|
Okta |
Scroll |
Comment intégrer Okta à Therefore™ en tant qu'annuaire d'utilisateurs ?
|
Remarque : •il n'est pas nécessaire de créer les noms d'utilisateur/mots de passe dans Thereforeâ„¢ si vous utilisez Okta en tant qu'annuaire d'utilisateurs dans le Cloud. Thereforeâ„¢ utilise les utilisateurs et les groupes définis dans Okta et authentifie les utilisateurs dans Okta uniquement. L'application se connecte ensuite à Thereforeâ„¢ à l'aide de jetons OpenId Connect. |
1.Préparation à effectuer dans Okta :
Pour le jeton OpenId Connect, nous devons créer un nouvel ID client dans le locataire Okta. Cette procédure doit impérativement être exécutée au préalable pour pouvoir utiliser la fonction. Vous trouverez ci-dessous des instructions détaillées pour créer une application client de ce type pour Therefore™.
2.Dans Okta, créez les utilisateurs et les groupes d'utilisateurs et affectez-les en fonction des besoins pour générer votre annuaire.
3.Créez un jeton API dans Okta.
4.Assignez un nom au jeton (« Therefore », par exemple) et cliquez sur « Create Token (Créer un jeton) ».
5.Copiez le jeton généré indiqué dans la boîte de dialogue.
|
Il est fortement recommandé de copier la valeur du jeton immédiatement à titre de référence, car il est impossible d'accéder à la valeur du jeton initial ou de la copier à nouveau. |
6.Créez une application cliente :
7.Configurez la plateforme pour l'application.
8.Configurez les paramètres de l'application.
|
Remarque : des URI de redirection spécifiques associés à d’autres applications Therefore™ telles que Therefore™ Go ou Therefore™ Dynamic Web View sont disponibles ici. |
9.Copiez l'ID client généré indiqué dans la boîte de dialogue et sélectionnez Use PKCE dans Client authentication.
10. Pour vous connecter à Therefore™ Solution Designer, double-cliquez sur le nœud Annuaires d'utilisateurs externes. Cliquez ensuite sur Ajouter et sélectionnez l'option Okta.
11. Entrez le nom du domaine Okta et la clé d'accès API, qui s'est affichée lors de la création de l'application cliente. L'ID du client Therefore correspond à l'ID de l'application cliente créée. Des domaines supplémentaires sont nécessaires si l'annuaire Okta contient également des utilisateurs issus d'autres domaines. À titre d'exemple, si l'annuaire contient des utilisateurs tels que utilisateurtest@therefore.okta.com et des utilisateurs tels que test@ontherefore.com, ontherefore.com doit être entré dans le champ Domaines supplémentaires. Cliquez sur OK pour établir la connexion.
12. Une fois la connexion établie, vous pouvez accéder au nouveau domaine par le biais des boîtes de dialogue de sélection des utilisateurs ou des groupes pour sélectionner des utilisateurs et des groupes et leur accorder les permissions requises.
13. Si vous vous connectez à Therefore™ par le biais d'une application cliente installée, vous devez configurer les paramètres de connexion. Pour Login using, sélectionnez l'option relative à Okta, puis cliquez sur Settings.
14. La valeur ID du client Therefore doit être réglée sur l'ID d'application créé à l'étape de préparation, qui a également été ajouté à la configuration dans Therefore™ Solution Designer. Le nom du domaine doit être réglé sur le nom du domaine Okta correspondant.
|
L'interface utilisateur cliente de connexion par défaut s'exécute sur le Web. Elle est spécifiquement requise pour l'authentification à plusieurs facteurs (MFA, Multi-Factor Authentication). Si aucun service d'authentification à plusieurs facteurs n'est utilisé, un utilisateur peut également opter pour la boîte de dialogue classique non-Web en définissant une clé de registre, comme indiqué ci-dessous. Cette approche n'est toutefois pas recommandée.
HKEY_CURRENT_USER\Software\Therefore\Client\EnableSSOWebUi = 0
Cette valeur de registre désactive la boîte de dialogue de connexion sur le Web. Si un service d'authentification à plusieurs facteurs est activé, la connexion échoue systématiquement dans ce cas de figure. |
