Passport-Konfiguration mit Okta

Wenn Sie Probleme mit Passport und Okta haben, lesen Sie unseren Artikel zur Fehlerbehebung bei Passport mit Okta , um weitere Informationen zu erhalten.

Okta-Anwendungskonfiguration

Wenn Sie das Element "Passport-Library" konfigurieren, benötigen Sie die Client-ID (Anwendungs-ID) und die URL des Identitätsanbieters. Führen Sie die folgenden Schritte aus, um die OIDC-App zu konfigurieren und die erforderlichen Informationen zu sammeln.

  1. Erweitern Sie in Ihrer Okta-Administratorkonsole im linken Menübereich den Abschnitt Anwendungen und wählen Sie Anwendungen aus.

  2. Klicken Sie auf App-Integration erstellen

  3. Wählen Sie für Anmeldemethode die Option OIDC – OpenID Connect aus.

  4. Wählen Sie als Anwendungstyp die Option Native Anwendung aus.

  5. Klicken Sie auf Weiter

  6. Geben Sie im Feld Name der App-Integration einen Namen ein, z. B. Kandji Passport.

  7. Vergewissern Sie sich im Abschnitt Grant type, dass das Kontrollkästchen für Refresh Token deaktiviert ist. Diese Option muss deaktiviert werden, um sicherzustellen, dass Passport Benutzer auffordert, ihr Mac-Passwort zu aktualisieren, während sie angemeldet sind, wenn sich ihr Okta-Passwort ändert.

    • Die Einstellung Benutzerkennwort speichern im Passport- Library Item muss auf Kennwort sicher speichern festgelegt werden, damit Benutzer die Eingabeaufforderung zur Kennwortaktualisierung erhalten. 

  8. Aktivieren Sie im Abschnitt Grant-Typ das Kontrollkästchen für Resource Owner Password.

    Hinweis: Wenn Ihre Okta-Instanz noch nicht von Classic auf Okta Identity Engine (OIE) aktualisiert wurde, werden der Interaktionscode-Gewährungstyp und andere Optionen nicht angezeigt.

  9. Klicken Sie im Abschnitt Anmeldeumleitungs-URIs auf URI hinzufügen.

  10. Geben Sie in das neue Feld, das angezeigt wird, Folgendes ein:

    https://localhost.redirect

    Derselbe Anmeldeumleitungs-URI muss im Abschnitt Authentifizierungsmodus im Passport-Bibliothekselement im Feld Umleitungs-URI verwendet werden.

  11. Wählen Sie im Abschnitt Zuweisungen aus, ob die App-Integration allen Personen in Ihrer Organisation oder nur ausgewählten Gruppen zugewiesen werden soll oder ob die Zuweisung bis nach der App-Erstellung übersprungen werden soll. 

  12. Klicken Sie auf Speichern.

  13. Öffnen Sie ein sicheres Textdokument, in dem Sie Werte für diese OIDC-App speichern können. Sie benötigen diese Details, wenn Sie das Passport-Bibliothekselement konfigurieren.

  14. Klicken Sie auf der Registerkarte Allgemein der soeben erstellten OIDC-Anwendung auf der rechten Seite des Felds Client-ID auf das Symbol Kopieren (sieht aus wie eine Zwischenablage). 

  15. Fügen Sie den Wert in Ihr sicheres Textdokument ein.

  16. Kopieren Sie die Formel für die URL Ihres Identitätsanbieters aus dem folgenden Text:

    https://yourOktaDomain/.well-known/openid-configuration
  17. Fügen Sie den Text in Ihr sicheres Textdokument ein.

  18. Ersetzen Sie in Ihrem sicheren Textdokument yourOktaDomain durch Ihre Okta-Domain.

Sie benötigen keine benutzerdefinierte Anmelderichtlinienregel, aber wenn Sie eine hinzufügen, stellen Sie sicher, dass MFA deaktiviert ist.

Wenn die Okta-Konfiguration abgeschlossen ist, weisen Sie die App den Benutzern zu, die Passport verwenden, um sich bei ihren Mac-Systemen anzumelden, und gehen Sie zur Kandji-Web-App, um das Element der Passport-Bibliothek zu konfigurieren.

Aktivieren der Multi-Faktor-Authentifizierung (MFA)

Die MFA-Richtlinie in Okta sollte auf Benutzer oder Gruppen angewendet werden, nicht auf die Passport-Anwendung in Okta.

Wenn Sie MFA mit Passport verwenden, müssen einige Einstellungen in Okta und im Passport-Bibliothekselement in Ihrer Kandji-Web-App geändert werden. Im Folgenden finden Sie MFA-Anweisungen für Okta Identity Engine (OIE) und Classic Engine.

