Single Sign-On mit Okta

Eine App in der Okta-Konsole erstellen

Erstellen Sie eine App in der Okta-Konsole und verwenden Sie sie als Identitätsanbieter für SSO.

So erstellen Sie die App:

1. Melden Sie sich mit Ihren Okta-Kontodaten an der Okta-Konsole an.
2. Klicken Sie oben rechts auf 'Admin', um zur Admin-Konsole zu navigieren.

   Note: Dieser Schritt gilt nur, wenn Sie beim Administrator-Endbenutzerkonto angemeldet sind.

3. Navigieren Sie zur Registerkarte 'Anwendungen' und klicken Sie auf 'Anwendung hinzufügen'.
4. Klicken Sie auf 'App-Integration erstellen'.
5. Wählen Sie 'SAML 2.0' als Anmeldemethode und klicken Sie auf 'Erstellen'.
6. Geben Sie den App-Namen ein und klicken Sie auf 'Weiter'.
7. Geben Sie die Single Sign-On- und Zielgruppen-URLs in die entsprechenden Felder ein, wählen Sie 'E-Mail-Adresse' aus der Dropdown-Liste 'Name-ID-Format' aus und klicken Sie auf 'Weiter'.
   • Single Sign-On-URL: https://webapp.idrive360.com/api/sso/process
   • Zielgruppen-URL: https://webapp.idrive360.com/api/sso/metadata
8. Wählen Sie das Optionsfeld 'Ich bin ein Okta-Kunde, der eine interne App hinzufügt' und klicken Sie auf 'Fertigstellen'.
9. Klicken Sie auf 'SAML-Einrichtungsanweisungen anzeigen'. Sie werden zu einer Webseite weitergeleitet, auf der Sie die SAML 2.0 Single Sign-On-Anmelde-URL, die Aussteller-URL und das X.509-Zertifikat finden. Kopieren und speichern Sie diese für die spätere Konfiguration des Cloud-Backup-Kontos.

Benutzer der App zuweisen

Um SSO für die Benutzerkonten zu aktivieren, muss der Administrator Benutzer der neuen App in der Okta-Konsole zuweisen.

So weisen Sie Benutzer zu:

1. Starten Sie die neue App in der Okta-Konsole.
2. Klicken Sie auf 'Zuweisen'.
3. Wählen Sie 'Benutzern zuweisen' und weisen Sie Benutzer für SSO zu.

Das Cloud-Backup-Konto für Single Sign-On (SSO) konfigurieren

Der Administrator muss die von Okta erhaltenen SAML 2.0-URLs und das Zertifikat im Single Sign-On-Konfigurationsformular in der Verwaltungskonsole angeben.

So konfigurieren Sie SSO:

1. Melden Sie sich beim Cloud-Backup-Konto an und klicken Sie auf 'Zur Verwaltungskonsole'.
2. Gehen Sie auf der Registerkarte 'Einstellungen' zum Abschnitt 'Single Sign-On (SSO)'.
3. Geben Sie die 'Aussteller-URL' und die 'SAML 2.0 Single Sign-On-Anmelde-URL' ein und fügen Sie das 'X.509-Zertifikat' hinzu, das Sie von Ihrer neu erstellten App in der Okta-Konsole erhalten haben.

   Hinweis: Das X.509-Zertifikat darf nur im .pem- oder .cer-Format vorliegen.

4. Klicken Sie auf 'Single Sign-On konfigurieren'.

Sie erhalten eine Bestätigungs-E-Mail, sobald SSO für Ihr Konto aktiviert wurde.

Einrichtung der Single Sign-On-Bereitstellung - Okta (SCIM)

Der Administrator der IDrive^® 360-Konten kann jetzt die Bereitstellung für seine Benutzer vom Identitätsanbieter aus einrichten. IDrive^® 360 unterstützt die SCIM-Bereitstellungsmethode (System for Cross-domain Identity Management) zur Bereitstellung von Benutzern.

Um die Single Sign-On-Bereitstellung (SSO) mit Okta einzurichten, muss der Administrator:

• SCIM-Bereitstellungstoken mit dem IDrive^® 360-Konto generieren
• SCIM-Bereitstellung konfigurieren
• SCIM-Attributzuordnung
• Benutzer/Gruppen der bereitgestellten App zuweisen

SCIM-Bereitstellungstoken mit dem IDrive^® 360-Konto generieren

Der Administrator muss das SCIM-Bereitstellungstoken (System for Cross-domain Identity Management) generieren und verwenden, um alle mit seinem IdP verknüpften Benutzer mit dem IDrive^® 360-Konto zu synchronisieren.

So generieren Sie ein Token:

1. Melden Sie sich bei Ihrem IDrive^® 360-Konto an.
2. Klicken Sie auf 'Zur Verwaltungskonsole'.
3. Navigieren Sie zu 'Einstellungen' > 'Single Sign-On (SSO)'.
4. Klicken Sie unter 'Benutzer von Ihrem Identitätsanbieter synchronisieren' auf 'Token generieren', um ein Token zu erstellen.
5. Klicken Sie auf 'Token kopieren', um das Token zu kopieren und für spätere Referenz zu speichern.

