Okta

Die Konfiguration von Okta mit Specops Authentication für uReset 8 wird das Authentifizierungssystem von Okta auf uReset-Benutzer erweitern. Diese Anweisungen gehen davon aus, dass Sie bereits über ein Okta-Konto mit Super-Administrator-Rechten verfügen.

Die Konfiguration muss von demselben Computer/Server aus durchgeführt werden, von dem aus das Active Directory verwaltet wird.

Hinweis

Kundenkonten in Okta wird ein einzigartiges Subdomain im Okta-Domain zugewiesen. In diesem Dokument wird das Subdomain, das für jeden Kunden unterschiedlich ist, als [okta_domain] referenziert. Anstatt zum Beispiel https://specops.okta.com, wird es als https://[okta_domain].okta.com bezeichnet. Beachten Sie, dass für Administratoren die URL folgendermaßen aussieht: https://[okta_domain]-admin.okta.com.

Aktivierung von Okta

Melden Sie sich als Administrator bei Okta an.
Gehen Sie zu Sicherheit > Multifaktor und greifen Sie auf die Registerkarte Faktor-Typen zu.
Setzen Sie Okta auf Aktiv mithilfe des Dropdown-Menüs.
Optional können Sie Push-Benachrichtigungen aktivieren.

Abrufen des Okta-API-Tokens

Damit Specops Authentication Benutzer über Okta verifizieren kann, muss es über deren REST-API auf Okta zugreifen, indem ein Kundentoken verwendet wird. Dieses Token hat dieselben Berechtigungen wie der Benutzer, der es erstellt hat.

Erstellen eines API-Token-Kontos

Da das API-Token dieselben Berechtigungen wie das Konto hat, das es erstellt hat, wird empfohlen, ein separates Konto zu erstellen (das wir hier als Token-Konto bezeichnen), um das Token zu erstellen. Dieses Konto muss zuerst Gruppenadministratorrechte erhalten, um das Token erstellen zu können. Nachdem das Token erstellt wurde, werden die Berechtigungen des Token-Kontos auf Helpdesk-Administrator herabgesetzt, um dem Token die minimal erforderlichen Berechtigungsstufen für Specops Authentication zu geben.

Gehen Sie zu Verzeichnis > Personen und klicken Sie auf Person hinzufügen.
Füllen Sie die Informationen im Popup-Fenster aus. Beachten Sie, dass empfohlen wird, das Passwort auf Vom Administrator festgelegt zu setzen und ein (temporäres) Passwort bereitzustellen.
Speichern Sie den neuen Benutzer und legen Sie dann die Berechtigungsstufe des neuen Kontos fest, indem Sie zu Sicherheit > Administratoren gehen.
Klicken Sie auf Administrator hinzufügen.
Geben Sie im Feld Administratorrolle zuweisen an den Vornamen des gerade erstellten Kontos ein und klicken Sie darauf, wenn es als Vorschlag unter dem Feld angezeigt wird.
Aktivieren Sie im Abschnitt Administratorrollen die Option Gruppenadministrator und lassen Sie die Gruppenadministratorberechtigungen auf dem Standardwert Kann alle Benutzer verwalten.

Hinweis

das Token-Konto benötigt mindestens Gruppenadministratorrechte, um API-Tokens erstellen zu können.
Klicken Sie auf Administrator hinzufügen.
Melden Sie sich von Okta ab und dann auf derselben Subdomain (https://[okta_domain]-admin.okta.com) mit den neuen Kontodaten an, die Sie gerade erstellt haben, bevor Sie mit dem nächsten Teil fortfahren.

Erstellen des API-Tokens

Stellen Sie sicher, dass Sie als Dienstkontoadministrator angemeldet sind.
Gehen Sie zu Sicherheit > API und dann zur Registerkarte Tokens.
Klicken Sie auf die Schaltfläche Token erstellen und geben Sie einen geeigneten Namen für das Token ein.
Klicken Sie unten auf die Schaltfläche Token erstellen.
Das Fenster zeigt an, dass das Token erfolgreich erstellt wurde, und zeigt den Token-Wert an. Kopieren Sie den Token-Wert und speichern Sie ihn an einem sicheren Ort.

