Okta

Configurar Okta con Specops Authentication para Secure Service Desk extenderá el sistema de autenticación de Okta a los usuarios de uReset. Estas instrucciones asumen que ya tienes una cuenta de Okta con privilegios de Super Administrador.

La configuración debe realizarse desde la misma computadora/servidor desde donde se administra el Active Directory.

Nota

las cuentas de cliente en Okta se asignan a un subdominio único en el dominio de Okta. En este documento, el subdominio, diferente para cada cliente, se referirá como [okta_domain]. Así que, en lugar de, por ejemplo, https://specops.okta.com, se referirá como https://[okta_domain].okta.com. Ten en cuenta que para los administradores, la URL se verá así: https://[okta_domain]-admin.okta.com.

Activando Okta

Inicia sesión en Okta como administrador.
Ve a Seguridad > Multifactor y accede a la pestaña Tipos de Factores.
Configura Okta como Activo usando el menú desplegable.
Opcionalmente, puedes habilitar las Notificaciones Push.

Recuperando el token de la API de Okta

Para que Specops Authentication pueda verificar usuarios a través de Okta, debe acceder a Okta a través de su API REST, usando un token de cliente. Este token tendrá los mismos permisos que el usuario que lo creó.

Creando una Cuenta de Token de API

Dado que el token de la API tendrá los mismos permisos que la cuenta que lo creó, se recomienda crear una cuenta separada (que aquí llamaremos la Cuenta de Token) para crear el token. Esta cuenta deberá tener privilegios de Administrador de Grupo primero, para poder crear el token. Después de que el token haya sido creado, los privilegios de la Cuenta de Token se reducirán a Administrador de Mesa de Ayuda para darle al token los niveles mínimos de permiso requeridos para Specops Authentication.

Ve a Directorio > Personas y haz clic en Agregar Persona.
Completa la información en la ventana emergente. Ten en cuenta que se recomienda configurar la Contraseña como Establecida por el administrador, y proporcionar una contraseña (temporal).
Guarda el nuevo usuario, luego establece el nivel de permiso de la nueva cuenta yendo a Seguridad > Administradores.
Haz clic en Agregar Administrador.
En el campo Conceder rol de administrador a, comienza a escribir el primer nombre de la cuenta que acabas de crear, luego haz clic en ella cuando aparezca como sugerencia debajo del campo.
En la sección Roles de Administrador, marca la opción Administrador de Grupo, deja los Permisos de Administrador de Grupo en el valor predeterminado Puede administrar todos los usuarios.

Nota

la Cuenta de Token necesita al menos privilegios de Administrador de Grupo para poder crear tokens de API.
Haz clic en Agregar Administrador.
Cierra sesión en Okta, luego inicia sesión en el mismo subdominio (https://[okta_domain]-admin.okta.com) usando las credenciales de la nueva cuenta que acabas de crear antes de proceder a la siguiente parte.

Creando el token de la API

Asegúrate de haber iniciado sesión como administrador de la cuenta de servicio.
Ve a Seguridad > API, luego ve a la pestaña Tokens.
Haz clic en el botón Crear Token, e ingresa un nombre apropiado para el token.
Haz clic en el botón Crear Token en la parte inferior.
La ventana mostrará que el token se ha creado con éxito, y mostrará el Valor del Token. Copia el Valor del Token y guárdalo en un lugar seguro.

Advertencia

una vez que esta ventana se haya cerrado, no hay forma de acceder al valor real del token nuevamente. Si el Valor del Token no se guardó, se necesita crear un nuevo token ya que ese valor necesita ser copiado en el Specops Authentication Web.
Haz clic en el botón OK, lo tengo para salir de la ventana.

Restringiendo los permisos de la Cuenta de Token

Ahora que el token ha sido creado, puedes restringir los privilegios de la Cuenta de Token para asignarle el nivel mínimo de permisos requerido para Specops Authentication.

Cierra sesión en Okta si aún has iniciado sesión como la Cuenta de Token.
Inicia sesión como el Super Administrador.
Ve a Seguridad > Administradores.
En la columna Acciones para la Cuenta de Token, haz clic en Editar.
Configura el Rol de Administrador como Administrador de Mesa de Ayuda, deja la configuración predeterminada para Permisos de Administrador de Grupo y Permisos de Administrador de Mesa de Ayuda.
Haz clic en Actualizar Administrador.

