

La méthode OAuth utilise un jeton d'API pour activer l'approvisionnement OAuth 2.0 pour l'application, suite à quoi le jeton ne sera pas utilisé. L'approche OAuth 2.0 est plus sécurisée et fournit une plus grande précision des autorisations que l'utilisation de la méthode des jetons d'API pour approvisionnement.

Utiliser OAuth 2.0 pour l'approvisionnement (avec rotation automatique des clés)

Cette méthode garantit la rotation automatique des clés et élimine le besoin de gérer manuellement les clés.

1. Dans l'org source, ouvrez l'Admin Console, accédez à Application Applications.
   1. Ouvrez l'application Org2Org.
   2. Accédez à l'onglet Approvisionnement, puis sélectionnez Intégration dans le menu Paramètres.
   3. Cliquez sur Configurer l'intégration d'API.
   4. Cochez la case Activer l'intégration d'API et cliquez sur Enregistrer.
   5. Définissez le Schéma d'authentification sur Rotation automatique OAUTH (recommandé).
   6. Cliquez sur le bouton Copier à côté de l'URL de la clé publique du client.
2. Dans l'org cible, ouvrez l'Admin Console, accédez à Applications Applications.
   1. Cliquez sur Créer une intégration d'application.
   2. Sélectionnez Services d'API, puis cliquez sur Suivant.
   3. Saisissez un nom d'intégration d'application et cliquez sur Enregistrer.
   4. Dans l'onglet Général, allez à la section Informations d'identification client et sélectionnez Modifier.
   5. Réglez Authentification client, à Clé publique/Clé privée.
   6. Réglez la Configuration à Utiliser une URL pour récupérer les clés de façon dynamique.
   7. Collez l'URL de la clé publique du client de l'étape 1 dans le champ URL, puis cliquez sur Enregistrer.
   8. Accédez à l'onglet Rôles d'administrateur et cliquez sur Modifier les affectations.
   9. Dans le menu déroulant Rôle, sélectionnez un rôle administrateur ayant l'autorisation de gérer les utilisateurs (et les groupes, si nécessaire) et assignez-le à l'application Org2Org. Voir Configurer les administrateurs et Sécuriser les connexions API entre Org avec OAuth 2.0 pour plus d'informations.
   10. Cliquez sur Enregistrer les modifications.
   11. Dans l'onglet Permissions de l'API Okta, autorisez les permissions okta.users.manage et okta.groups.manage. La permission okta.users.manage permet à l'application de créer et de gérer des profils utilisateur et des informations d'identification, tandis que la permission okta.groups.manage permet à l'application de gérer les groupes de votre org.
   12. Dans l'onglet Général, accédez à la section Paramètres généraux et cliquez sur Modifier.
   13. Cochez Exiger l'en-tête Demonstrating Proof of Possession (DPoP) dans les requêtes de jeton, puis cliquez sur Enregistrer.
   14. Dans l'onglet Général, allez à la section Informations d'identification client et copiez l'ID client.
3. Dans l'org source, collez l'ID client dans le champ ID client de l'Org cible, puis cliquez sur Enregistrer.
4. Facultatif. Cliquez sur Tester les identifiants de l'API pour vous assurer que l'org cible est vérifiée avec succès.
5. Dans l'org source, configurez les paramètres approvisionnement de l'application Org2Org.
   1. Dans l'Admin Console, accédez àApplicationsApplications.
   2. Ouvrez l'application Org2Org.
   3. Dans l'onglet Approvisionnement, accédez à la section Mappages d'attributs Okta Org2Org et trouvez l'attribut initialStatus. Cliquez sur Modifier.
   4. Choisissez les paramètres de votre choix et cliquez sur Enregistrer.
6. Facultatif. Testez votre approvisionnement Org2Org.
   1. Dans la section Approvisionnement dans l'application, cliquez sur Modifier.
   2. Sélectionnez Créer des utilisateurs, Mettre à jour des utilisateurs, et Désactiver les utilisateurs, puis cliquez sur Enregistrer.
   3. Affectez l'application à un groupe. Dans l'onglet Affectations, cliquez sur AffecterAffecter à des groupes, sélectionnez un groupe et cliquez sur Enregistrer et revenir en arrière. Cliquez sur Terminé. Filtrez vos affectations par personnes pour afficher la liste des utilisateurs qui appartiennent au groupe que vous avez configuré.
   4. Accédez à l'Admin Console de l'org cible. Accédez à DirectoryPersonnes et confirmez que les utilisateurs affectés à l'application Org2Org dans l'org source ont été approvisionnés.

Utiliser OAuth 2.0 pour l'approvisionnement (avec configuration manuelle des clés)

Pour activer l'approvisionnement OAuth 2.0 entre les org, vous devez utiliser une combinaison des API Okta et de la Admin Console.

1. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
   1. Ouvrez l'application Org2Org.
   2. Copiez l'ID de l'application depuis l'URL. Par exemple, dans l'URL <sourceorg> / administrateur/ app/okta_org2org/ instance/0oa78guhz4KHZt1d7/#tab-import, l'ID est 0oa78guhzH4KHZt1d7.
2. Répertoriez les informations d'identification de la clé pour l'application Org2Orgen transmettant l'ID de l'application de l'étape précédente.
3. Ajouter une intégration de services d'API dans l'org cible. Utilisez les informations d'identification de la clé de l'étape précédente comme clés d'entrée dans l'objet jwks.
4. Dans l'org cible, ouvrez l'Admin Console, accédez à Applications Applications. Ouvrez l'application de service OAuth 2.0.
5. Dans l'onglet Rôles d'administrateur, cliquez sur Modifier les affectations.
6. Cliquez sur + Ajouter une affectation, puis sélectionnez Administrateur de groupe dans la liste déroulante Rôle.
7. Cliquez sur Enregistrer les modifications.
8. Donnez votre consentement pour les permissions d'API qui permettent à l'application de service de créer des utilisateurs et de gérer les profils et les informations d'identification des utilisateurs.
   1. Dans l'org cible, ouvrez l'Admin Console, accédez à Applications Applications. Ouvrez l'application de service OAuth 2.0.
   2. Dans l'onglet Permissions de l'API Okta, autorisez les permissions okta.users.manage et okta.groups.manage.
9. Facultatif. Activez l'approvisionnement pour automatiser la création, la désactivation et les mises à jour des comptes utilisateurs.
   1. Dans l'org cible, ouvrez l'Admin Console, accédez à Applications Applications. Ouvrez l'application de service OAuth 2.0 et copiez l'ID client depuis l'onglet Général.
   2. Dans l'org source, utilisez l'API Okta pour activer l'approvisionnement basé sur OAuth 2.0.
   3. Dans l'org source, configurez les paramètres d'approvisionnement de l'application Org2Org.
      1. Dans l'Admin Console, accédez àApplicationsApplications.
      2. Ouvrez l'application Org2Org.
      3. Dans l'onglet Approvisionnement, accédez à la section Mappages d'attributs Okta Org2Org et trouvez l'attribut initialStatus. Cliquez sur Modifier.
      4. Choisissez les paramètres de votre choix et cliquez sur Enregistrer.
   4. Facultatif. Testez votre approvisionnement Org2Org.
      1. Dans la section Approvisionnement dans l'application, cliquez sur Modifier.
      2. Sélectionnez Créer des utilisateurs, Mettre à jour des utilisateurs, et Désactiver les utilisateurs, puis cliquez sur Enregistrer.
      3. Affectez l'application à un groupe. Dans l'onglet Affectations, cliquez sur AffecterAffecter à des groupes, sélectionnez un groupe et cliquez sur Enregistrer et revenir en arrière. Cliquez sur Terminé. Filtrez vos affectations par personnes pour afficher la liste des utilisateurs qui appartiennent au groupe que vous avez configuré.
      4. Accédez à l'Admin Console de l'org cible. Accédez à DirectoryPersonnes et confirmez que les utilisateurs affectés à l'application Org2Org dans l'org source ont été approvisionnés.

Utiliser un jeton d'API pour l'approvisionnement

1. Créez le jeton d'API sur l'org Okta cible :

   1. Dans l'Admin Console, accédez à SécuritéAPI.

   2. Cliquez sur l'onglet Jetons puis sur Créer un jeton.
   3. Saisissez un nom descriptif pour le jeton et cliquez sur Créer un jeton.
   4. Copiez la valeur du jeton dans votre Presse-papiers ou dans un éditeur de texte.
   5. Cliquez sur OK, j'ai compris.
2. Dans l'org source, ouvrez l'Admin Console, accédez à ApplicationApplications.
3. Dans la liste des applications, sélectionnez Okta Org2Org.
4. Sélectionnez Approvisionnement, cliquez sur Configurer l'intégration d'API, puis sélectionnez Activer l'intégration d'API.
5. Dans le menu Schéma d'authentification, sélectionnez JETON.
6. Renseignez les champs suivants :
   • Jeton de sécurité : collez le jeton de sécurité que vous aviez copié précédemment.
   • Privilégier le nom d'utilisateur plutôt que l'adresse e-mail. : facultatif. Sélectionnez cette option si vous ne souhaitez pas utiliser une adresse e-mail en tant que nom d'utilisateur.
   • Importer des groupes : facultatif. Décochez la case si vous ne souhaitez pas importer les groupes de l'org connectée.
7. Facultatif. Cliquez sur Tester les identifiants de l'API pour tester l'intégration d'API.
8. Cliquez sur Enregistrer.