Warnung

sobald dieses Fenster geschlossen wurde, gibt es keine Möglichkeit mehr, den tatsächlichen Token-Wert erneut abzurufen. Wenn der Token-Wert nicht gespeichert wurde, muss ein neues Token erstellt werden, da dieser Wert in das Specops Authentication Web kopiert werden muss.
Klicken Sie auf die Schaltfläche OK, verstanden, um das Fenster zu schließen.

Einschränkung der Berechtigungen des Token-Kontos

Nachdem das Token erstellt wurde, können Sie die Berechtigungen des Token-Kontos einschränken, um ihm die minimal erforderlichen Berechtigungsstufen für Specops Authentication zuzuweisen.

Melden Sie sich von Okta ab, wenn Sie noch als Token-Konto angemeldet sind.
Melden Sie sich als Superadministrator an.
Gehen Sie zu Sicherheit > Administratoren.
Klicken Sie in der Spalte Aktionen für das Token-Konto auf Bearbeiten.
Setzen Sie die Administratorrolle auf Helpdesk-Administrator und lassen Sie die Standardeinstellungen für Gruppenadministratorberechtigungen und Helpdesk-Administratorberechtigungen.
Klicken Sie auf Administrator aktualisieren.

Konfiguration der Verzeichnisintegration in Okta

Um Ihr Active Directory mit Okta zu verknüpfen, muss eine Verzeichnisintegration eingerichtet werden, indem ein Active Directory-Agent verwendet wird.

Gehen Sie zu Verzeichnis > Verzeichnisintegrationen.
Klicken Sie auf das Dropdown-Menü Verzeichnis hinzufügen und wählen Sie Active Directory hinzufügen.
Lesen Sie die Informationen auf der nächsten Seite und klicken Sie dann auf Active Directory einrichten.
Klicken Sie auf die Schaltfläche Agent herunterladen, um das Installationsprogramm für den Active Directory-Agent herunterzuladen.
Installieren Sie den Active Directory-Agent auf Ihrer Domäne, indem Sie das Installationsprogramm ausführen. Während der Installation werden Sie in mehreren Schritten aufgefordert, einige Informationen bereitzustellen:
1. Installationsordner: Wählen Sie einen geeigneten Ordner auf Ihrem System.
2. AD-Domäne auswählen: Wählen Sie die AD-Domäne, die mit Specops Authentication verknüpft ist.
3. Okta AD-Agent Windows-Dienstkonto: Wählen Sie Erstellen oder verwenden Sie das OktaService-Konto, hier können Sie ein neues Dienstkonto für den Agenten mit dem Benutzernamen OktaService@[your_domain] erstellen. Geben Sie ihm ein starkes Passwort.
4. Okta AD-Agent Proxy-Konfiguration: Geben Sie je nach Ihrer Konfiguration Informationen zum Proxy-Server an.
5. Okta AD-Agent registrieren; wählen Sie Produktion und füllen Sie Ihr Subdomain aus (d. h. Ihr [okta_domain]).
6. Nach dem Registrierungsschritt öffnet das Installationsprogramm ein Browserfenster, in dem Sie sich als Administrator anmelden müssen. Sobald Sie angemeldet sind, erscheint ein Popup-Fenster im Browser. Klicken Sie auf Zugriff erlauben.
Sobald der Zugriff erlaubt ist, informiert ein Popup darüber, dass der Active Directory-Agent gestartet wurde. Klicken Sie auf Weiter.
Auf der nächsten Seite können Sie die entsprechenden Organisationseinheiten auswählen. Wählen Sie die richtigen für Ihre Konfiguration aus.
Am unteren Rand derselben Seite sollte das Format für den Okta-Benutzernamen auf Benutzerprinzipalname (UPN) eingestellt sein. Wenn hier ein anderer Wert (E-Mail oder SAM-Kontoname) ausgewählt ist, muss der UPN einem separaten Okta-Benutzerprofilattribut zugeordnet werden. Weitere Informationen zur Zuordnung finden Sie im Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattribut. Klicken Sie auf Weiter.
Auf der letzten Seite können Sie konfigurieren, welche Attribute von AD zu Okta zugeordnet werden. Sofern Sie keine spezifischen Anforderungen für bestimmte Attribute haben, behalten Sie die Standardeinstellungen bei.

