Okta SSO

Diese Anleitung fuehrt Sie durch die Verbindung von Okta mit Peerdom fuer Single Sign-On und automatische Benutzersynchronisierung. Die Einrichtung besteht aus zwei Teilen: einer SAML-Anwendung fuer die Anmeldung und einer API-Services-Anwendung fuer die Synchronisierung. Sie benoetigen Administratorzugang zur Okta Admin Console, um diese Schritte durchzufuehren.

Lesen Sie vor Beginn die SSO-Uebersicht, um zu verstehen, wie Peerdom die Benutzerbereitstellung, taegliche Synchronisierung und das Anmeldeverhalten handhabt.

Teil 1: SAML-Anwendung (Anmeldung)

Schritt 1: Peerdom-Benutzergruppe erstellen

Erstellen Sie eine neue Gruppe in Okta und weisen Sie alle Benutzer zu, die Zugang zu Peerdom haben sollen. Notieren Sie die Group ID fuer spaeter.

Schritt 2: SAML-Anwendung erstellen

Navigieren Sie zu Applications > Applications und erstellen Sie eine neue Anwendung. Waehlen Sie SAML 2.0 als Typ. Benennen Sie die Anwendung Peerdom Login (oder einen Namen Ihrer Wahl).

Schritt 3: SAML-Einstellungen konfigurieren

Geben Sie die folgenden Werte ein:

• Single Sign On URL: https://backend.peerdom.org/auth/saml/return
• Audience URI: wird vom Peerdom-Support bereitgestellt
• Name ID format: EmailAddress
• Application username: Okta Username

Schritt 4: Zertifikat herunterladen

Gehen Sie nach dem Erstellen der Anwendung zum Tab Sign On. Laden Sie das SHA-2-Zertifikat aus dem Bereich «Certificates» herunter.

Teil 2: API-Services-Anwendung (Synchronisierung)

Schritt 5: API-Services-Anwendung erstellen

Navigieren Sie zu Applications > Applications und erstellen Sie eine neue Anwendung vom Typ API Services. Benennen Sie sie Peerdom Sync. Notieren Sie die Application (Client) ID.

Schritt 6: Proof of Possession deaktivieren

Stellen Sie auf dem Tab «General» der Anwendung sicher, dass Proof of Possession deaktiviert ist.

Schritt 7: Zugangsdaten einrichten

Klicken Sie unter Client Credentials auf Edit und aendern Sie den Key-Typ auf Public key / Private key. Klicken Sie auf Add Key und dann auf Generate New Key. Kopieren und speichern Sie das JSON-Zertifikat, das am unteren Rand des Dialogs angezeigt wird. Dieses Zertifikat kann spaeter nicht erneut abgerufen werden.

Speichern Sie das JSON-Zertifikat sofort nach der Generierung an einem sicheren Ort. Es gibt keine Moeglichkeit, denselben Schluessel abzurufen oder neu zu generieren, sobald der Dialog geschlossen wurde.

Schritt 8: API-Scopes gewaehren

Navigieren Sie zum Tab Okta API Scopes. Suchen Sie nach den folgenden Scopes und gewaehren Sie diese:

• okta.users.read
• okta.groups.read

Schritt 9: Admin-Rolle zuweisen

Navigieren Sie zum Tab Admin Roles. Klicken Sie auf Edit Assignments und waehlen Sie Read-only Administrator. Speichern Sie die Aenderungen.

Zugangsdaten an Peerdom senden

Kontaktieren Sie den Peerdom-Support mit den folgenden Informationen:

1. Okta-Domain (zum Beispiel ihreFirma.okta.com)
2. Group ID fuer Peerdom-Benutzer
3. SAML Sign On URL aus der Peerdom Login-Anwendung
4. SHA-2-Zertifikat-Datei
5. Application (Client) ID aus der Peerdom Sync-Anwendung
6. JSON-Zertifikat aus dem Schluesselgenerierungsschritt

Der Peerdom-Support schliesst die Verbindung ab und bestaetigt, dass sowohl Anmeldung als auch Synchronisierung funktionieren.

Sobald SSO aktiv ist, erscheinen synchronisierte Benutzer in der Directory-App. Synchronisierte Felder sind ausgegraut und koennen nur in Okta geaendert werden.

Verwandte Artikel

• Single Sign-On (SSO), Uebersicht ueber SSO-Funktionen und Synchronisierungsverhalten
• Microsoft Entra ID SSO, alternative Anbieter-Einrichtung
• Google Workspace SSO, alternative Anbieter-Einrichtung
• Directory, Ihre synchronisierte Benutzerliste verwalten