AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 办公安全平台 操作指南 管理员用户指南 身份认证 身份接入 身份同步 对接 Okta 身份源

对接 Okta 身份源

更新时间:
复制为 MD 格式
产品详情
我的收藏

当您的企业使用 Okta 作为统一身份认证平台时,SASE 可以通过标准的 OIDC 协议与其无缝对接。这使得员工可以使用其熟悉的 Okta 账号和密码实现单点登录(SSO),安全地访问由 SASE 保护的内网应用。管理员无需在 SASE 中单独维护一套用户凭证,从而极大地简化了身份管理和权限生命周期维护的复杂度,并提升了终端用户的登录体验。

使用限制

身份源功能在同一时段最多开启5个身份源(自定义身份源仅支持同时开启一个)。如果当前已启用的身份源额度已满,您需要先禁用已启用的身份源,然后再启用您需要的身份源。

配置扩展身份源

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择身份认证 > 身份接入

  3. 身份同步页签单击新增身份源

  4. 新增身份源面板中,选择扩展身份源,然后单击开始配置,根据配置向导完成相关配置。

  5. 基础配置向导中,参考下表内容进行配置。

    配置项

    说明

    身份源名称

    配置身份源名称。

    身份源状态

    根据需要配置身份源状态。取值:

    • 已开启:创建成功后开启身份源开关。

    • 已关闭:创建成功后关闭身份源开关。

      重要

      关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    绑定身份

    配置绑定的身份源,选择Okta,完成创建身份源字段映射配置。

    创建身份源配置项如下:

    • 组织名称:输入组织名称,后续从 Okta 同步的用户均保存在该组织下。

    • 登录方式图标:登录页显示图标,必须为 PNG/JPG 格式,大小不超过1MB。建议使用 256*256 像素方形图标。

    • 登录名称:登录页显示名称。首次填写和修改时,将自动进行审核(期间显示默认名称或现有名称),审核通过后自动更新。

    • 认证模式:选择client_secret_post( 在调用授权端点时,在 POST 请求包中附加密钥信息。常用选项)。

    • Client ID:发起请求的标识信息。

    • Client Secret:发起请求的密钥信息。保存后将被隐藏,且只能重置。

    • Scopes:请求授权端点时携带的 scopes 信息,代表申请的授权范围。

    • Issuer:OIDC Issuer 发现端点。单击解析,自动获取下列端点信息:

      • 授权端点:Authorization 授权端点,用于获取授权码。

      • 令牌端点:Token 令牌端点,用于使用授权码换取令牌。

      • 公钥端点:JWKS 公钥端点,用于校验 id_token 来源有效性。

      • 用户信息端点:用户信息 userinfo 端点,用于获取用户基本信息。

    • 授权回调 Redirect URI:复制该地址,并填入到 OIDC 服务中。

    字段映射配置项如下:

    • 账户名:Okta 以邮箱作为用户唯一标识,因此字段值选择邮箱映射规则选择选择字段

    • 其它字段名为可选字段,根据需求设置。

    SAML元数据文件

    绑定身份配置完成后,自动生成SAML元数据文件,下载后在SAML元配置文件中导入。

    SAML元配置文件

    上传SAML元数据文件

    自动同步

    开启后,系统将自动根据同步模式从 Okta 同步相关信息。

    如果未开启,需要手动同步组织架构,具体操作,请参见查看同步记录

    同步员工信息

    开启后,系统将根据自动同步周期,自动从 Okta 同步员工信息。

    说明

    若未开启自动同步功能,则不执行同步员工信息功能。

    自动同步周期

    支持设置每 1 小时至每 24 小时自动同步一次。

查看同步记录

  1. 身份同步页签,定位到已添加的身份源,单击操作同步记录

  2. 同步记录页面,查看该身份源的信息同步记录。

  3. 在页面左侧同步任务区域单击具体的同步任务,可以在页面右侧列表中查看该同步任务的同步信息。

    image

  4. 单击目标操作详情,查看本次同步的三方数据源SASE数据源的字段信息。

手动同步

如果您在配置身份源时未开启自动同步或您的身份源架构调整,需要手动同步架构信息。您可以单击新增同步任务,并单击确定。等待同步任务执行成功后,再查看同步记录。

说明

同步成功后,您可以在身份认证 > 身份接入 > 员工中心页签中查看同步的企业组织架构及员工信息等。具体操作,请参见员工中心

关闭自动同步

  • 身份同步页面,定位到已添加的身份源,在自动同步列关闭身份源的自动同步开关。

  • 编辑身份源面板中,关闭自动同步开关。

编辑Okta扩展身份源

身份同步页面,定位到已添加的Okta扩展身份源,单击操作编辑即可修改该身份源信息。

添加 Okta 应用

身份同步页面,定位到已添加的Okta扩展身份源,单击操作编辑,单击绑定身份即可添加新的 Okta 应用。

编辑或删除 Okta 应用

身份同步页面,定位到已添加的Okta扩展身份源,单击操作编辑,定位到目标 Okta 应用,可修改或删除 Okta 应用。

关闭Okta扩展身份源

身份同步页面,定位到已添加的Okta扩展身份源,在身份源开关列关闭身份源的状态开关。

删除Okta扩展身份源

身份同步页面,定位到已添加的Okta扩展身份源,单击操作删除即可删除该身份源信息。

相关文档

配置SASE身份源

如果企业未使用任何身份源,可以使用SASE提供的自定义身份源上建立组织架构。具体信息,请参见配置SASE身份源

对接第三方身份源

如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。

配置用户组

如果您需要在企业组织架构以外创建用户组,请参见用户组管理

上一篇:对接无影身份源下一篇:认证管理