Okta

Die Konfiguration von Okta mit Specops Authentication für Secure Service Desk erweitert das Authentifizierungssystem von Okta auf uReset-Benutzer. Diese Anweisungen gehen davon aus, dass Sie bereits über ein Okta-Konto mit Super-Administrator-Rechten verfügen.

Die Konfiguration muss vom selben Computer/Server aus durchgeführt werden, von dem aus das Active Directory verwaltet wird.

Hinweis

Kundenkonten in Okta wird eine eindeutige Subdomain in der Okta-Domain zugewiesen. In diesem Dokument wird die Subdomain, die für jeden Kunden unterschiedlich ist, als [okta_domain] bezeichnet. Anstelle von beispielsweise https://specops.okta.com wird sie als https://[okta_domain].okta.com bezeichnet. Beachten Sie, dass die URL für Administratoren folgendermaßen aussieht: https://[okta_domain]-admin.okta.com.

Aktivierung von Okta

Melden Sie sich als Administrator bei Okta an.
Gehen Sie zu Sicherheit > Multifaktor und rufen Sie die Registerkarte Faktorarten auf.
Setzen Sie Okta auf Aktiv über das Dropdown-Menü.
Optional können Sie Push-Benachrichtigungen aktivieren.

Abrufen des Okta-API-Tokens

Damit Specops Authentication Benutzer über Okta verifizieren kann, muss es über deren REST-API auf Okta zugreifen, indem ein Kundentoken verwendet wird. Dieses Token hat dieselben Berechtigungen wie der Benutzer, der es erstellt hat.

Erstellen eines API-Token-Kontos

Da das API-Token dieselben Berechtigungen wie das Konto hat, das es erstellt hat, wird empfohlen, ein separates Konto zu erstellen (das wir hier das Token-Konto nennen), um das Token zu erstellen. Dieses Konto muss zunächst Gruppenadministratorrechte erhalten, um das Token erstellen zu können. Nachdem das Token erstellt wurde, werden die Berechtigungen des Token-Kontos auf Help Desk Administrator herabgesetzt, um dem Token die minimal erforderlichen Berechtigungsstufen für Specops Authentication zu geben.

Gehen Sie zu Verzeichnis > Personen und klicken Sie auf Person hinzufügen.
Füllen Sie die Informationen im Pop-up-Fenster aus. Beachten Sie, dass empfohlen wird, das Passwort auf Vom Administrator festgelegt zu setzen und ein (vorübergehendes) Passwort bereitzustellen.
Speichern Sie den neuen Benutzer und legen Sie dann die Berechtigungsstufe des neuen Kontos fest, indem Sie zu Sicherheit > Administratoren gehen.
Klicken Sie auf Administrator hinzufügen.
Geben Sie im Feld Administratorrolle zuweisen an den Vornamen des gerade erstellten Kontos ein und klicken Sie darauf, wenn es als Vorschlag unter dem Feld angezeigt wird.
Aktivieren Sie im Abschnitt Administratorrollen die Option Gruppenadministrator und lassen Sie die Gruppenadministratorberechtigungen auf dem Standardwert Kann alle Benutzer verwalten.

Hinweis

das Token-Konto benötigt mindestens Gruppenadministratorrechte, um API-Tokens erstellen zu können.
Klicken Sie auf Administrator hinzufügen.
Melden Sie sich von Okta ab und dann mit den neuen Kontodaten, die Sie gerade erstellt haben, auf derselben Subdomain (https://[okta_domain]-admin.okta.com) an, bevor Sie mit dem nächsten Teil fortfahren.

Erstellen des API-Tokens

Stellen Sie sicher, dass Sie als Dienstkontoadministrator angemeldet sind.
Gehen Sie zu Sicherheit > API und dann zur Registerkarte Tokens.
Klicken Sie auf die Schaltfläche Token erstellen und geben Sie einen geeigneten Namen für das Token ein.
Klicken Sie unten auf die Schaltfläche Token erstellen.
Das Fenster zeigt an, dass das Token erfolgreich erstellt wurde, und zeigt den Token-Wert an. Kopieren Sie den Token-Wert und speichern Sie ihn an einem sicheren Ort.