SCIM-Bereitstellung konfigurieren

Sobald die App erstellt wurde, kann der Administrator sein Konto für die SCIM-Bereitstellung konfigurieren.

So konfigurieren Sie die SCIM-Bereitstellung:

1. Melden Sie sich mit Ihren Okta-Kontodaten an der Okta-Konsole an.
2. Klicken Sie unter 'Anwendungen' auf die neu erstellte App.
3. Navigieren Sie zu 'Allgemein'.
4. Klicken Sie neben 'App-Einstellungen' auf 'Bearbeiten' und aktivieren Sie die SCIM-Bereitstellung.
5. Klicken Sie auf 'Speichern'.
6. Navigieren Sie zu 'Bereitstellung'.
7. Klicken Sie neben 'SCIM-Verbindung' auf 'Bearbeiten' und nehmen Sie die folgenden Änderungen vor:
   • SCIM-Connector-Basis-URL: https://webapp.idrive360.com/api/scim/v2
   • Eindeutiges Bezeichnerfeld für Benutzer: userName
   • Unterstützte Bereitstellungsaktionen: Klicken Sie auf die folgenden Optionen und aktivieren Sie sie:
     • Neue Benutzer senden
     • Profilaktualisierungen senden
   • Authentifizierungsmodus: HTTP-Header
   • Autorisierung: Geben Sie das auf Ihrem IDrive^® 360-Konto generierte SCIM-Bereitstellungstoken ein
8. Klicken Sie auf 'Speichern'.
9. Klicken Sie unter 'An App' neben 'Bereitstellung an App' auf 'Bearbeiten'.
10. Klicken Sie auf 'Aktivieren', um die folgenden Optionen zu aktivieren:
    • Benutzer erstellen
    • Benutzerattribute aktualisieren
    • Benutzer deaktivieren
    • Passwort synchronisieren
11. Wählen Sie für 'Passworttyp' die Option 'Zufällig generiertes Passwort synchronisieren' aus.
12. Wählen Sie für 'Paswortzyklus' die Option 'Neues Zufallspasswort generieren, wenn sich das Okta-Passwort des Benutzers ändert' aus.
13. Klicken Sie auf 'Speichern'.

SCIM-Attributzuordnung

Führen Sie die folgenden Schritte für die SCIM-Attributzuordnung aus:

1. Gehen Sie zum 'Profileditor' und klicken Sie auf 'Attribut hinzufügen'.
2. Geben Sie die folgenden Details ein:
   • Datentyp: String
   • Anzeigename: IDrive360-Rolle
   • Variablenname: idrive360_role
     Externer Name: roles.^[primary == true].value
   • Externer Namespace: urn:ietf:params:scim:schemas:core:2.0:User
   • Beschreibung: IDrive360-Rolle
   • Enum: Aktivieren Sie das Kästchen für 'Aufgezählte Werteliste definieren'.
   • Attributmitgliederfeld: Geben Sie Folgendes ein:

     Benutzerrollen	Werte
     Kontoinhaber	1
     Unternehmensadministrator	2
     Backup-Administrator	7
     Benutzer (Geräte hinzufügen und verwalten)	3
     Wiederherstellungsbenutzer	4
     Backup-Benutzer	5
     Backup- und Wiederherstellungsbenutzer	6

   Hinweis: Die Rollenwerte müssen genau mit den entsprechenden Rollen im Anwendungscode übereinstimmen.

   • Attribut erforderlich: Ja
   • Attributtyp: Persönlich
3. Klicken Sie auf 'Speichern und Attribut hinzufügen'.
4. Attribut in den Bereitstellungseinstellungen konfigurieren
   • Gehen Sie zurück zu 'Anwendungen' -> Registerkarte 'Bereitstellung' > An App.
   • Scrollen Sie in den Attributzuordnungen nach unten zum neu hinzugefügten Attribut (z. B. IDrive360-Rolle).
   • Klicken Sie auf das Bearbeiten-Symbol, wählen Sie 'Gleicher Wert für alle Benutzer' und wählen Sie 'Backup-Benutzer' (oder eine andere zuvor definierte Rolle, die bei der Bereitstellung von Benutzern als Standard verwendet werden soll).
   • Wählen Sie für 'Anwenden auf' die Option 'Erstellen' aus.
   • Klicken Sie auf 'Speichern'.

Benutzer/Gruppen der bereitgestellten App zuweisen

Um die Bereitstellung zu starten, muss der Administrator Benutzer der Anwendung zuweisen.

So weisen Sie Benutzer zu:

1. Starten Sie die neue App in der Okta-Konsole.
2. Navigieren Sie zu 'Zuweisungen'.
3. Klicken Sie auf 'Zuweisen' und wählen Sie 'Personen zuweisen', um einzelne Benutzer bereitzustellen.
4. Bearbeiten Sie die Eigenschaften nach Bedarf, einschließlich der Rolle des in IDrive360 bereitgestellten Benutzers.

Hinweis: Um neue Benutzer hinzuzufügen, gehen Sie zu 'Verzeichnis' > 'Personen' und klicken Sie auf 'Person hinzufügen'.