Okta

Die Konfiguration von Okta mit Specops Authentication für MFA für Windows wird das Authentifizierungssystem von Okta auf uReset-Benutzer erweitern. Diese Anweisungen gehen davon aus, dass Sie bereits über ein Okta-Konto mit Super-Administrator-Rechten verfügen.

Die Konfiguration muss von demselben Computer/Server aus durchgeführt werden, von dem aus das Active Directory verwaltet wird.

Hinweis

Kundenkonten in Okta wird eine eindeutige Subdomain in der Okta-Domain zugewiesen. In diesem Dokument wird die Subdomain, die für jeden Kunden unterschiedlich ist, als [okta_domain] bezeichnet. Anstelle von beispielsweise https://specops.okta.com wird sie als https://[okta_domain].okta.com bezeichnet. Beachten Sie, dass die URL für Administratoren folgendermaßen aussieht: https://[okta_domain]-admin.okta.com.

Aktivierung von Okta

Melden Sie sich als Administrator bei Okta an.
Gehen Sie zu Security > Multifactor und rufen Sie die Registerkarte Faktorarten auf.
Setzen Sie Okta auf Aktiv über das Dropdown-Menü.
Optional können Sie Push-Benachrichtigungen aktivieren.

Abrufen des Okta-API-Tokens

Damit Specops Authentication Benutzer über Okta verifizieren kann, muss es über deren REST-API auf Okta zugreifen, indem ein Kunden-Token verwendet wird. Dieses Token hat dieselben Berechtigungen wie der Benutzer, der es erstellt hat.

Erstellen eines API-Token-Kontos

Da das API-Token dieselben Berechtigungen wie das Konto hat, das es erstellt hat, wird empfohlen, ein separates Konto zu erstellen (das wir hier als Token-Konto bezeichnen), um das Token zu erstellen. Dieses Konto muss zuerst Gruppenadministratorrechte erhalten, um das Token erstellen zu können. Nachdem das Token erstellt wurde, werden die Rechte des Token-Kontos auf Help Desk Administrator herabgesetzt, um dem Token die minimal erforderlichen Berechtigungsstufen für Specops Authentication zu geben.

Gehen Sie zu Directory > People und klicken Sie auf Add Person.
Füllen Sie die Informationen im Pop-up-Fenster aus. Beachten Sie, dass es empfohlen wird, das Passwort auf Vom Administrator festgelegt zu setzen und ein (temporäres) Passwort bereitzustellen.
Speichern Sie den neuen Benutzer und setzen Sie dann die Berechtigungsstufe des neuen Kontos, indem Sie zu Security > Administrators gehen.
Klicken Sie auf Add Administrator.
Geben Sie im Feld Grant administrator role to den Vornamen des gerade erstellten Kontos ein und klicken Sie darauf, wenn es als Vorschlag unter dem Feld erscheint.
Aktivieren Sie im Abschnitt Administratorrollen die Option Group Administrator und lassen Sie die Group Admin Permissions auf dem Standardwert Can administer all users.

Hinweis

Das Token-Konto benötigt mindestens Gruppenadministratorrechte, um API-Tokens erstellen zu können.
Klicken Sie auf Add Administrator.
Melden Sie sich von Okta ab und dann mit den neuen Kontodaten, die Sie gerade erstellt haben, auf derselben Subdomain (https://[okta_domain]-admin.okta.com) an, bevor Sie mit dem nächsten Teil fortfahren.

Erstellen des API-Tokens

Stellen Sie sicher, dass Sie als Servicekonto-Administrator angemeldet sind.
Gehen Sie zu Security > API und dann zur Registerkarte Tokens.
Klicken Sie auf die Schaltfläche Create Token und geben Sie einen geeigneten Namen für das Token ein.
Klicken Sie unten auf die Schaltfläche Create Token.
Das Fenster zeigt an, dass das Token erfolgreich erstellt wurde, und zeigt den Token-Wert an. Kopieren Sie den Token-Wert und speichern Sie ihn an einem sicheren Ort.

Warnung

Sobald dieses Fenster geschlossen wurde, gibt es keine Möglichkeit mehr, den tatsächlichen Token-Wert erneut abzurufen. Wenn der Token-Wert nicht gespeichert wurde, muss ein neues Token erstellt werden, da dieser Wert in das Specops Authentication Web kopiert werden muss.
Klicken Sie auf die Schaltfläche OK, got it, um das Fenster zu schließen.

Einschränkung der Berechtigungen des Token-Kontos

Nachdem das Token erstellt wurde, können Sie die Rechte des Token-Kontos einschränken, um ihm die minimal erforderlichen Berechtigungsstufen für Specops Authentication zuzuweisen.

Melden Sie sich von Okta ab, wenn Sie noch als Token-Konto angemeldet sind.
Melden Sie sich als Super-Administrator an.
Gehen Sie zu Security > Administrators.
Klicken Sie in der Spalte Actions für das Token-Konto auf Edit.
Setzen Sie die Administratorrolle auf Help Desk Administrator und lassen Sie die Standardeinstellungen für Group Admin Permissions und Help Desk Admin Permissions.
Klicken Sie auf Update Administrator.