Configurando la Integración de Directorio en Okta

Para vincular tu Active Directory a Okta, se debe configurar una integración de Directorio, usando un Agente de Active Directory.

Ve a Directorio > Integraciones de Directorio.
Haz clic en el menú desplegable Agregar Directorio y elige Agregar Active Directory.
Lee la información en la página siguiente, luego haz clic en Configurar Active Directory.
Haz clic en el botón Descargar Agente para descargar el instalador para el Agente de Active Directory.
Instala el Agente de Active Directory en tu dominio ejecutando el instalador. Durante la instalación, se te pedirá que proporciones alguna información en varios pasos:
1. Carpeta de instalación: elige cualquier carpeta apropiada en tu sistema.
2. Seleccionar Dominio AD: selecciona el dominio AD vinculado a Specops Authentication.
3. Cuenta de Servicio de Windows del Agente AD de Okta: elige Crear o usar la cuenta OktaService, aquí puedes crear una nueva Cuenta de Servicio para el agente con el nombre de usuario OktaService@[tu_dominio]. Dale una contraseña segura.
4. Configuración de Proxy del Agente AD de Okta: proporciona cualquier información sobre el servidor proxy dependiendo de tu configuración.
5. Registrar Agente AD de Okta; elige Producción, y completa tu subdominio (es decir, tu [okta_domain]).
6. Después del paso de registro, el instalador abrirá una ventana del navegador donde debes iniciar sesión como administrador. Una vez que hayas iniciado sesión, aparecerá una ventana emergente en el navegador. Haz clic en Permitir Acceso.
Una vez que se permita el acceso, una ventana emergente te informará que el agente de Active Directory ha comenzado. Haz clic en Siguiente.
En la página siguiente se te permitirá seleccionar las Unidades Organizativas apropiadas. Elige las correctas para tu configuración.
En la parte inferior de esa misma página, la configuración para el formato de nombre de usuario de Okta debe estar configurada como Nombre Principal de Usuario (UPN). Si se selecciona aquí cualquier otro valor (Correo electrónico o Nombre de Cuenta SAM), entonces el UPN deberá ser mapeado a un atributo de perfil de usuario de Okta separado. Para más información sobre el mapeo, consulta la sección Mapeo de UPN a atributo de perfil de usuario de Okta. Haz clic en Siguiente.
En la página final puedes configurar qué atributos se mapearán de AD a Okta. A menos que tengas algunos requisitos específicos para ciertos atributos, mantén la configuración predeterminada.

Mapeo de UPN a atributos de perfil de usuario de Okta

En caso de que los administradores hayan configurado el inicio de sesión de Okta para usuarios regulares a algo diferente al Nombre Principal Universal (UPN), el UPN necesita ser mapeado a un atributo de perfil. Puedes mapear un atributo existente a UPN, o crear uno nuevo. Los pasos a continuación describen el proceso para crear un nuevo atributo.

Ve a Directorio> Perfil> Editor, y haz clic en el botón Perfil junto al perfil de Okta (usuario). Se te presentará una lista de todos los atributos presentes en Okta.
Haz clic en Agregar Atributo.
Completa el formulario en la ventana emergente, asegurándote de anotar el Nombre para Mostrar que ingreses.
Haz clic en Guardar para guardar el nuevo atributo.
Ve a Directorio > Integraciones de Directorio y haz clic en tu Active Directory (el vinculado a Okta).
Ve a la pestaña Configuraciones, y en la parte inferior de la página haz clic en Editar Mapeos.
En la columna izquierda para el atributo que acabas de crear (generalmente en la parte inferior de la lista), selecciona userName del menú desplegable.
Haz clic en el botón Guardar Mapeos en la parte inferior.
Haz clic en Aplicar actualizaciones ahora para aplicar estos mapeos a todos los usuarios con este perfil.

Habilitando mensajes de texto de Okta

Para habilitar el envío de códigos a través de mensajes de texto, haz lo siguiente:

En el portal de administración de Okta, ve a Multifactor.
Marca Habilitar Autenticación SMS.
En Specops Authentication Web, ve a Servicios de Identidad, y accede a la configuración de Okta.
Configura Habilitar soporte SMS para Okta en Sí.
Haz clic en Guardar.

Configurando IPs de Proxy de Confianza para notificaciones push de Okta

Las notificaciones push enviadas a la aplicación móvil de Okta mostrarán la ubicación. La dirección IP mostrada en la notificación push se origina desde el teléfono móvil. Para que la IP sea enviada desde Okta, los administradores deben configurar las IPs de Specops como de confianza en el Portal de Okta.