Warnung

sobald dieses Fenster geschlossen wurde, gibt es keine Möglichkeit mehr, den tatsächlichen Token-Wert erneut abzurufen. Wenn der Token-Wert nicht gespeichert wurde, muss ein neues Token erstellt werden, da dieser Wert in Specops Authentication Web kopiert werden muss.
Klicken Sie auf die Schaltfläche OK, verstanden, um das Fenster zu schließen.

Einschränkung der Berechtigungen des Token-Kontos

Nachdem das Token erstellt wurde, können Sie die Berechtigungen des Token-Kontos einschränken, um ihm die minimal erforderlichen Berechtigungsstufen für Specops Authentication zuzuweisen.

Melden Sie sich von Okta ab, wenn Sie noch als Token-Konto angemeldet sind.
Melden Sie sich als Superadministrator an.
Gehen Sie zu Sicherheit > Administratoren.
Klicken Sie in der Spalte Aktionen für das Token-Konto auf Bearbeiten.
Setzen Sie die Administratorrolle auf Help Desk Administrator und lassen Sie die Standardeinstellungen für Gruppenadministratorberechtigungen und Help Desk Administratorberechtigungen unverändert.
Klicken Sie auf Administrator aktualisieren.

Konfiguration der Verzeichnisintegration in Okta

Um Ihr Active Directory mit Okta zu verknüpfen, muss eine Verzeichnisintegration eingerichtet werden, indem ein Active Directory-Agent verwendet wird.

Gehen Sie zu Verzeichnis > Verzeichnisintegrationen.
Klicken Sie auf das Dropdown-Menü Verzeichnis hinzufügen und wählen Sie Active Directory hinzufügen.
Lesen Sie die Informationen auf der nächsten Seite und klicken Sie dann auf Active Directory einrichten.
Klicken Sie auf die Schaltfläche Agent herunterladen, um das Installationsprogramm für den Active Directory-Agent herunterzuladen.
Installieren Sie den Active Directory-Agent auf Ihrer Domäne, indem Sie das Installationsprogramm ausführen. Während der Installation werden Sie in mehreren Schritten aufgefordert, einige Informationen bereitzustellen:
1. Installationsordner: Wählen Sie einen geeigneten Ordner auf Ihrem System.
2. AD-Domäne auswählen: Wählen Sie die AD-Domäne, die mit Specops Authentication verknüpft ist.
3. Okta AD-Agent Windows-Dienstkonto: Wählen Sie Erstellen oder verwenden Sie das OktaService-Konto, hier können Sie ein neues Dienstkonto für den Agenten mit dem Benutzernamen OktaService@[your_domain] erstellen. Geben Sie ihm ein starkes Passwort.
4. Okta AD-Agent Proxy-Konfiguration: Geben Sie alle Informationen über den Proxy-Server entsprechend Ihrer Konfiguration an.
5. Okta AD-Agent registrieren: Wählen Sie Produktion und füllen Sie Ihre Subdomain aus (d. h. Ihre [okta_domain]).
6. Nach dem Registrierungsschritt öffnet der Installer ein Browserfenster, in dem Sie sich als Administrator anmelden müssen. Sobald Sie angemeldet sind, erscheint ein Pop-up-Fenster im Browser. Klicken Sie auf Zugriff erlauben.
Sobald der Zugriff erlaubt ist, informiert ein Pop-up darüber, dass der Active Directory-Agent gestartet wurde. Klicken Sie auf Weiter.
Auf der nächsten Seite können Sie die entsprechenden Organisationseinheiten auswählen. Wählen Sie die richtigen für Ihre Konfiguration aus.
Am unteren Rand derselben Seite sollte das Format für den Okta-Benutzernamen auf Benutzerprinzipalname (UPN) eingestellt sein. Wenn hier ein anderer Wert (E-Mail oder SAM-Kontoname) ausgewählt ist, muss der UPN einem separaten Okta-Benutzerprofilattribut zugeordnet werden. Weitere Informationen zur Zuordnung finden Sie im Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattribut. Klicken Sie auf Weiter.
Auf der letzten Seite können Sie konfigurieren, welche Attribute von AD zu Okta zugeordnet werden. Sofern Sie keine spezifischen Anforderungen für bestimmte Attribute haben, behalten Sie die Standardeinstellungen bei.

