与Okta集成

概述

OKTA提供了一种灵活而简单的身份提供商解决方案,可轻松与帧平台集成。遵循以下步骤,您只需要在平台之间找到,复制和粘贴某些值即可。这个过程应少于15分钟。参考OKTA文档有关如何配置Okta的更多信息。

注意力

请注意,虽然Okta确实具有预先构建的Nutanix帧应用程序,但此应用程序尚未支持组属性。为了使用组属性,您必须如下所述手动配置应用程序。

框架准备

  1. 从管理视图中,导航到您希望设置OKTA集成的所需实体。

  2. 单击实体名称旁边列出的省略号,然后选择“用户”。

../../../_images/oktar_1a.png
  1. 导航到“身份验证”选项卡。启用“ SAML2”切换,然后在右上角单击“保存”。

../../../_images/oktar_1b.png
  1. “身份验证”选项卡旁边将出现更多选项,单击“ SAML2提供商”选项卡。

  2. 单击“添加SAML2提供商”。打开此浏览器选项卡。

../../../_images/oktar_1c.png

配置Okta

  1. 在单独的选项卡中,将其登录到您的Okta帐户,并打开仪表板。选择“添加应用程序”。

../../../_images/oktam_1.png
  1. 单击右上角的“创建新应用程序”。

../../../_images/oktam_2.png
  1. 在“ Web”平台选项下选择“ SAML 2.0”。

../../../_images/oktam_3.png
  1. 提供应用程序名称和应用程序图标。您可以使用下面的图标或自己的图标。点击下一步。”

../../../_images/oktam_4.png ../../../_images/frame_logo.png
  1. 您将被带到“ SAML设置”页面。

../../../_images/oktam_5.png
  1. 确定SAML2集成名称。您选择的SAML2集成名称将显示在试图登录帧平台的任何人使用的SSO登录按钮上。确定名称后,填写以下格式的单个登录URL:

https://img.frame.nutanix.com/saml2/done/ [saml2_integration_name ]/

警告

URL末尾的正向斜线才能使集成正常工作。

  1. 接下来,我们将在“观众URI”字段中输入一个符合DNS的字符串。对于此示例,我们将使用Okta-Frame测试。这个客户定义字符串将在稍后的“应用程序ID”上以“应用程序ID”的形式输入。您必须使用我们自己独特的受众URI进行整合。还将以下URL输入“默认接力局”字段:https://frame.nutanix.com

../../../_images/oktam_6.png
  1. 使用下拉菜单匹配下面显示的设置。在右下角选择“显示高级设置”。

../../../_images/oktam_7.png
  1. 更改对“未签名”的“响应”。留下其余的默认值。向下滚动。

../../../_images/oktam_8.png
  1. 添加三个“属性语句”。它们必须完全如下所示,包括资本化。可选,如果需要,可以添加“组属性语句”。我们将讨论如何在以后的步骤中使用框架的组属性。

../../../_images/oktam_9.png
  1. 单击“下一步”,然后根据需要填写反馈页面。

../../../_images/okta_feedback.png
  1. 点击“完成”。

  1. 您将自动进入“登录”页面,我们将获得最终信息。向下滚动到底部的“方法上的签名”下的底部框,然后单击蓝色“身份提供者元数据”链接上的右键单击。复制链接URL,然后将其保存在以后的步骤中引用的地方。

../../../_images/oktam_9b.png

设置的OKTA侧现已完成。接下来,我们将配置集成的框架侧。

框架设置

  1. 导航返回您的帧选项卡并输入以下数据:

    ../../../_images/okta_10.png
  • 应用ID:应用程序ID可以在联邦交互中标识合作伙伴,并且可以设置为任何符合DNS的字符串。在此示例中,我们使用了Okta-Frame测试您必须使用自己的独特应用ID进行自己的集成。

  • Auth Provider Metadata:检查“ URL”选项并粘贴身份提供者元数据URL(参考步骤18如上所述,上面)进入“ auth提供者元数据”字段。

  • 集成名称:在此处输入您唯一的SAML2集成名称。该名称应只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写。我们将使用SAML2集成名称您的名字对于此示例。请不要使用此名称进行您自己的集成。

  • 自定义标签:指定时,此值将在登录页面中使用为符号<定制标签>

  • 身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。

  • 签名的回应:将此切换禁用。如果您想使用签名的SAML2响应,请联系框架支持或您的客户经理以获取更多说明。

  • 签名断言:启用此切换。

  1. 单击“添加”。

您已经成功地与框架平台创建了OKTA集成!转到下一节以获取配置信息。

配置SAML2权限

一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。

../../../_images/saml2permissions.png

OKTA中配置组属性

您可以根据您在OKTA中配置的用户组分配来允许使用帧平台的任何用户组。我们建议遵循Okta支持团队提供的指导在此链接中关于带有自定义SAML应用程序的组属性语句。

可以在OKTA中定义组属性和相关的OKTA组集合组以插入SAML2响应中。在此示例中,输入小组对于组名称属性并定义组名称包含过滤器。

../../../_images/upokta.png

这是Okta中组列表的示例:

../../../_images/upokta2.png

假设传递给框架的OKTA组之一是“ okta contractors”,则框架管理员将指定SAML2许可,其中任何用户的SAML2响应包含一个值OKTA收缩者在里面小组SAML2属性将被授予框架帐户承包商帐户的帐户管理员职务。

../../../_images/upokta3.png

将OKTA用作SAML2身份验证集成

您的新SAML2 Auth集成将以按钮出现在您的框架登录页面上。导航到您的框架登录页面的URL将根据配置SAML2集成的哪个级别而有所不同。

客户级别:

https://frame.nutanix.com/ [customer_url ]/

组织级别:

https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/

帐户级别:

https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url ]/
../../../_images/finalokta.png