9. Facultatif. Remplacez les paramètres d'approvisionnement de l'org cible par ceux de l'org source Okta :

   1. Cliquez sur l'onglet Approvisionnement et sélectionnez Dans l'application dans Paramètres.
   2. Cliquez sur Modifier.
   3. Cochez les cases Créer des utilisateurs, Mettre à jour les attributs utilisateur, Désactiver les utilisateurs ou Synchroniser un mot de passe.
   4. Cliquez sur Enregistrer.
10. Facultatif. Remplacez les paramètres d'approvisionnement de l'org source par ceux de l'org cible Okta :
    1. Cliquez sur l'onglet Approvisionnement et sélectionnez Dans l'application dans Paramètres.
    2. Dans les zones Général, Création et correspondance d'utilisateurs, Sourcing de profil et de cycle de vie ou Protection d'importation, cliquez sur Modifier pour changer les paramètres.

       Lorsque vous sélectionnez Autoriser Okta Org2Org à sourcer les utilisateurs Okta dans la zone Sourcing de profil et de cycle de vie, l'org source constitue la source de données du profil utilisateur. Lorsque vous importez des utilisateurs Okta dans votre org cible, les mises à jour apportées aux propriétés de l'utilisateur dans l'org source sont appliquées aux autres applications auxquelles l'utilisateur est affecté.

    3. Cliquez sur Enregistrer.
    4. Sélectionnez une option pour le Statut initial (initialStatus). Cet attribut détermine le statut de l'utilisateur dans l'org connectée lorsqu'il est créé, associé ou réactivé. Lorsque les options active_with_pass ou pending_with pass sont sélectionnées, un mot de passe temporaire est généré pour l'utilisateur. Lorsque l'application Okta Password Sync est activée, le mot de passe temporaire de l'utilisateur est écrasé lorsque l'utilisateur se connecte. Lorsque l'option active_with_pass est sélectionnée et qu'Okta Password Sync n'est pas activée, l'utilisateur est créé avec un mot de passe temporaire. La configuration la plus courante pour le statut initial Valeur de l'attribut est Même valeur pour tous les utilisateurs et active_with_pass. Cliquez sur Modifier. Sélectionnez les paramètres de votre choix, puis cliquez sur Enregistrer.
11. Facultatif. Transférez de nouveaux groupes Okta à l'org connectée. Consultez la section Gérer les transferts de groupes.

Tester vos configurations Org2Org

Après avoir configuré la fédération et l'approvisionnement entre les org, testez vos configurations.

Affecter un utilisateur de votre org source à l'app Org2Org

1. Dans Admin Console, accédez à ApplicationsApplications.

2. Sélectionnez votre app Org2Org.
3. Accédez à l'onglet Affectations, puis cliquez sur AffecterAffecter à des personnes.
4. Sélectionnez un utilisateur et cliquez sur Affecter.
5. Cliquez sur Enregistrer et revenir en arrière, puis sur Terminé.
6. Accédez à votre org cible et accédez à DirectoryPersonnes. Recherchez l'utilisateur auquel vous avez affecté l'app et vérifiez s'il est approvisionné dans l'org cible.

Transférer un groupe de votre org source à l'app Org2Org

1. Dans Admin Console, accédez à ApplicationsApplications.

2. Sélectionnez votre app Org2Org.
3. Accédez à l'onglet Envoyer des groupes.
4. Cliquez sur Envoyer des groupesTrouver des groupes en fonction de leur nom.
5. Sélectionnez le groupe que vous souhaitez transférer vers l'org cible.
6. Cliquez sur Enregistrer. Votre groupe est approvisionné vers l'org cible.
7. Accédez à votre org hub, et sélectionnez DirectoryGroupes. Si les utilisateurs de votre groupe ont été approvisionnés précédemment, ils apparaissent dans le groupe.

Créer une application de signet pour les utilisateurs de l'org source

Vous pouvez créer une application de signet pour que les utilisateurs de votre org source se connectent à une ressource de l'org cible. Vous pouvez également masquer l'icône de l'app Org2Org pour les utilisateurs de votre org cible.

1. Dans l'org cible, accédez à ApplicationsApplications.
2. Sélectionnez l'application à laquelle vous souhaitez que les utilisateurs de l'org source puissent accéder.
3. Affectez l'application à un ou plusieurs utilisateurs de votre org source.
4. Dans l'onglet Général, copiez la valeur du champ Intégrer le lien de la section Lien d'intégration de l'application.
5. Dans l'org source, cliquez sur Créer une intégration pour l'application BookmarkApp.
6. Créez l'URL de Bookmark App en concaténant ces valeurs :
   • L'URL d'authentification unique de l'IdP (par exemple : https://sourceorg.okta.com/ app/okta_org2org/app_ext_id/sso/saml)
   • ?RelayState=
   • La valeur Intégrer le lien pour l'application (par exemple : https://targetorg.okta/home/app_name/instance_id/app_id)
     Par exemple, si vous concaténez les valeurs précédentes, l'URL du favori est https://sourceorg.okta.com/ app/okta_org2org/app_ext_id/sso/saml?RelayState=https://targetorg.okta/home/app_name/org_id/app_id
7. Affectez l'application de signet à l'utilisateur dans l'org source.
8. Accédez à votre org source et connectez-vous avec les identifiants de l'utilisateur affecté.