Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Okta 整合为身份提供商

要将 Okta 与瞻博网络 Mist 集成,请创建 Okta 应用集成,然后将其添加为瞻博网络 Mist 组织中的身份提供商。

Okta 的准备工作

在将 Okta 与瞻博网络 Mist 集成之前,您需要在 Okta 中为瞻博网络 Mist Access Assurance 连接器创建 应用集成 。使用以下提示将应用集成配置为适当的设置。

注意:

作为 Okta 开发人员,如果您需要分步帮助,请参阅 Okta 资源。例如,考虑使用 Okta 帮助主题: https://help.okta.com/en-us/content/topics/apps/apps_app_integration_wizard_oidc.htm。(此 Okta 链接仅供建议。根据需要搜索和浏览您的 Okta 文档。)

Okta 应用集成提示

  • 为应用集成命名时,请考虑使用一个描述性名称,您也可以使用该名称在瞻博网络 Mist 配置中标识此应用。

  • 您可以将应用集成设置为使用 OIDC 本机应用程序API 服务,详情如下。

  • OIDC 本机应用 — 使用此方法,您的集成将使用 OAuth 2.0 身份验证进行单点登录。如果您使用此方法,请使用以下设置创建应用集成:

    • 登录方式—OICD-OpenID Connect

    • 应用类型 — 原生应用

    • 授权类型 — 资源所有者密码

    • 受控访问 - 允许组织中的每个人都访问

    • 常规设置:

      • 客户端身份验证 — 客户端密码

      • 用于代码交换的密钥证明 - 需要 PKCE 作为额外验证

    • Okta API 范围:

      • okta.roles.read — 已授予

      • okta.users.read — 已授予

      • okta.users.read.self—已授予

  • API 服务 — 使用此方法,您的集成将使用作用域 OAuth 2.0 访问令牌进行机器到机器身份验证。如果您使用此方法,请使用以下设置创建应用集成:

    • 登录方式—API服务

    • 常规设置:

      • 客户端身份验证—公钥/私钥

      • 配置 — 在 Okta 中保存密钥

      • 占有证明 - 要求在令牌请求中证明占有证明 (DPoP) 标头

      • 授权类型 — 客户端凭据

    • 公钥 - 添加密钥。以 PEM 格式复制密钥以供以后参考。

    • Okta API 范围:

      • okta.roles.read — 已授予

      • okta.users.read — 已授予

      • okta.users.read.self—已授予

    • 管理员角色 - 只读管理员

  • 保存应用集成后,您需要瞻博网络 Mist 设置相关信息。

    • 如果创建了 OIDC 本机应用程序,请复制 客户端 ID客户端密码

    • 如果创建了 API 服务 集成,请复制 客户端 ID公钥 (PEM 格式)。

  • 您还需要提供 Okta 租户 ID。登录 Okta 仪表板后,您应该能够看到作为帐户凭据一部分的租户 ID,例如: {username@domain}-okta-dev-{tentantID#}.okta.com。如果需要帮助查找此 ID,请查阅您的 Okta 文档或 Okta 支持团队。

在瞻博网络 Mist 中添加您的 Okta 应用集成作为身份提供商

开始之前

您必须拥有具有超级用户角色的瞻博网络 Mist 管理员帐户。

您需要 Okta 提供以下信息:

  • Okta 租户 ID

  • 用于 OIDC 本机应用集成的客户端 ID客户端密码

    API 服务应用集成的客户端 ID私钥(PEM 格式)

要将 Okta 应用集成添加为瞻博网络 Mist 中的身份提供商,请执行以下作:

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择组织>访问>标识提供者
    “身份提供程序”页面显示任何已配置的身份提供程序。
  2. 点击页面右上角附近的添加 IDP
  3. “新建身份提供程序”页面上,输入以下设置。
    表 1:瞻博网络 Mist 中的 Okta IdP 设置
    字段 说明
    姓名 输入用于标识此 IdP 的描述性名称。您可能会发现,在 Okta 中合并“ Okta” 一词以及用作应用集成名称的名称会很有帮助。示例: Okta-MyMistAppIntegration
    IDP 类型 选择 OAuth

    OAuth 类型

    		 选择 Okta

    OAuth 租户 ID

    输入您的 Okta 租户 ID。

    域名

    输入您的 Okta 用户域名。示例:abc.com

    默认 IDP

    如果未指定用户域名,请选择此选项。

    API 服务

    OAuth 客户端凭据 (CC) 客户端 ID

    以及

    OAuth 客户端凭据 (CC) 客户端私钥

    		 如果您的 Okta 应用集成使用 API 服务登录方法,请输入您从 Okta 应用集成复制的客户端 ID私钥(PEM 格式)。

    OIDC 原生应用

    OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

    以及

    OAuth 资源所有者密码凭据 (ROPC) 客户端密码

    		 如果您的 Okta 应用集成使用 OIDC - OpenID Connect 登录方法,请输入您从 Okta 应用集成复制的 客户端 ID客户端密码
  4. 单击页面右上角的创建
设置新的集成后,您应该进行一些测试连接并验证一切是否按预期工作。请参阅 验证新集成