Zuordnung von UPN zu Okta-Benutzerprofilattributen

Falls Administratoren das Okta-Login für reguläre Benutzer auf etwas anderes als den universellen Prinzipalnamen (UPN) eingestellt haben, muss der UPN einem Profilattribut zugeordnet werden. Sie können entweder ein vorhandenes Attribut dem UPN zuordnen oder ein neues erstellen. Die folgenden Schritte beschreiben den Prozess zum Erstellen eines neuen Attributs.

Gehen Sie zu Verzeichnis> Profil> Editor und klicken Sie auf die Schaltfläche Profil neben dem Okta (Benutzer)-Profil. Ihnen wird eine Liste aller in Okta vorhandenen Attribute angezeigt.
Klicken Sie auf Attribut hinzufügen.
Füllen Sie das Formular im Pop-up-Fenster aus und achten Sie darauf, den eingegebenen Anzeigenamen zu notieren.
Klicken Sie auf Speichern, um das neue Attribut zu speichern.
Gehen Sie zu Verzeichnis > Verzeichnisintegrationen und klicken Sie auf Ihr Active Directory (das mit Okta verknüpft ist).
Gehen Sie zur Registerkarte Einstellungen und klicken Sie unten auf der Seite auf Zuordnungen bearbeiten.
Wählen Sie in der linken Spalte für das gerade erstellte Attribut (normalerweise am Ende der Liste) userName aus dem Dropdown-Menü aus.
Klicken Sie unten auf die Schaltfläche Zuordnungen speichern.
Klicken Sie auf Aktualisierungen jetzt anwenden, um diese Zuordnungen auf alle Benutzer mit diesem Profil anzuwenden.

Aktivierung von Okta-Textnachrichten

Um das Senden von Codes über Textnachrichten zu aktivieren, gehen Sie wie folgt vor:

Gehen Sie im Okta-Verwaltungsportal zu Multifaktor.
Aktivieren Sie SMS-Authentifizierung aktivieren.
Gehen Sie in Specops Authentication Web zu Identitätsdienste und rufen Sie die Okta-Einstellungen auf.
Setzen Sie SMS-Unterstützung für Okta aktivieren auf Ja.
Klicken Sie auf Speichern.

Konfiguration vertrauenswürdiger Proxy-IPs für Okta-Push-Benachrichtigungen

Push-Benachrichtigungen, die an die Okta-Mobile-App gesendet werden, zeigen den Standort an. Die in der Push-Benachrichtigung angezeigte IP-Adresse stammt vom Mobiltelefon. Damit die IP von Okta gesendet wird, müssen Administratoren die IPs von Specops im Okta-Portal als vertrauenswürdig festlegen.

Die vertrauenswürdigen Proxy-IPs (siehe Tabelle unten) können Ihrer Konfiguration hinzugefügt werden, indem Sie auf das Okta-Portal zugreifen und zu Sicherheit > Netzwerke gehen (klicken Sie auf das Dropdown-Menü Zone hinzufügen und wählen Sie IP-Zone).