Zuordnung von UPN zu Okta-Benutzerprofilattributen

Falls Administratoren das Okta-Login für reguläre Benutzer auf etwas anderes als den universellen Prinzipalnamen (UPN) eingestellt haben, muss der UPN einem Profilattribut zugeordnet werden. Sie können entweder ein vorhandenes Attribut dem UPN zuordnen oder ein neues erstellen. Die folgenden Schritte beschreiben den Prozess zur Erstellung eines neuen Attributs.

Gehen Sie zu Verzeichnis > Profil-Editor und klicken Sie auf die Schaltfläche Profil neben dem Okta (Benutzer)-Profil. Ihnen wird eine Liste aller in Okta vorhandenen Attribute angezeigt.
Klicken Sie auf Attribut hinzufügen.
Füllen Sie das Formular im Popup-Fenster aus und achten Sie darauf, den Anzeigenamen zu notieren, den Sie eingeben.
Klicken Sie auf Speichern, um das neue Attribut zu speichern.
Gehen Sie zu Verzeichnis > Verzeichnisintegrationen und klicken Sie auf Ihr Active Directory (das mit Okta verknüpft ist).
Gehen Sie zur Registerkarte Einstellungen und klicken Sie unten auf der Seite auf Zuordnungen bearbeiten.
Wählen Sie in der linken Spalte für das gerade erstellte Attribut (normalerweise am Ende der Liste) userName aus dem Dropdown-Menü aus.
Klicken Sie unten auf die Schaltfläche Zuordnungen speichern.
Klicken Sie auf Jetzt Updates anwenden, um diese Zuordnungen auf alle Benutzer mit diesem Profil anzuwenden.

Aktivieren von Okta-Textnachrichten

Um das Senden von Codes per Textnachricht zu aktivieren, gehen Sie wie folgt vor:

Gehen Sie im Okta-Verwaltungsportal zu Multifaktor.
Aktivieren Sie SMS-Authentifizierung aktivieren.
Gehen Sie im Specops Authentication Web zu Identitätsdienste und greifen Sie auf die Okta-Einstellungen zu.
Setzen Sie SMS-Unterstützung für Okta aktivieren auf Ja.
Klicken Sie auf Speichern.

Konfiguration vertrauenswürdiger Proxy-IPs für Okta-Push-Benachrichtigungen

Push-Benachrichtigungen, die an die Okta-Mobile-App gesendet werden, zeigen den Standort an. Die in der Push-Benachrichtigung angezeigte IP-Adresse stammt vom Mobiltelefon. Damit die IP von Okta gesendet wird, müssen Administratoren die IPs von Specops im Okta-Portal als vertrauenswürdig festlegen.

Die vertrauenswürdigen Proxy-IPs (siehe Tabelle unten) können zu Ihrer Konfiguration hinzugefügt werden, indem Sie auf das Okta-Portal zugreifen und zu Sicherheit > Netzwerke gehen (klicken Sie auf das Dropdown-Menü Zone hinzufügen und wählen Sie IP-Zone).

Specops Proxy-IPs

Rechenzentrum	IP-Adresse
Nordamerika-Rechenzentrum	52.180.65.88/29 (Azure US West) 40.71.57.208/29 (Azure US East)
EU-Rechenzentrum	13.79.75.152/29 (Azure Nord-Europa) 74.234.213.168/29 (Azure Westeuropa)

Hinweis

Diese Liste der IP-Adressen kann sich ändern. Änderungen werden im Voraus an die aufgeführten Kontakte gesendet.

