Intégrer à une entreprise qui utilise Okta

Si l'entreprise que vous avez acquise utilise Okta, vous pouvez configurer un environnement de réseau en étoile et synchroniser les utilisateurs et les groupes avec l'application Okta Org2Org. Cette approche permet aux employés de l'entreprise acquise d'accéder immédiatement aux ressources de l'org parente. Pour s'authentifier, les utilisateurs n'ont pas besoin de modifier leur nom d'utilisateur, de réinitialiser leur mot de passe ou de s'inscrire à l'authentification multifacteur. Le modèle en étoile donne aux entreprises la flexibilité de maintenir la séparation des systèmes d'entreprise aussi longtemps que nécessaire.

Topologie

Le modèle en étoile se compose des composants suivants :

Hub

Le hub est une org Okta unique qui agit en tant que fournisseur de services indépendants (SP) pour les spokes. Le hub fournit des services de directory utilisateur, d'authentification et d'autorisation aux spokes de manière centralisée. Le hub agit également comme un fournisseur d'identité (IdP) et s'intègre aux applications en aval pour fournir une authentification unique (SSO) et un approvisionnement sécurisés. Si votre entreprise a fait l'acquisition d'une autre org et que vous souhaitez accorder aux employés de cette dernière accès à vos applications, votre org Okta est hub. Le hub est également appelé org cible.

Spokes

Un modèle en étoile peut inclure un ou plusieurs spokes. Un spoke fonctionne comme un IdP autonome. Il fournit des services de directory utilisateur, d'authentification et d'autorisation aux utilisateurs au sein du spoke de manière décentralisée. Les spokes peuvent être des orgs Okta qui utilisent leur propre instance d'Okta Universal Directory et qui stockent les profils des utilisateur et des informations sur les groupes. Ces informations peuvent être créées directement dans Okta ou provenant de référentiels tels qu'Active Directory, LDAP ou d'autres fournisseurs d'identité (p. ex., des applications RH). L'org Okta de l'entreprise acquise est qualifiée de spoke ou org source.

Application Okta Org2Org

L'app Org2Org intègre l'org Okta d'une entreprise acquise (spoke) avec l'org Okta de l'entreprise parente (hub). Les utilisateurs et groupes du spoke sont approvisionnés dans le hub. La synchronisation du profil se produit en temps réel et prend en charge les opérations push et de récupération. Tous les attributs peuvent être synchronisés et vous pouvez choisir les attributs du profil utilisateur depuis le hub ou les orgs spoke, ce qui permet un approvisionnement fiable des utilisateurs spoke dans les applications configurées dans le hub. Les employés de l'entreprise acquise peuvent ainsi accéder aux ressources de l'entreprise parente.

L'illustration suivante est un exemple d'environnement de réseau en étoile Okta. L'entreprise parente est le hub. L'entreprise acquise est le spoke.

Intégrez votre org Okta à une autre org Okta.

Workflow

Dans cet exemple, vous donnez aux employés de l'entreprise acquise un accès à votre app Google Workspace, qui est configurée dans votre org Okta (org centrale). Pour la procédure étape par étape, accédez à Intégrer Okta Org2Org avec Okta.

Il s'agit du workflow de haut niveau :

  1. Dans l'org spoke, ajoutez et configurez l'application Okta Org2Org pour autoriser et authentifier les utilisateurs dans le hub.

  2. Dans l'org du hub, créez un IdP SAML pour permettre la fédération du spoke vers le hub.

  3. Dans l'org hub, créez un groupe pour chaque org spoke.

  4. Dans l'org hub, configurez Google Workspace afin de le partager avec les utilisateurs de l'org spoke. Affectez l'application aux groupes qui contiennent des utilisateurs de l'org spoke.

  5. Facultatif. Configurez l'approvisionnement dans le spoke uniquement si vous avez besoin d'approvisionner des utilisateurs depuis des applications partagées en aval dans le hub.

    • Si vous n'avez pas besoin de l'approvisionnement, désactivez la liaison des compte lorsque vous configurez votre IdP dans le hub.

    • Si vous avez besoin d'approvisionnement, mais pas de synchronisation en temps réel des utilisateurs, des attributs du profil utilisateur et des groupes, créez manuellement les utilisateurs de l'org spoke dans l'org hub.

    • Si vous avez besoin de l'approvisionnement et de la synchronisation en temps réel des utilisateurs, activez l'approvisionnement dans l'app Okta Org2Org .

Bonnes pratiques

Si possible, désactivez la liaison des compte lorsque vous configurez l'IdP SAML dans l'org hub. Si vous avez besoin d'associer des comptes, prenez en considérations ces Bonnes pratiques en matière de sécurité.

Rubriques connexes

Architecture Okta pour les fusions et acquisitions