与Okta集成¶
概述¶
OKTA提供了一种灵活而简单的身份提供商解决方案,可轻松与帧平台集成。遵循以下步骤,您只需要在平台之间找到,复制和粘贴某些值即可。这个过程应少于15分钟。参考OKTA文档有关如何配置Okta的更多信息。
注意力
请注意,虽然Okta确实具有预先构建的Nutanix帧应用程序,但此应用程序尚未支持组属性。为了使用组属性,您必须如下所述手动配置应用程序。
框架准备¶
从管理视图中,导航到您希望设置OKTA集成的所需实体。
单击实体名称旁边列出的省略号,然后选择“用户”。
导航到“身份验证”选项卡。启用“ SAML2”切换,然后在右上角单击“保存”。
“身份验证”选项卡旁边将出现更多选项,单击“ SAML2提供商”选项卡。
单击“添加SAML2提供商”。打开此浏览器选项卡。
配置Okta¶
在单独的选项卡中,将其登录到您的Okta帐户,并打开仪表板。选择“添加应用程序”。
单击右上角的“创建新应用程序”。
在“ Web”平台选项下选择“ SAML 2.0”。
提供应用程序名称和应用程序图标。您可以使用下面的图标或自己的图标。点击下一步。”
您将被带到“ SAML设置”页面。
确定SAML2集成名称。您选择的SAML2集成名称将显示在试图登录帧平台的任何人使用的SSO登录按钮上。确定名称后,填写以下格式的单个登录URL:
https://img.frame.nutanix.com/saml2/done/ [saml2_integration_name ]/警告
URL末尾的正向斜线才能使集成正常工作。
接下来,我们将在“观众URI”字段中输入一个符合DNS的字符串。对于此示例,我们将使用
Okta-Frame测试
。这个客户定义字符串将在稍后的“应用程序ID”上以“应用程序ID”的形式输入。您必须使用我们自己独特的受众URI进行整合。还将以下URL输入“默认接力局”字段:https://frame.nutanix.com
使用下拉菜单匹配下面显示的设置。在右下角选择“显示高级设置”。
更改对“未签名”的“响应”。留下其余的默认值。向下滚动。
添加三个“属性语句”。它们必须完全如下所示,包括资本化。可选,如果需要,可以添加“组属性语句”。我们将讨论如何在以后的步骤中使用框架的组属性。
单击“下一步”,然后根据需要填写反馈页面。
点击“完成”。
您将自动进入“登录”页面,我们将获得最终信息。向下滚动到底部的“方法上的签名”下的底部框,然后单击蓝色“身份提供者元数据”链接上的右键单击。复制链接URL,然后将其保存在以后的步骤中引用的地方。
设置的OKTA侧现已完成。接下来,我们将配置集成的框架侧。
框架设置¶
应用ID:应用程序ID可以在联邦交互中标识合作伙伴,并且可以设置为任何符合DNS的字符串。在此示例中,我们使用了
Okta-Frame测试
。您必须使用自己的独特应用ID进行自己的集成。Auth Provider Metadata:检查“ URL”选项并粘贴身份提供者元数据URL(参考步骤18如上所述,上面)进入“ auth提供者元数据”字段。
集成名称:在此处输入您唯一的SAML2集成名称。该名称应只有字母,数字和破折号符号;不允许空间或标点符号。也是区分大小写。我们将使用SAML2集成名称
您的名字
对于此示例。请不要使用此名称进行您自己的集成。自定义标签:指定时,此值将在登录页面中使用为
符号在和<定制标签>
。身份验证令牌到期:为身份验证令牌设置所需的到期时间。这可以从5分钟到7天不等。
签名的回应:将此切换禁用。如果您想使用签名的SAML2响应,请联系框架支持或您的客户经理以获取更多说明。
签名断言:启用此切换。
单击“添加”。
您已经成功地与框架平台创建了OKTA集成!转到下一节以获取配置信息。
配置SAML2权限¶
一旦成功地在帧上配置了IDP后,管理员将需要从SAML2提供商选项卡右侧的“ SAML2权限”选项卡中配置帐户的授权规则。要了解有关框架用户角色以及如何配置SAML2权限的更多信息,请转到“角色“ 和 ”为SAML2用户指定权限“分别在“管理用户权限”下的部分。
OKTA中配置组属性¶
您可以根据您在OKTA中配置的用户组分配来允许使用帧平台的任何用户组。我们建议遵循Okta支持团队提供的指导在此链接中关于带有自定义SAML应用程序的组属性语句。
可以在OKTA中定义组属性和相关的OKTA组集合组以插入SAML2响应中。在此示例中,输入小组
对于组名称属性并定义组名称包含过滤器。
这是Okta中组列表的示例:
假设传递给框架的OKTA组之一是“ okta contractors”,则框架管理员将指定SAML2许可,其中任何用户的SAML2响应包含一个值OKTA收缩者
在里面小组
SAML2属性将被授予框架帐户承包商帐户的帐户管理员职务。
将OKTA用作SAML2身份验证集成¶
您的新SAML2 Auth集成将以按钮出现在您的框架登录页面上。导航到您的框架登录页面的URL将根据配置SAML2集成的哪个级别而有所不同。
客户级别:
https://frame.nutanix.com/ [customer_url ]/组织级别:
https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/帐户级别:
https://frame.nutanix.com/ [customer_url ]/ [organization_url ]/ [account_url ]/