Therefore™ Help

Zoom Window Out
↑ Texte | ↓ Texte
Cacher l'en-tête de la page
Developer le texte
Version imprimable
Sauvegarder URL Permalink

Didacticiels > Solution Designer > Méthodes d'authentification > Tâches administratives

Intégration d'Okta à Therefore™

Info

Remarque : il n'est pas nécessaire de créer les noms d'utilisateur/mots de passe dans Therefore™ si vous utilisez Okta en tant qu'annuaire d'utilisateurs dans le Cloud. Therefore™ utilise les utilisateurs et les groupes définis dans Okta et authentifie les utilisateurs dans Okta uniquement. L'application se connecte ensuite à Therefore™ à l'aide de jetons OpenId Connect.

1.Préparation à effectuer dans Okta :

Pour le jeton OpenId Connect, nous devons créer un nouvel ID client dans le locataire Okta. Cette procédure doit impérativement être exécutée au préalable pour pouvoir utiliser la fonction. Vous trouverez ci-dessous des instructions détaillées pour créer une application client de ce type pour Therefore™.

SD_T_AuthMeth_AdminTasks_Okta_001

2.Dans Okta, créez les utilisateurs et les groupes d'utilisateurs et affectez-les en fonction des besoins pour générer votre annuaire.

3.Créez un jeton API dans Okta.

SD_T_AuthMeth_AdminTasks_Okta_002

4.Assignez un nom au jeton (« Therefore », par exemple) et cliquez sur « Create Token (Créer un jeton) ».

SD_T_AuthMeth_AdminTasks_Okta_003

5.Copiez le jeton généré indiqué dans la boîte de dialogue.

SD_T_AuthMeth_AdminTasks_Okta_004

Note

Il est fortement recommandé de copier la valeur du jeton immédiatement à titre de référence, car il est impossible d'accéder à la valeur du jeton initial ou de la copier à nouveau.

6.Créez une application cliente :

SD_T_AuthMeth_AdminTasks_Okta_005

7.Configurez la plateforme pour l'application.

SD_T_AuthMeth_AdminTasks_Okta_006

8.Configurez les paramètres de l'application.

SD_T_AuthMeth_AdminTasks_Okta_007

9.Copiez l'ID client généré indiqué dans la boîte de dialogue et sélectionnez Use PKCE dans Client authentication.

SD_T_AuthMeth_AdminTasks_Okta_008

10. Pour vous connecter à Therefore™ Solution Designer, double-cliquez sur le nœud Annuaires d'utilisateurs externes. Cliquez ensuite sur Ajouter et sélectionnez l'option Okta.

SD_T_AuthMeth_AdminTasks_Okta_009

11. Entrez le nom du domaine Okta et la clé d'accès API, qui s'est affichée lors de la création de l'application cliente. L'ID du client Therefore correspond à l'ID de l'application cliente créée. Des domaines supplémentaires sont nécessaires si l'annuaire Okta contient également des utilisateurs issus d'autres domaines. À titre d'exemple, si l'annuaire contient des utilisateurs tels que utilisateurtest@therefore.okta.com et des utilisateurs tels que test@ontherefore.com, ontherefore.com doit être entré dans le champ Domaines supplémentaires. Cliquez sur OK pour établir la connexion.

SD_T_AuthMeth_AdminTasks_Okta_010

12. Une fois la connexion établie, vous pouvez accéder au nouveau domaine par le biais des boîtes de dialogue de sélection des utilisateurs ou des groupes pour sélectionner des utilisateurs et des groupes et leur accorder les permissions requises.

SD_T_AuthMeth_AdminTasks_Okta_011

13. Si vous vous connectez à Therefore™ par le biais d'une application cliente installée, vous devez configurer les paramètres de connexion. Pour Login using, sélectionnez l'option relative à Okta, puis cliquez sur Settings.

SD_T_AuthMeth_AdminTasks_Okta_012

14. La valeur ID du client Therefore doit être réglée sur l'ID d'application créé à l'étape de préparation, qui a également été ajouté à la configuration dans Therefore™ Solution Designer. Le nom du domaine doit être réglé sur le nom du domaine Okta correspondant.

Info

L'interface utilisateur cliente de connexion par défaut s'exécute sur le Web. Elle est spécifiquement requise pour l'authentification à plusieurs facteurs (MFA, Multi-Factor Authentication). Si aucun service d'authentification à plusieurs facteurs n'est utilisé, un utilisateur peut également opter pour la boîte de dialogue classique non Web en définissant une clé de registre, comme indiqué ci-dessous. Cette approche n'est toutefois pas recommandée.

HKEY_CURRENT_USER\Software\Therefore\Client\EnableSSOWebUi = 0

Cette valeur de registre désactive la boîte de dialogue de connexion sur le Web. Si un service d'authentification à plusieurs facteurs est activé, la connexion échoue systématiquement dans ce cas de figure.

SD_T_AuthMeth_AdminTasks_Okta_013