Okta

Configurer Okta avec Specops Authentication pour uReset 8 étendra le système d'authentification d'Okta aux utilisateurs de uReset. Ces instructions supposent que vous avez déjà un compte Okta avec des privilèges de Super Administrateur.

La configuration doit être effectuée à partir du même ordinateur/serveur que celui à partir duquel Active Directory est administré.

Remarque

les comptes clients dans Okta se voient attribuer un sous-domaine unique dans le domaine Okta. Dans ce document, le sous-domaine, différent pour chaque client, sera référencé comme [okta_domain]. Ainsi, au lieu de, par exemple, https://specops.okta.com, il sera référencé comme https://[okta_domain].okta.com. Notez que pour les administrateurs, l'URL ressemblera à ceci: https://[okta_domain]-admin.okta.com.

Activation d'Okta

Connectez-vous à Okta en tant qu'administrateur.
Allez dans Sécurité > Multifactor et accédez à l'onglet Types de Facteurs.
Réglez Okta sur Actif à l'aide du menu déroulant.
Vous pouvez éventuellement activer les Notifications Push.

Récupération du jeton API Okta

Pour que Specops Authentication puisse vérifier les utilisateurs via Okta, il doit accéder à Okta via leur API REST, en utilisant un jeton client. Ce jeton aura les mêmes permissions que l'utilisateur qui l'a créé.

Création d'un compte de jeton API

Étant donné que le jeton API aura les mêmes permissions que le compte qui l'a créé, il est recommandé de créer un compte séparé (que nous appellerons ici le Compte Jeton) pour créer le jeton. Ce compte devra d'abord recevoir des privilèges d'Administrateur de Groupe, afin de pouvoir créer le jeton. Une fois le jeton créé, les privilèges du Compte Jeton seront réduits à Administrateur du Service d'Assistance pour donner au jeton les niveaux de permission minimum requis pour Specops Authentication.

Allez dans Annuaire > Personnes et cliquez sur Ajouter une Personne.
Remplissez les informations dans la fenêtre contextuelle. Notez qu'il est recommandé de régler le Mot de passe sur Défini par l'administrateur, et de fournir un mot de passe (temporaire).
Enregistrez le nouvel utilisateur, puis définissez le niveau de permission du nouveau compte en allant dans Sécurité > Administrateurs.
Cliquez sur Ajouter un Administrateur.
Dans le champ Attribuer un rôle d'administrateur à, commencez à taper le prénom du compte que vous venez de créer, puis cliquez dessus lorsqu'il apparaît comme suggestion sous le champ.
Dans la section Rôles d'administrateur, cochez l'option Administrateur de Groupe, laissez les Permissions d'Admin de Groupe sur le paramètre par défaut Peut administrer tous les utilisateurs.

Remarque

le Compte Jeton a besoin d'au moins des privilèges d'Administrateur de Groupe pour pouvoir créer des jetons API.
Cliquez sur Ajouter un Administrateur.
Déconnectez-vous d'Okta, puis reconnectez-vous sur le même sous-domaine (https://[okta_domain]-admin.okta.com) en utilisant les nouvelles informations d'identification du compte que vous venez de créer avant de passer à la partie suivante.

Création du jeton API

Assurez-vous d'être connecté en tant qu'administrateur du compte de service.
Allez dans Sécurité > API, puis allez à l'onglet Jetons.
Cliquez sur le bouton Créer un Jeton, et entrez un nom approprié pour le jeton.
Cliquez sur le bouton Créer un Jeton en bas.
La fenêtre indiquera que le jeton a été créé avec succès et affichera la Valeur du Jeton. Copiez la Valeur du Jeton et enregistrez-la dans un endroit sécurisé.

Avertissement

une fois cette fenêtre fermée, il n'y a aucun moyen d'accéder à nouveau à la valeur réelle du jeton. Si la Valeur du Jeton n'a pas été enregistrée, un nouveau jeton doit être créé car cette valeur doit être copiée dans le Web de Specops Authentication.
Cliquez sur le bouton OK, compris pour quitter la fenêtre.

Restriction des permissions du Compte Jeton

Maintenant que le jeton a été créé, vous pouvez restreindre les privilèges du Compte Jeton pour lui attribuer le niveau minimum de permissions requis pour Specops Authentication.