Konfiguration der Verzeichnisintegration in Okta

Um Ihr Active Directory mit Okta zu verknüpfen, muss eine Verzeichnisintegration eingerichtet werden, indem ein Active Directory-Agent verwendet wird.

Gehen Sie zu Directory > Directory Integrations.
Klicken Sie auf das Dropdown-Menü Add Directory und wählen Sie Add Active Directory.
Lesen Sie die Informationen auf der nächsten Seite und klicken Sie dann auf Set Up Active Directory.
Klicken Sie auf die Schaltfläche Download Agent, um das Installationsprogramm für den Active Directory-Agent herunterzuladen.
Installieren Sie den Active Directory-Agent auf Ihrer Domäne, indem Sie das Installationsprogramm ausführen. Während der Installation werden Sie in mehreren Schritten aufgefordert, einige Informationen bereitzustellen:
1. Installationsordner: Wählen Sie einen geeigneten Ordner auf Ihrem System.
2. Wählen Sie AD-Domäne: Wählen Sie die AD-Domäne, die mit Specops Authentication verknüpft ist.
3. Okta AD-Agent Windows Service Account: Wählen Sie Erstellen oder verwenden Sie das OktaService-Konto, hier können Sie ein neues Servicekonto für den Agenten mit dem Benutzernamen OktaService@[your_domain] erstellen. Geben Sie ihm ein starkes Passwort.
4. Okta AD-Agent Proxy-Konfiguration: Geben Sie je nach Ihrer Konfiguration Informationen zum Proxy-Server an.
5. Registrieren Sie den Okta AD-Agent; wählen Sie Produktion und füllen Sie Ihre Subdomain aus (d. h. Ihre [okta_domain]).
6. Nach dem Registrierungsschritt öffnet das Installationsprogramm ein Browserfenster, in dem Sie sich als Administrator anmelden müssen. Sobald Sie angemeldet sind, erscheint ein Pop-up-Fenster im Browser. Klicken Sie auf Allow Access.
Sobald der Zugriff erlaubt ist, informiert ein Pop-up darüber, dass der Active Directory-Agent gestartet wurde. Klicken Sie auf Next.
Auf der nächsten Seite können Sie die entsprechenden Organisationseinheiten auswählen. Wählen Sie die richtigen für Ihre Konfiguration.
Am unteren Rand derselben Seite sollte das Format für den Okta-Benutzernamen auf Benutzerprinzipalname (UPN) gesetzt werden. Wenn hier ein anderer Wert (E-Mail oder SAM-Kontoname) ausgewählt ist, muss der UPN einem separaten Okta-Benutzerprofilattribut zugeordnet werden. Für weitere Informationen zur Zuordnung lesen Sie bitte den Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattribut. Klicken Sie auf Next.
Auf der letzten Seite können Sie konfigurieren, welche Attribute von AD zu Okta zugeordnet werden. Sofern Sie keine spezifischen Anforderungen für bestimmte Attribute haben, behalten Sie die Standardeinstellungen bei.

Zuordnung von UPN zu Okta-Benutzerprofilattributen

Falls Administratoren das Okta-Login für reguläre Benutzer auf etwas anderes als den universellen Prinzipalnamen (UPN) gesetzt haben, muss der UPN einem Profilattribut zugeordnet werden. Sie können entweder ein vorhandenes Attribut dem UPN zuordnen oder ein neues erstellen. Die folgenden Schritte beschreiben den Prozess zum Erstellen eines neuen Attributs.

Gehen Sie zu Directory > Profile Editor und klicken Sie auf die Schaltfläche Profile neben dem Okta (Benutzer)-Profil. Ihnen wird eine Liste aller in Okta vorhandenen Attribute angezeigt.
Klicken Sie auf Add Attribute.
Füllen Sie das Formular im Pop-up-Fenster aus und achten Sie darauf, den Anzeigenamen zu notieren, den Sie eingeben.
Klicken Sie auf Save, um das neue Attribut zu speichern.
Gehen Sie zu Directory > Directory Integrations und klicken Sie auf Ihr Active Directory (das mit Okta verknüpft ist).
Gehen Sie zur Registerkarte Settings und klicken Sie unten auf der Seite auf Edit Mappings.
Wählen Sie in der linken Spalte für das gerade erstellte Attribut (normalerweise am Ende der Liste) userName aus dem Dropdown-Menü aus.
Klicken Sie unten auf die Schaltfläche Save Mappings.
Klicken Sie auf Apply updates now, um diese Zuordnungen auf alle Benutzer mit diesem Profil anzuwenden.

Aktivierung von Okta-Textnachrichten

Um das Senden von Codes über Textnachrichten zu aktivieren, gehen Sie wie folgt vor:

Gehen Sie im Okta-Verwaltungsportal zu Multifactor.
Aktivieren Sie Enable SMS Authentication.
Gehen Sie in Specops Authentication Web zu Identity Services und rufen Sie die Okta-Einstellungen auf.
Setzen Sie Enable SMS support for Okta auf Yes.
Klicken Sie auf Save.

