Okta SSO

Diese Anleitung führt dich durch die Verbindung von Okta mit Peerdom für Single Sign-On und automatische Benutzersynchronisierung. Die Einrichtung besteht aus zwei Teilen: einer SAML-Anwendung für die Anmeldung und einer API-Services-Anwendung für die Synchronisierung. du benötigst Administratorzugang zur Okta Admin Console, um diese Schritte durchzuführen.

Lies vor Beginn die SSO-Übersicht, um zu verstehen, wie Peerdom die Benutzerbereitstellung, tägliche Synchronisierung und das Anmeldeverhalten handhabt.

Teil 1: SAML-Anwendung (Anmeldung)

Schritt 1: Peerdom-Benutzergruppe erstellen

Erstelle eine neue Gruppe in Okta und weise alle Benutzer zu, die Zugang zu Peerdom haben sollen. Notiere die Group ID für später.

Schritt 2: SAML-Anwendung erstellen

Navigiere zu Applications > Applications und erstelle eine neue Anwendung. Wähle SAML 2.0 als Typ. Benenne die Anwendung Peerdom Login (oder einen Namen deiner Wahl).

Schritt 3: SAML-Einstellungen konfigurieren

Gib die folgenden Werte ein:

• Single Sign On URL: https://backend.peerdom.org/auth/saml/return
• Audience URI: wird vom Peerdom-Support bereitgestellt
• Name ID format: EmailAddress
• Application username: Okta Username

Schritt 4: Zertifikat herunterladen

Gehe nach dem Erstellen der Anwendung zum Tab Sign On. Lade das SHA-2-Zertifikat aus dem Bereich «Certificates» herunter.

Teil 2: API-Services-Anwendung (Synchronisierung)

Schritt 5: API-Services-Anwendung erstellen

Navigiere zu Applications > Applications und erstelle eine neue Anwendung vom Typ API Services. Benenne sie Peerdom Sync. Notiere die Application (Client) ID.

Schritt 6: Proof of Possession deaktivieren

Stelle auf dem Tab «General» der Anwendung sicher, dass Proof of Possession deaktiviert ist.

Schritt 7: Zugangsdaten einrichten

Klicke unter Client Credentials auf Edit und ändere den Key-Typ auf Public key / Private key. Klicke auf Add Key und dann auf Generate New Key. Kopieren und speichere das JSON-Zertifikat, das am unteren Rand des Dialogs angezeigt wird. Dieses Zertifikat kann später nicht erneut abgerufen werden.

Speichere das JSON-Zertifikat sofort nach der Generierung an einem sicheren Ort. Es gibt keine Möglichkeit, denselben Schlüssel abzurufen oder neu zu generieren, sobald der Dialog geschlossen wurde.

Schritt 8: API-Scopes gewähren

Navigiere zum Tab Okta API Scopes. Suche nach den folgenden Scopes und gewähre diese:

• okta.users.read
• okta.groups.read

Schritt 9: Admin-Rolle zuweisen

Navigiere zum Tab Admin Roles. Klicke auf Edit Assignments und wähle Read-only Administrator. Speichere die Änderungen.

Zugangsdaten an Peerdom senden

Kontaktiere den Peerdom-Support mit den folgenden Informationen:

1. Okta-Domain (zum Beispiel ihreFirma.okta.com)
2. Group ID für Peerdom-Benutzer
3. SAML Sign On URL aus der Peerdom Login-Anwendung
4. SHA-2-Zertifikat-Datei
5. Application (Client) ID aus der Peerdom Sync-Anwendung
6. JSON-Zertifikat aus dem Schlüsselgenerierungsschritt

Der Peerdom-Support schliesst die Verbindung ab und bestätigt, dass sowohl Anmeldung als auch Synchronisierung funktionieren.

Sobald SSO aktiv ist, erscheinen synchronisierte Benutzer in der Verzeichnis-App. Synchronisierte Felder sind ausgegraut und können nur in Okta geändert werden.

Verwandte Artikel

• Single Sign-On (SSO), Übersicht über SSO-Funktionen und Synchronisierungsverhalten
• Microsoft Entra ID SSO, alternative Anbieter-Einrichtung
• Google Workspace SSO, alternative Anbieter-Einrichtung
• Directory, deine synchronisierte Benutzerliste verwalten