Déconnectez-vous d'Okta si vous êtes toujours connecté en tant que Compte Jeton.
Connectez-vous en tant que Super Administrateur.
Allez dans Sécurité > Administrateurs.
Dans la colonne Actions pour le Compte Jeton, cliquez sur Modifier.
Réglez le Rôle d'administrateur sur Administrateur du Service d'Assistance, laissez les paramètres par défaut pour les Permissions d'Admin de Groupe et les Permissions d'Admin du Service d'Assistance.
Cliquez sur Mettre à jour l'Administrateur.

Configuration de l'Intégration d'Annuaire dans Okta

Pour lier votre Active Directory à Okta, une intégration d'annuaire doit être configurée, en utilisant un Agent Active Directory.

Allez dans Annuaire > Intégrations d'Annuaire.
Cliquez sur le menu déroulant Ajouter un Annuaire et choisissez Ajouter Active Directory.
Lisez les informations sur la page suivante, puis cliquez sur Configurer Active Directory.
Cliquez sur le bouton Télécharger l'Agent pour télécharger l'installateur pour l'Agent Active Directory.
Installez l'Agent Active Directory sur votre domaine en exécutant l'installateur. Pendant l'installation, il vous sera demandé de fournir certaines informations en plusieurs étapes:
1. Dossier d'installation: choisissez un dossier approprié sur votre système.
2. Sélectionnez le Domaine AD: sélectionnez le domaine AD lié à Specops Authentication.
3. Compte de Service Windows de l'Agent AD Okta: choisissez Créer ou utiliser le compte OktaService, ici vous pouvez créer un nouveau Compte de Service pour l'agent avec le nom d'utilisateur OktaService@[votre_domaine]. Donnez-lui un mot de passe fort.
4. Configuration du Proxy de l'Agent AD Okta: fournissez toute information sur le serveur proxy en fonction de votre configuration.
5. Enregistrer l'Agent AD Okta ; choisissez Production, et remplissez votre sous-domaine (c'est-à-dire votre [okta_domain]).
6. Après l'étape d'enregistrement, l'installateur ouvrira une fenêtre de navigateur où vous devrez vous connecter en tant qu'administrateur. Une fois connecté, une fenêtre contextuelle apparaîtra dans le navigateur. Cliquez sur Autoriser l'Accès.
Une fois l'accès autorisé, une fenêtre contextuelle vous informera que l'agent Active Directory a démarré. Cliquez sur Suivant.
Sur la page suivante, vous pourrez sélectionner les Unités Organisationnelles appropriées. Choisissez celles qui conviennent à votre configuration.
En bas de cette même page, le paramètre pour le format du nom d'utilisateur Okta doit être réglé sur Nom Principal de l'Utilisateur (UPN). Si une autre valeur (Email ou Nom de Compte SAM) est sélectionnée ici, alors l'UPN devra être mappé à un attribut de profil utilisateur Okta séparé. Pour plus d'informations sur le mappage, veuillez vous référer à la section Mappage de l'UPN à l'attribut de profil utilisateur Okta. Cliquez sur Suivant.
Sur la page finale, vous pouvez configurer quels attributs seront mappés de l'AD à Okta. À moins que vous n'ayez des exigences spécifiques pour certains attributs, conservez les paramètres par défaut.

Mappage de l'UPN aux attributs de profil utilisateur Okta

Dans le cas où les administrateurs ont configuré la connexion Okta pour les utilisateurs réguliers sur autre chose que le Nom Principal Universel (UPN), l'UPN doit être mappé à un attribut de profil. Vous pouvez soit mapper un attribut existant à l'UPN, soit en créer un nouveau. Les étapes ci-dessous décrivent le processus de création d'un nouvel attribut.

Allez dans Annuaire > Éditeur de Profil, et cliquez sur le bouton Profil à côté du profil (utilisateur) Okta. Une liste de tous les attributs présents dans Okta vous sera présentée.
Cliquez sur Ajouter un Attribut.
Remplissez le formulaire dans la fenêtre contextuelle, en veillant à noter le Nom d'Affichage que vous entrez.
Cliquez sur Enregistrer pour enregistrer le nouvel attribut.
Allez dans Annuaire > Intégrations d'Annuaire et cliquez sur votre Active Directory (celui lié à Okta).
Allez à l'onglet Paramètres, et en bas de la page cliquez sur Modifier les Mappages.
Dans la colonne de gauche pour l'attribut que vous venez de créer (généralement en bas de la liste), sélectionnez userName dans le menu déroulant.
Cliquez sur le bouton Enregistrer les Mappages en bas.
Cliquez sur Appliquer les mises à jour maintenant pour appliquer ces mappages à tous les utilisateurs avec ce profil.