Okta-Identitäts-Engine

Okta-Authentifikatoren

  1. Erweitern Sie den Abschnitt Sicherheit in der linken Navigationsleiste.

  2. Klicken Sie auf Authentifikatoren.

  3. Stellen Sie sicher, dass mindestens eine Multifaktor-Authentifizierungsmethode, z. B. Okta Verify, aufgeführt ist.

  4. Wenn keine mehrstufige Methode aufgeführt ist, klicken Sie auf die Schaltfläche Authentifikator hinzufügen

  5. Klicken Sie auf die Schaltfläche Hinzufügen unter den benötigten Authentifikatoren. 

  6. Führen Sie alle zusätzlichen Schritte für den Authentifikator aus.

  7. Klicken Sie auf Hinzufügen.

Globale Okta-Sitzungsrichtlinie

  1. Erweitern Sie den Abschnitt Sicherheit in der linken Navigationsleiste.

  2. Klicken Sie auf Globale Sitzungsrichtlinie.

  3. Klicken Sie auf Richtlinie hinzufügen.

  4. Oder klicken Sie auf den Stift, um die vorhandene Standardrichtlinie zu bearbeiten. 

  5. Legen Sie Multifaktor-Authentifizierung (MFA) auf Erforderlich fest.

  6. Legen Sie "Benutzer werden bei jeder Anmeldung zur Eingabe von MFA aufgefordert" fest. 

  7. Scrollen Sie nach unten und klicken Sie auf Regel aktualisieren oder Regel erstellen.

Authentifizierungs-Richtlinien

  1. Erweitern Sie den Abschnitt Sicherheit in der linken Navigationsleiste.

  2. Klicken Sie auf Authentifizierungsrichtlinien.

  3. Klicken Sie auf Anwendungen.

  4. Klicken Sie neben Ihrer Kandji Passport-Anwendung auf Richtlinie wechseln

  5. Wählen Sie Nur Passwort für die Richtlinie Diese Richtlinie für Kandji Passport verwenden aus.

  6. Klicken Sie auf Speichern

Klassischer Motor

Okta MFA-Einstellungen

  1. Erweitern Sie den Abschnitt Sicherheit in der linken Navigationsleiste.

  2. Klicken Sie auf Authentifizierung.

  3. Klicken Sie auf Anmelden.

  4. Klicken Sie auf Neue Okta-Anmelderichtlinie hinzufügen

  5. Geben Sie einen Richtliniennamen ein, der wie MFA erforderlich aussieht.

  6. Geben Sie eine Richtlinienbeschreibung ein.

  7. Wählen Sie die Gruppen aus, die dieser MFA-Anforderung zugewiesen werden sollen.

  8. Klicken Sie auf Richtlinie erstellen und Regel hinzufügen

  9. Geben Sie den Namen der Regel ein.

  10. Wählen Sie Erforderlich für die Einstellung Multifaktor-Authentifizierung (MFA) ist aus.

  11. Wählen Sie Bei jeder Anmeldung für die Einstellung Benutzer werden zur Eingabe der MFA-Einstellung aufgefordert aus. 

  12. Klicken Sie unten im Fenster auf Regel erstellen

Einstellungen für Bibliothekselemente

  1. Wählen Sie das Optionsfeld neben Web Login aus, um die Multi-Faktor-Authentifizierung (MFA) zu unterstützen.

  2. Geben Sie im Feld Umleitungs-URI Folgendes ein:

    https://localhost.redirect

  3. Klicken Sie auf die Schaltfläche Speichern.

Benutzer-Provisioning

Führen Sie die folgenden Schritte aus, wenn Sie die Gruppeninformationen in Okta verwenden möchten, um den Benutzerkontotyp zu bestimmen. Die Gruppen, die Sie in Okta verwenden, müssen nicht mit dem Mac beginnen, aber diese Schritte verwenden den Mac als Beispiel.

  1.  Klicken Sie im Element Passport-Library im Abschnitt Benutzerverwaltung auf das Menü Benutzerkontotyp und wählen Sie Angegeben pro Identitätsanbietergruppe aus.

  2. Wählen Sie in der Dropdown-Liste den Typ Standardkonto aus.

  3. Geben Sie in den Feldern für die Identitätsanbietergruppe die Namen Ihrer Okta-Gruppe ein. In diesem Artikel werden Gruppen verwendet, die mit "Mac" beginnen.

  4. Legen Sie für jede Zeile der Identitätsanbietergruppe den Kontotyp entsprechend fest. 

Führen Sie als Nächstes in Okta in Ihrer Passport-OIDC-Anwendung die folgenden Schritte aus, um den Gruppenanspruchsfilter so zu konfigurieren, dass er beispielsweise mit Mac beginnt.

  1. Erweitern Sie in Ihrer Okta-Administratorkonsole im linken Menübereich bei Bedarf den Abschnitt Anwendungen und wählen Sie dann Anwendungen aus.

  2. Wählen Sie die Kandji Passport-Anwendung aus, die Sie zuvor erstellt haben.

  3. Klicken Sie auf die Registerkarte Anmelden.

  4. Klicken Sie im Abschnitt OpenID Connect ID Token auf Bearbeiten.

  5. Behalten Sie im Abschnitt Anspruchsfilter für Gruppen den Standardwert bei: groups.

  6. Lassen Sie das mittlere Halbbild auf der Standardeinstellung: Beginnt mit.

  7. Geben Sie im Feld ganz rechts Mac ein (vorausgesetzt, die Okta-Gruppen, die Sie verwenden oder verwenden werden, beginnen mit Mac).

  8. Klicken Sie auf Speichern.

Fehlerbehebung bei Problemen mit Passport und Okta

Wenn Sie Probleme mit Passport und Okta haben, lesen Sie unseren Artikel Fehlerbehebung bei Passport mit Okta, um weitere Informationen zu erhalten.