SmartCollect SC² Help
SmartCollect SC² Dokumentation / Index.md / Okta OAuth2 Authentifizierung

Okta OAuth2-Authentifizierung

Nur verfügbar in SmartCollect SC² v7.0+

Die Okta-Authentifizierung ermöglicht es Ihren SmartCollect SC²-Benutzern, sich unter Verwendung eines externen Okta-Autorisierungsservers anzumelden.

Erstellen einer Okta-Anwendung

Bevor Sie einen Benutzer anmelden können, müssen Sie eine Okta-Anwendung über die Okta Developer Console erstellen.

  1. Melden Sie sich am Okta-Portal an.

  2. Gehen Sie zu Admin und wählen Sie dann Developer Console.

  3. Wählen Sie Applikationen und dann Anwendung hinzufügen.

  4. Wählen Sie Web als Plattform.

  5. Geben Sie einen Namen für Ihre Anwendung ein (oder belassen Sie den Standardwert).

  6. Fügen Sie die Basis-URI Ihrer Anwendung hinzu, z. B. https://smartcollect.example.com.

  7. Geben Sie Werte für die Login-Redirect-URI ein. Verwenden Sie Basis-URI und fügen Sie ihr /login/okta hinzu, z. B.: https://smartcollect.example.com/login/okta.

  8. Klicken Sie auf Fertig, um die Erstellung der Okta-Anwendung abzuschließen.

Aktivieren von Okta OAuth in SmartCollect SC²

  1. Add the following to the SmartCollect SC² configuration file:1. Fügen Sie Folgendes zur SmartCollect SC² Konfigurationsdatei hinzu:
[auth.okta]
name = Okta
enabled = true
allow_sign_up = true
client_id = some_id
client_secret = some_secret
scopes = openid profile email groups
auth_url = https://<tenant-id>.okta.com/oauth2/v1/authorize
token_url = https://<tenant-id>.okta.com/oauth2/v1/token
api_url = https://<tenant-id>.okta.com/oauth2/v1/userinfo
allowed_domains =
allowed_groups =
role_attribute_path =

Erlaubte Gruppen und Domänen konfigurieren

Um den Zugriff auf authentifizierte Benutzer zu beschränken, die Mitglied einer oder mehrerer Gruppen sind, setzen Sie allowed_groups auf eine durch Komma oder Leerzeichen getrennte Liste von Okta-Gruppen.

allowed_groups = Developers, Admins

Die Option allowed_domains beschränkt den Zugriff auf die Benutzer, die zu bestimmten Domänen gehören. Domänen sollten durch Leerzeichen oder Komma getrennt werden.

allowed_domains = mycompany.com mycompany.org

Map Roles

SmartCollect SC² kann versuchen, eine Rollenzuordnung über Okta OAuth durchzuführen. Um dies zu erreichen, prüft SmartCollect SC² das Vorhandensein einer Rolle unter Verwendung des JMESPath, der über die Konfigurationsoption role_attribute_path angegeben wurde.

SmartCollect SC² verwendet JSON, das durch die Abfrage des /userinfo-Endpunkts erhalten wurde, für die Pfadsuche. Das Ergebnis nach der Auswertung des role_attribute_path JMESPath-Ausdrucks muss eine gültige SmartCollect SC²-Rolle sein, d. h. Betrachter, Editor oder Admin. Weitere Informationen zu Rollen und Berechtigungen in SmartCollect SC² finden Sie unter Organization roles.

Lesen Sie, wie Sie benutzerdefinierte Ansprüche zu den Benutzerinformationen in Okta hinzufügen. Prüfen Sie auch die Generic OAuth-Seite für JMESPath-Beispiele.