Activation des messages texte Okta

Pour activer l'envoi de codes via des messages texte, procédez comme suit:

Dans le portail d'administration Okta, allez dans Multifactor.
Cochez Activer l'authentification par SMS.
Dans Specops Authentication Web, allez dans Services d'Identité, et accédez aux paramètres Okta.
Réglez Activer le support SMS pour Okta sur Oui.
Cliquez sur Enregistrer.

Configuration des IPs Proxy de Confiance pour les notifications push Okta

Les notifications push envoyées à l'application mobile Okta afficheront l'emplacement. L'adresse IP affichée dans la notification push provient du téléphone mobile. Pour que l'IP soit envoyée depuis Okta, les administrateurs doivent définir les IPs de Specops comme de confiance dans le Portail Okta.

Les IPs Proxy de Confiance (voir tableau ci-dessous) peuvent être ajoutées à votre configuration en accédant au Portail Okta et en allant dans Sécurité > Réseaux (cliquez sur le menu déroulant Ajouter une Zone et choisissez Zone IP).

IPs Proxy Specops

Centre de Données	Adresse IP
Centre de Données Amérique du Nord	52.180.65.88/29 (Azure US West) 40.71.57.208/29 (Azure US East)
Centre de Données UE	13.79.75.152/29 (Azure North Europe) 74.234.213.168/29 (Azure West Europe)

Remarque

Cette liste d'adresses IP est sujette à changement. Un préavis des changements sera envoyé aux contacts listés.

Configuration d'Okta dans Specops Authentication

Connectez-vous à Specops Authentication Web.
Allez dans Services d'Identité dans la navigation de gauche, puis sélectionnez Okta.
Dans le champ domaine Okta, entrez le domaine [okta_domain].okta.com de votre organisation.
Dans le champ clé API, entrez la valeur du jeton API que vous avez créé.
Si vous avez mappé l'UPN à un attribut différent dans Okta (voir section Mappage de l'UPN aux attributs de profil utilisateur Okta), remplissez l'attribut que vous avez mappé dans Okta. Sinon, vous pouvez laisser la valeur UPN par défaut.
Réglez Inscription automatique des utilisateurs dans Specops Authentication sur Oui si vous souhaitez que vos utilisateurs soient inscrits automatiquement pour Okta. Notez que les utilisateurs doivent avoir configuré leur Okta pour pouvoir utiliser ce service d'identité.

Avertissement

régler Inscription automatique sur oui pour les utilisateurs qui n'ont pas encore configuré Okta, peut entraîner une situation où les utilisateurs seront incapables de vérifier leur identité.
Testez la connexion en cliquant sur le bouton Tester la connexion, et enregistrez la configuration si le test est réussi.

Activation de la sélection MFA Okta

Par défaut, lors du choix d'Okta pour s'authentifier, le service d'identité enverra une notification push à l'utilisateur. L'utilisateur peut choisir une autre méthode de notification en cliquant sur le lien "Utiliser une autre méthode" dans la fenêtre d'authentification. Okta peut être configuré pour toujours afficher ces options de notification dès le départ, évitant ainsi à l'utilisateur d'avoir à cliquer sur le lien.

Dans Specops Authentication Web, allez dans Services d'Identité > Okta, et accédez aux paramètres pour le service d'identité.
Réglez Activer la sélection MFA Okta sur Oui.

Remarque

Les options pour ce paramètre déterminent ce qui suit: - Oui: affiche toutes les options MFA ; l'utilisateur doit en choisir une pour continuer avec l'authentification. Les méthodes sont: Message texte, Demande push, Entrer le code. - Non: comportement par défaut ; notification push avec lien optionnel vers d'autres méthodes de notification.

Envoi de notifications push à plusieurs appareils

Remarque

L'activation des notifications push pour plusieurs appareils ne peut pas être configurée dans Specops Authentication Web. Les administrateurs doivent contacter Okta pour définir un indicateur de fonctionnalité pour leur compte. Référencez Case 01789673 lors de cette démarche.

Okta peut être configuré pour envoyer des notifications push à n'importe quel appareil enregistré par l'utilisateur. Lors de l'autorisation avec Okta, l'utilisateur peut choisir sur lequel de ses appareils il souhaite recevoir la notification push en sélectionnant dans une liste déroulante. Pour activer l'envoi à plusieurs appareils, un indicateur de fonctionnalité doit être défini par Okta. Les administrateurs doivent contacter Okta et demander que l'indicateur de fonctionnalité soit défini. Veuillez référencer Case 01789673 lors de cette demande.