Konfiguration von Okta in Specops Authentication

Melden Sie sich beim Specops Authentication Web an.
Gehen Sie im linken Navigationsbereich zu Identitätsdienste und wählen Sie Okta.
Geben Sie im Feld Okta-Domain die Domain Ihrer Organisation [okta_domain].okta.com ein.
Geben Sie im Feld API-Schlüssel den Wert des von Ihnen erstellten API-Tokens ein.
Wenn Sie UPN einem anderen Attribut in Okta zugeordnet haben (siehe Abschnitt Zuordnung von UPN zu Okta-Benutzerprofilattributen), geben Sie das Attribut ein, das Sie in Okta zugeordnet haben. Andernfalls können Sie den Standard-UPN-Wert belassen.
Setzen Sie Benutzer automatisch in Specops Authentication anmelden auf Ja, wenn Sie möchten, dass Ihre Benutzer automatisch für Okta angemeldet werden. Beachten Sie, dass Benutzer ihr Okta eingerichtet haben müssen, um diesen Identitätsdienst nutzen zu können.

Warnung

das Setzen von Automatische Anmeldung auf Ja für Benutzer, die Okta noch nicht eingerichtet haben, kann dazu führen, dass Benutzer ihre Identität nicht verifizieren können.
Testen Sie die Verbindung, indem Sie auf die Schaltfläche Verbindung testen klicken, und speichern Sie die Konfiguration, wenn der Test erfolgreich ist.

Aktivierung der Okta-MFA-Auswahl

Standardmäßig sendet der Identitätsdienst beim Auswählen von Okta zur Authentifizierung eine Push-Benachrichtigung an den Benutzer. Der Benutzer kann eine andere Benachrichtigungsmethode wählen, indem er im Authentifizierungsfenster auf den Link "Andere Methode verwenden" klickt. Okta kann so konfiguriert werden, dass diese Benachrichtigungsoptionen immer von Anfang an angezeigt werden, sodass der Benutzer nicht auf den Link klicken muss.

Gehen Sie im Specops Authentication Web zu Identitätsdienste > Okta und greifen Sie auf die Einstellungen für den Identitätsdienst zu.
Setzen Sie Okta-MFA-Auswahl aktivieren auf Ja.

Hinweis

Die Optionen für diese Einstellung bestimmen Folgendes: - Ja: zeigt alle MFA-Optionen an; der Benutzer muss eine auswählen, um mit der Authentifizierung fortzufahren. Die Methoden sind: Textnachricht, Push-Anfrage, Code eingeben. - Nein: Standardverhalten; Push-Benachrichtigung mit optionalem Link zu anderen Benachrichtigungsmethoden.

Senden von Push-Benachrichtigungen an mehrere Geräte

Hinweis

Das Aktivieren von Push-Benachrichtigungen für mehrere Geräte kann nicht im Specops Authentication Web konfiguriert werden. Administratoren müssen Okta kontaktieren, um ein Feature-Flag für ihr Konto zu setzen. Verweisen Sie dabei auf Fall 01789673.

Okta kann so eingerichtet werden, dass Push-Benachrichtigungen an jedes registrierte Gerät des Benutzers gesendet werden. Bei der Autorisierung mit Okta kann der Benutzer auswählen, auf welchem seiner Geräte er die Push-Benachrichtigung erhalten möchte, indem er aus einer Dropdown-Liste auswählt. Um das Senden an mehrere Geräte zu ermöglichen, muss ein Feature-Flag von Okta gesetzt werden. Administratoren müssen Okta kontaktieren und die Einrichtung des Feature-Flags anfordern. Bitte verweisen Sie auf Fall 01789673, wenn Sie diese Anfrage stellen.