Specops Proxy-IPs

Rechenzentrum	IP-Adresse
Nordamerika-Rechenzentrum	52.180.65.88/29 (Azure US West) 40.71.57.208/29 (Azure US East)
EU-Rechenzentrum	13.79.75.152/29 (Azure Nord Europa) 74.234.213.168/29 (Azure West Europa)

Hinweis

Diese Liste der IP-Adressen kann sich ändern. Änderungen werden im Voraus an die aufgeführten Kontakte gesendet.

Konfiguration von Okta in Specops Authentication

Melden Sie sich bei Specops Authentication Web an.
Gehen Sie im linken Navigationsbereich zu Identitätsdienste und wählen Sie Okta.
Geben Sie im Feld Okta-Domain die Domain Ihrer Organisation [okta_domain].okta.com ein.
Geben Sie im Feld API-Schlüssel den Wert des von Ihnen erstellten API-Tokens ein.
Wenn Sie UPN einem anderen Attribut in Okta zugeordnet haben (siehe Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattributen), geben Sie das Attribut ein, das Sie in Okta zugeordnet haben. Andernfalls können Sie den Standard-UPN-Wert belassen.
Setzen Sie Benutzer automatisch in Specops Authentication einschreiben auf Ja, wenn Sie möchten, dass Ihre Benutzer automatisch für Okta eingeschrieben werden. Beachten Sie, dass Benutzer ihr Okta eingerichtet haben müssen, um diesen Identitätsdienst nutzen zu können.

Warnung

das Setzen von Automatische Einschreibung auf Ja für Benutzer, die Okta noch nicht eingerichtet haben, kann zu einer Situation führen, in der Benutzer ihre Identität nicht verifizieren können.
Testen Sie die Verbindung, indem Sie auf die Schaltfläche Verbindung testen klicken, und speichern Sie die Konfiguration, wenn der Test erfolgreich ist.

Aktivierung der Okta-MFA-Auswahl

Standardmäßig sendet der Identitätsdienst beim Auswählen von Okta zur Authentifizierung eine Push-Benachrichtigung an den Benutzer. Der Benutzer kann eine andere Benachrichtigungsmethode auswählen, indem er im Authentifizierungsfenster auf den Link "Andere Methode verwenden" klickt. Okta kann so konfiguriert werden, dass diese Benachrichtigungsoptionen immer von Anfang an angezeigt werden, sodass der Benutzer nicht auf den Link klicken muss.

Gehen Sie in Specops Authentication Web zu Identitätsdienste > Okta und rufen Sie die Einstellungen für den Identitätsdienst auf.
Setzen Sie die Okta-MFA-Auswahl aktivieren auf Ja.
Hinweis

Die Optionen für diese Einstellung bestimmen Folgendes:
- Ja: zeigt alle MFA-Optionen an; der Benutzer muss eine auswählen, um mit der Authentifizierung fortzufahren. Die Methoden sind: Textnachricht, Push-Anfrage, Code eingeben.
- Nein: Standardverhalten; Push-Benachrichtigung mit optionalem Link zu anderen Benachrichtigungsmethoden.

Senden von Push-Benachrichtigungen an mehrere Geräte

Hinweis

Die Aktivierung von Push-Benachrichtigungen für mehrere Geräte kann nicht in Specops Authentication Web konfiguriert werden. Administratoren müssen Okta kontaktieren, um ein Feature-Flag für ihr Konto zu setzen. Verweisen Sie auf Fall 01789673, wenn Sie dies tun.

Okta kann so eingerichtet werden, dass Push-Benachrichtigungen an jedes vom Benutzer registrierte Gerät gesendet werden. Bei der Autorisierung mit Okta kann der Benutzer auswählen, auf welchem seiner Geräte er die Push-Benachrichtigung erhalten möchte, indem er aus einer Dropdown-Liste auswählt. Um das Senden an mehrere Geräte zu ermöglichen, muss ein Feature-Flag von Okta gesetzt werden. Administratoren müssen Okta kontaktieren und das Setzen des Feature-Flags anfordern. Bitte verweisen Sie auf Fall 01789673, wenn Sie diese Anfrage stellen.