VMware UAG: integrazione Okta SAML - pt.1

vmware-uag-okta-saml-integration-01

Per fornire MFA durante il processo di autenticazione, Okta SAML può essere integrato in VMware UAG per aumentare il livello di sicurezza dell'infrastruttura VDI Horizon.

SAML (Security Assertion Markup Language) è uno standard basato su XML per il trasferimento di dati di identità tra due parti:

  • Identity provider (IdP) - Okta
  • Service provider (SP) - UAG

okta saml 1

immagine da vmware

 

Blog serie

VMware UAG: integrazione Okta SAML - configurazione ambiente Okta
VMware UAG: integrazione Okta SAML - configurazione SAML in Okta e UAG

 

Setup ambiente Okta

Per configurare la piattaforma Okta devi prima accedere alla Admin console.

Utilizzando il tuo browser preferito, inserisci l'URL https://okta.com e fai click su Login per accedere alla console. Inserisci il tuo Username e fai click su Next.

okta saml 2

Inserire la Password corretta e cliccare su Verify.

okta saml 3

Cliccare su Admin per iniziare la configurazione dell'ambiente Okta.

okta saml 4

La dashboard Okta.

okta saml 5

Per sfruttare la funzionalità MFA, Okta deve essere sincronizzato con Active Directory per autenticare gli utenti durante il processo di login all'infrastruttura VMware Horizon.

 

Prerequisiti dell'agente Okta SAML

Prima di procedere con la configurazione di Okta, è necessario soddisfare alcuni prerequisiti.

Per autenticare gli utenti che devono accedere a Horizon VDI, bisogna sincronizzare Active Directory con Okta. Questo prerequisito viene soddisfatto installando l'agente Okta in un server locale.

okta saml 6

Il server utilizzato deve soddisfare i seguenti prerequisiti:

  • Il server Windows può essere virtuale o fisico.
  • 2 vCPU e 8 GB di RAM.
  • L'agente Okta può essere installato in Windows 2016/2019/2022.
  • Il server deve essere membro del dominio. L'host può essere un membro di qualsiasi dominio nella stessa foresta.
  • Sul server deve essere installato .NET 4.6.2 o successivo.
  • È necessario un account di servizio Okta per installare ed eseguire l'agente.

 

Scaricare l'Agent Okta

Dalla console Okta Admin, vai nell'area Directory > Directory Integrations e fare click su Add Active Directory.

okta saml 7

Cliccare Set Up Active Directory.

okta saml 8

Cliccare Download Agent.

okta saml 9

Una volta scaricato l'Agent, è necessario installare l'Agent nel server locale per stabilire la connessione al portale Okta utilizzando l'URL e l'account riportati nell'Admin console.

okta saml 10

 

Creare il service account Okta in Active Directory

Prima di procedere con l'installazione dell'Agent, è necessario creare il service account in Active Directory (okta.service nell'esempio) utilizzato per eseguire il servizio dell'Agent.

okta saml 11

Assegnare i seguenti permessi:

  • Aggiungere il service account Okta al gruppo Pre-Windows 2000 Compatible Access.

okta saml 12

  • Assegnare Read all properties per l'oggetto AD da sincronizzare.

okta saml 13

Assicurarsi di includere il service account Okta come membro del gruppo local Administrators nel server locale.

okta saml 14

Accedere al server locale utilizzando il service account Okta e copiare l'Agent installer. Eseguire il programma di installazione e cliccare su Next per iniziare l'installazione.

okta saml 15

Lasciare l'Installation folder di default e cliccare Install.

okta saml 16

Un componente richiesto viene installato nel server.

okta saml 17

Specificare il nome Domain corretto e cliccare Next.

okta saml 18

Se è stato già creato il service account, selezionare l'opzione Use an alternate account that I specify ed inserire sia lo Username e la Password. Cliccare su Next.

okta saml 19

Se viene visualizzato questo messaggio, assicurarsi che l'account di servizio sia membro del gruppo AD Pre-Windows 2000 Compatible Access .

okta saml 20

Cliccare Next.

okta saml 21

Nel campo Enter Organization URL inserire l'URL come indicato nel portale Okta (https://trial-9648815.okta.com nell'esempio). L'URL può essere personalizzato quando è stata acquistata una licenza valida. Cliccare su Next.

okta saml 22

Inserire il proprio Username e cliccare Next.

okta saml 23

Inserire la Password e cliccare su Verify.

okta saml 24

Cliccare Allow Access per assegnare le autorizzazioni richieste.

okta saml 25

L'Agent viene registrato.

okta saml 26

Cliccare su Finish per chiudere la procedura guidata di installazione.

okta saml 27

Aprire l'Okta AD Agent Management Utility e verificare se l'Agent è in esecuzione.

okta saml 28

 

Configurare AD nel portale Okta

Tornare al portale Okta. Una volta che l'Agent ha stabilito la connessione con il portale Okta, cliccare su Next.

okta saml 29

Selezionare le OU da cui sincronizzare Utenti e Gruppi e lasciare il formato predefinito dello username Okta. Cliccare su Next.

okta saml 30

Cliccare Next.

okta saml 31

Lasciare gli attributi di default e cliccare su Next.

okta saml 32

Il setup dell'Agent è completo. Cliccare Done.

okta saml 33

 

Importare Utenti e Gruppi in Okta

Dall'area Directory Integrations, selezionare la sezione Import e cliccare Import Now.

okta saml 34

Poiché questa è la prima importazione, selezionare Full import e cliccare su Import.

okta saml 35

Il sistema inizia ad importare Utenti e Gruppi dalle OU selezionate.

okta saml 36

Dopo pochi istanti, Utenti e Gruppi sono stati importati in Okta. Cliccare OK.

okta saml 37

Ora selezionare gli utenti da assegnare a Okta e cliccare Confirm Assignments.

okta saml 38

Abilitare l'opzione Auto-Activate users after confirmation e cliccare su Confirm.

okta saml 39

Gli Utenti sono stati assegnati e confermati.

okta saml 40

La configurazione dell'integrazione della Directory è ora completa e Okta può sincronizzare le OU configurate.

Nella parte 2 viene descritta la configurazione di SAML in Okta e UAG con un test di connessione per verificare che il tutto funzioni come previsto.

signature

Leave a Reply