Configurer une connexion de charges de travail

La connexion à la charge de travail est l'ancre de confiance qui établit la relation entre Okta Privileged Access et votre fournisseur d'identité externe, comme GitHub, GitLab ou CircleCI. Cette configuration utilise un modèle de sécurité avec séparation des tâches : un administrateur DevOps configure et teste la connexion en mode brouillon, tandis qu'un administrateur de la sécurité effectue la révision finale et fait passer la connexion au statut actif afin d'activer l'émission de jetons en production.

Vous pouvez établir cette relation de confiance en utilisant soit une configuration JWT générique, soit une intégration à un fournisseur spécifique. Bien que des intégrations spécifiques offrent une expérience de configuration plus rationalisée avec des champs prédéfinis, le mécanisme de sécurité sous-jacent reste identique. Les deux méthodes utilisent un JSON Web Token (JWT) standard comme document d'identité de la charge de travail et exigent les mêmes éléments de sécurité essentiels, tels qu'une URL JWKS et des déclarations requises, pour une validation réussie.

Avant de commencer

  • Vous devez disposer du rôle d'administrateur DevOps pour créer un brouillon de connexion à la charge de travail.

  • Vous devez disposer du rôle Administrateur de la sécurité pour activer ou désactiver une connexion à la charge de travail.

  • Vous pouvez utiliser l'une des méthodes d'intégration JWT suivantes :

    • JWT générique : vous devez fournir l'URL JWKS et spécifier toutes les déclarations requises (telles que iss, aud et sub) pour vérifier le JWT et identifier la charge de travail.

    • Fournisseur spécifique : l'interface utilisateur d'Okta offre des champs préconfigurés et une prise en charge native des structures JWT spécifiques au fournisseur. En saisissant des identifiants courants, comme un ID d'organisation pour CircleCI, Okta renseigne automatiquement les déclarations requises et, parfois, l'URL JWKS.

Créer une connexion à la charge de travail avec un JWT générique

  1. Sur le tableau de bord Okta Privileged Access, accédez à Administration DevOps > Connexions des charges de travail.

  2. Cliquez sur Créer une connexion à la charge de travail.

  3. Cliquez sur Generic JWT.

  4. Renseignez les informations suivantes :

    Paramètre Action
    Nom de la connexion Saisissez un nom unique et adapté pour une URL.

    Description de la connexion

    Saisissez une description.

    Sélectionnez la durée de vie du jeton

    Saisissez un Montant et une Unité. Ils définissent la durée de validité du jeton d'accès Okta Privileged Access une fois émis.

    URL JWKS

    Saisissez une URL JWKS. Cette URL est l'endroit où Okta Privileged Access récupère la clé publique pour vérifier la signature du fournisseur sur le JWT.

    Déclarations requises

    Définissez les critères qui doivent être respectés dans le JWT de la charge de travail. Okta recommande d'inspecter votre JWT à l'aide d'un script de débogage ou de jwt.io.

    1. Saisissez le Nom du champ source.

    2. Sélectionnez le type d'opérateur :

      • Est égal à

      • Commence par

      • Existe

        Si vous sélectionnez Existe, la saisie de la Valeur n'est pas requise.

    3. Saisissez une Valeur.

    4. Facultatif. Cliquez sur Ajouter une condition et répétez l'étape précédente.

  5. Cliquez sur Créer une connexion à la charge de travail.

Créer une connexion à la charge de travail pour CircleCI

  1. Sur le tableau de bord Okta Privileged Access, accédez à Administration DevOps > Connexions des charges de travail.

  2. Cliquez sur CircleCI.

  3. Saisissez votre ID d'organisation.

  4. Facultatif. Sélectionnez Permission pour l'ID de projet, puis saisissez l'ID.

  5. Cliquez sur Suivant.

  6. Renseignez les informations suivantes :

    Paramètre Action
    Nom de la connexion Saisissez un nom unique et adapté pour une URL.

    Description de la connexion

    Saisissez une description.

    Sélectionnez la durée de vie du jeton

    Saisissez un Montant et une Unité. Ils définissent la durée de validité du jeton d'accès Okta Privileged Access une fois émis.

    URL JWKS

    Saisissez une URL JWKS. Cette URL est l'endroit où Okta Privileged Access récupère la clé publique pour vérifier la signature du fournisseur sur le JWT.

    Déclarations requises

    Définissez les critères qui doivent être respectés dans le JWT de la charge de travail. Okta recommande d'inspecter votre JWT à l'aide d'un script de débogage ou de jwt.io.