Las IPs de Proxy de Confianza (ver tabla a continuación) pueden ser añadidas a tu configuración accediendo al Portal de Okta y yendo a Seguridad > Redes (haz clic en el menú desplegable Agregar Zona y elige Zona IP).

IPs de Proxy de Specops

Centro de Datos	Dirección IP
Centro de Datos de América del Norte	52.180.65.88/29 (Azure US West) 40.71.57.208/29 (Azure US East)
Centro de Datos de la UE	13.79.75.152/29 (Azure North Europe) 74.234.213.168/29 (Azure West Europe)

Nota

Esta lista de direcciones IP está sujeta a cambios. Se enviará un aviso anticipado de los cambios a los contactos listados.

Configurando Okta en Specops Authentication

Inicia sesión en Specops Authentication Web.
Ve a Servicios de Identidad en la navegación izquierda, luego selecciona Okta.
En el campo dominio de Okta, ingresa el dominio [okta_domain].okta.com de tu organización.
En el campo clave de API, ingresa el valor del token de la API que has creado.
Si has mapeado UPN a un atributo diferente en Okta (ver sección Mapeo de UPN a atributos de perfil de usuario de Okta), completa el atributo que has mapeado en Okta. De lo contrario, puedes dejar el valor predeterminado de UPN.
Configura Inscribir automáticamente a los usuarios en Specops Authentication en Sí si deseas que tus usuarios se inscriban automáticamente para Okta. Ten en cuenta que los usuarios deben haber configurado su Okta para poder usar este servicio de identidad.

Advertencia

configurar Inscripción automática en sí para usuarios que aún no han configurado Okta, puede resultar en una situación donde los usuarios no podrán verificar su identidad.
Prueba la conexión haciendo clic en el botón Probar conexión, y guarda la configuración si la prueba es exitosa.

Habilitando Okta Push con desafío numérico

Push con desafío numérico fortalece la seguridad de las notificaciones push en la aplicación de Okta.

En Specops Authentication Web ve a Servicios de Identidad > Okta, y accede a la configuración para el servicio de identidad.
Configura Opciones de notificación push en Push con desafío numérico. Con esta configuración, se muestra un número en la pantalla de inicio de sesión y el usuario final debe ingresar el mismo número en la aplicación móvil de Okta antes de que se apruebe el inicio de sesión.

Nota

Se recomienda encarecidamente usar esta configuración.

Las otras opciones son:
- Push - para usar notificaciones push sin un desafío numérico.
- Desactivar - para desactivar la configuración de notificación push.

Habilitando la selección de MFA de Okta

Por defecto, al elegir Okta para autenticarse, el servicio de identidad enviará una notificación push al usuario. El usuario puede elegir otro método de notificación haciendo clic en el enlace "Usar otro método" en la ventana de autenticación. Okta puede configurarse para mostrar siempre estas opciones de notificación desde el principio, ahorrando al usuario tener que hacer clic en el enlace.

En Specops Authentication Web ve a Servicios de Identidad > Okta, y accede a la configuración para el servicio de identidad.
Configura la Habilitación de selección de MFA de Okta en Sí.
Nota

Las opciones para esta configuración determinan lo siguiente:
- Sí: muestra todas las opciones de MFA; el usuario debe elegir una para continuar con la autenticación. Los métodos son: Mensaje de texto, Solicitud push, Ingresar código.
- No: comportamiento predeterminado; notificación push con enlace opcional a otros métodos de notificación.

Enviando notificaciones push a múltiples dispositivos

Nota

Habilitar notificaciones push para múltiples dispositivos no se puede configurar en Specops Authentication Web. Los administradores deben contactar a Okta para configurar un feature-flag para su cuenta. Referencia Caso 01789673 al hacerlo.

Okta puede configurarse para enviar notificaciones push a cualquier dispositivo que el usuario haya registrado. Al autorizar con Okta, el usuario puede elegir en cuál de sus dispositivos desea recibir la notificación push seleccionando de una lista desplegable. Para habilitar el envío a múltiples dispositivos, Okta debe configurar un feature-flag. Los administradores deben contactar a Okta y solicitar que se configure el feature-flag. Por favor, referencia Caso 01789673 al hacer esta solicitud.