Konfiguration vertrauenswürdiger Proxy-IPs für Okta-Push-Benachrichtigungen

Push-Benachrichtigungen, die an die Okta-Mobile-App gesendet werden, zeigen den Standort an. Die in der Push-Benachrichtigung angezeigte IP-Adresse stammt vom Mobiltelefon. Damit die IP von Okta gesendet wird, müssen Administratoren die IPs von Specops im Okta-Portal als vertrauenswürdig festlegen.

Die vertrauenswürdigen Proxy-IPs (siehe Tabelle unten) können Ihrer Konfiguration hinzugefügt werden, indem Sie auf das Okta-Portal zugreifen und zu Security > Networks gehen (klicken Sie auf das Dropdown-Menü Add Zone und wählen Sie IP Zone).

Specops Proxy-IPs

Rechenzentrum	IP-Adresse
Nordamerika-Rechenzentrum	52.180.65.88/29 (Azure US West) 40.71.57.208/29 (Azure US East)
EU-Rechenzentrum	13.79.75.152/29 (Azure North Europe) 74.234.213.168/29 (Azure West Europe)

Hinweis

Diese Liste von IP-Adressen kann sich ändern. Änderungen werden im Voraus an die aufgeführten Kontakte gesendet.

Konfiguration von Okta in Specops Authentication

Melden Sie sich bei Specops Authentication Web an.
Gehen Sie im linken Navigationsbereich zu Identity Services und wählen Sie Okta.
Geben Sie im Feld Okta-Domain die Domain Ihrer Organisation [okta_domain].okta.com ein.
Geben Sie im Feld API-Schlüssel den Wert des von Ihnen erstellten API-Tokens ein.
Wenn Sie UPN einem anderen Attribut in Okta zugeordnet haben (siehe Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattributen), geben Sie das Attribut ein, das Sie in Okta zugeordnet haben. Andernfalls können Sie den Standardwert UPN belassen.
Setzen Sie Auto-enroll users in Specops Authentication auf Yes, wenn Sie möchten, dass Ihre Benutzer automatisch für Okta registriert werden. Beachten Sie, dass Benutzer ihr Okta eingerichtet haben müssen, um diesen Identitätsdienst nutzen zu können.

Warnung

Wenn Auto-enroll auf Ja gesetzt ist für Benutzer, die Okta noch nicht eingerichtet haben, kann dies dazu führen, dass Benutzer ihre Identität nicht verifizieren können.
Testen Sie die Verbindung, indem Sie auf die Schaltfläche Test connection klicken, und speichern Sie die Konfiguration, wenn der Test erfolgreich ist.

Aktivierung der Okta-MFA-Auswahl

Standardmäßig sendet der Identitätsdienst beim Auswählen von Okta zur Authentifizierung eine Push-Benachrichtigung an den Benutzer. Der Benutzer kann eine andere Benachrichtigungsmethode auswählen, indem er im Authentifizierungsfenster auf den Link "Use another method" klickt. Okta kann so konfiguriert werden, dass diese Benachrichtigungsoptionen immer von Anfang an angezeigt werden, sodass der Benutzer nicht auf den Link klicken muss.

Gehen Sie in Specops Authentication Web zu Identity Services > Okta und rufen Sie die Einstellungen für den Identitätsdienst auf.
Setzen Sie Enable Okta MFA selection auf Yes.
Hinweis

Die Optionen für diese Einstellung bestimmen Folgendes:
- Yes: zeigt alle MFA-Optionen an; der Benutzer muss eine auswählen, um mit der Authentifizierung fortzufahren. Die Methoden sind: Textnachricht, Push-Anfrage, Code eingeben.
- No: Standardverhalten; Push-Benachrichtigung mit optionalem Link zu anderen Benachrichtigungsmethoden.

Senden von Push-Benachrichtigungen an mehrere Geräte

Hinweis

Die Aktivierung von Push-Benachrichtigungen für mehrere Geräte kann nicht in Specops Authentication Web konfiguriert werden. Administratoren müssen Okta kontaktieren, um ein Feature-Flag für ihr Konto zu setzen. Beziehen Sie sich auf Case 01789673, wenn Sie dies tun.

Okta kann so eingerichtet werden, dass Push-Benachrichtigungen an jedes Gerät gesendet werden, das der Benutzer registriert hat. Bei der Autorisierung mit Okta kann der Benutzer auswählen, auf welchem seiner Geräte er die Push-Benachrichtigung erhalten möchte, indem er aus einer Dropdown-Liste auswählt. Um das Senden an mehrere Geräte zu ermöglichen, muss ein Feature-Flag von Okta gesetzt werden. Administratoren müssen Okta kontaktieren und die Einrichtung des Feature-Flags anfordern. Bitte beziehen Sie sich auf Case 01789673, wenn Sie diese Anfrage stellen.