    1. Saisissez le Nom du champ source.

    2. Sélectionnez le type d'opérateur :

      • Est égal à

      • Commence par

      • Existe

        Si vous sélectionnez Existe, la saisie de la Valeur n'est pas requise.

    3. Saisissez une Valeur.

    4. Facultatif. Cliquez sur Ajouter une condition et répétez l'étape précédente.

  7. Cliquez sur Créer une connexion à la charge de travail.

Créer une connexion à la charge de travail pour GitLab

  1. Sur le tableau de bord Okta Privileged Access, accédez à Administration DevOps > Connexions des charges de travail.

  2. Cliquez sur GitLab.

  3. Saisissez le nom de votre Domaine.

  4. Facultatif. Sélectionnez Permission pour le nom du groupe, puis saisissez le nom du groupe.

  5. Facultatif. Sélectionnez Permission pour le nom du projet, puis saisissez le nom du projet.

  6. Facultatif. Sélectionnez Permission pour l'ID du projet, puis saisissez l'ID du projet.

  7. Cliquez sur Suivant.

  8. Renseignez les informations suivantes :

    Paramètre Action
    Nom de la connexion Saisissez un nom unique et adapté pour une URL.

    Description de la connexion

    Saisissez une description.

    Sélectionnez la durée de vie du jeton

    Saisissez un Montant et une Unité. Ils définissent la durée de validité du jeton d'accès Okta Privileged Access une fois émis.

    URL JWKS

    Saisissez une URL JWKS. Cette URL est l'endroit où Okta Privileged Access récupère la clé publique pour vérifier la signature du fournisseur sur le JWT.

    Déclarations requises

    Définissez les critères qui doivent être respectés dans le JWT de la charge de travail. Okta recommande d'inspecter votre JWT à l'aide d'un script de débogage ou de jwt.io.

    1. Saisissez le Nom du champ source.

    2. Sélectionnez le type d'opérateur :

      • Est égal à

      • Commence par

      • Existe

        Si vous sélectionnez Existe, la saisie de la Valeur n'est pas requise.

    3. Saisissez une Valeur.

    4. Facultatif. Cliquez sur Ajouter une condition et répétez l'étape précédente.

  9. Cliquez sur Créer une connexion à la charge de travail.

Créer une connexion à la charge de travail pour Google Cloud Provider

  1. Sur le tableau de bord Okta Privileged Access, accédez à Administration DevOps > Connexions des charges de travail.

  2. Cliquez sur Google Cloud Provider .

  3. Saisissez le nom de l'ID client de l'app.

  4. Facultatif. Sélectionnez Permission pour l'e-mail, puis saisissez le nom du groupe.

  5. Facultatif. Sélectionnez Permission pour l'ID de compte, puis saisissez l'ID du projet.

  6. Cliquez sur Suivant.

  7. Renseignez les informations suivantes :

    Paramètre Action
    Nom de la connexion Saisissez un nom unique et adapté pour une URL.

    Description de la connexion

    Saisissez une description.

    Sélectionnez la durée de vie du jeton

    Saisissez un Montant et une Unité. Ils définissent la durée de validité du jeton d'accès Okta Privileged Access une fois émis.

    URL JWKS

    Saisissez une URL JWKS. Cette URL est l'endroit où Okta Privileged Access récupère la clé publique pour vérifier la signature du fournisseur sur le JWT.

    Déclarations requises

    Définissez les critères qui doivent être respectés dans le JWT de la charge de travail. Okta recommande d'inspecter votre JWT à l'aide d'un script de débogage ou de jwt.io.

    1. Saisissez le Nom du champ source.

    2. Sélectionnez le type d'opérateur :

      • Est égal à

      • Commence par

      • Existe

        Si vous sélectionnez Existe, la saisie de la Valeur n'est pas requise.

    3. Saisissez une Valeur.

    4. Facultatif. Cliquez sur Ajouter une condition et répétez l'étape précédente.

  8. Cliquez sur Créer une connexion à la charge de travail.

Gérer une connexion à la charge de travail

Une fois que l'administrateur DevOps confirme que les tests sont terminés, l'administrateur de la sécurité promeut la connexion.

  1. Sur le tableau de bord Okta Privileged Access, accédez à Administration DevOps > Connexions des charges de travail.

  2. Sélectionnez une connexion à la charge de travail que vous souhaitez gérer.

  3. Cliquez sur Actions, puis sélectionnez Modifier, Activer ou Désactiver.

  4. Cliquez sur Activer la connexion à la charge de travail.

Rubriques connexes

Charges de travail