Quando Active Directory viene sincronizzato con Okta, è necessario configurare Okta SAML nei componenti VMware UAG per accedere all'infrastruttura VDI.
Sia l'ambiente Okta che VMware UAG devono essere configurati opportunamente per sfruttare la funzionalità SAML.
Blog serie
VMware UAG: integrazione Okta SAML - configurazione ambiente Okta
VMware UAG: integrazione Okta SAML - configurazione SAML in Okta e UAG
Configurare l'applicazione Okta SAML
Dall'Admin console Okta, posizionarsi nell'area Applications > Applications e cliccare su Create App Integration.
Selezionare l'opzione SAML 2.0 e cliccare Next.
Specificare l'App name ed opzionalmente caricare l'App logo. Cliccare Next.
Nella SAML Settings inserire i dati richiesti:
- Single sign on URL - https://<UAG-FQDN>/portal/samlsso
- Use this for Recipient URL and Destination URL - verificare che questa opzione sia abilitata
- Audience URI (SP Entity ID) - https://<UAG-FQDN>/portal
Cliccare Next in fondo allo schermo.
Nella sezione Feedback, la scelta non influisce sulla configurazione SAML. Selezionare l'opzione I'm a software vendor. I'd like to integrate my app with Okta per evitare le domande successive. Cliccare Finish.
Si viene reindirizzati automaticamente nella sezione scheda Sign On. Cliccare su Copy per copiare l'URL per scaricare gli Identity Provider metadata.
Utilizzando il browser preferito, incollare l'URL copiato e copiare le info dei metadati visualizzati.
Incollare i metadati in un editor e salvare il file come .xml (okta.xml nell'esempio).
Assegnare gli Utenti all'applicazione
Posizionarsi nella sezione Assignments e selezionare Assign > Assign to Groups.
Selezionare il gruppo appropriato e cliccare su Assign.
Dopo aver assegnato i gruppi AD desiderati, cliccare su Done.
Gli Utenti e Gruppi assegnati.
Verificare che nella sezione Application sia attiva l'applicazione appena creata.
Configurare SAML nell'UAG
Effettuare il login all'UAG inserendo le credenziali corrette. Cliccare su Login.
Cliccare Select nel lato Configure Manually.
Sotto la voce Advanced Settings > Identity Bridging Settings cliccare l'icona ad ingranaggio in corrispondenza della voce Upload Identity Provider Metadata.
Nel campo IDP Metadata cliccare Select e scegliere il file Okta .xml precedentemente scaricato.
Cliccare Save.
Ora sotto la voce General Settings, attivare l'Edge Service Settings e fare click sull'icona a forma di ingranaggio in corrispondenza della voce Horizon Settings.
Cliccare More in fondo allo schermo.
Impostare gli Auth Methods come SAML and Passthrough. Selezionare l'Identity Provider appropriato dal menu a tendina (http://www.okta.com/xxxxxxx nell'esempio) e cliccare su Save in basso.
Testare la connessione alla VDI
Utilizzando il browser preferito, inserire l'URL pubblico per accedere alla propria infrastruttura Horizon. Si viene reindirizzati automaticamente alla pagina di login di Okta. Inserire lo Username e cliccare Next.
Inserire la Password e cliccare Verify.
Prima connessione ad Okta
La prima volta che l'utente effettua la connessione con Okta dopo aver verificato la password, all'utente viene richiesto di inserire la Secondary email. Inserire l'indirizzo e-mail e cliccare su Finish.
Vengono visualizzate le applicazioni che sono state assegnate all'utente. Fare click sull'applicazione VMware UAG creata per accedere all'infrastruttura VDI.
Come ulteriore livello di sicurezza durante il processo di autenticazione, è necessario impostare il metodo di sicurezza preferito utilizzato per l'accesso. Selezionare Okta Verify e cliccare su Set up per sfruttare le funzionalità di token e push.
Installa l'applicazione Okta Verify sul tuo cellulare e scansiona il codice QR per configurare il tuo account.
Una volta configurato il metodo di sicurezza, selezionare l'opzione preferita (Get a push notification nell'esempio) per accedere.
Una notifica push viene inviata all'applicazione del cellulare.
Dall'applicazione Okta Verify autorizzare l'accesso selezionando Yes, It's Me.
Se l'autenticazione tramite Okta SAML viene completata correttamente, si viene connessi alla propria infrastruttura Horizon VDI.
Viene visualizzata la tipica interfaccia di Horizon Client che mostra i Desktop Pools e Applicazione a cui l'utente ha accesso. Selezionare il Desktop Pool desiderato per accedere alla VDI.
La VDI è ora disponibile e pronta per essere utilizzata dall'utente.
Okta SAML è stato configurato correttamente e ora gli utenti possono sfruttare MFA per accedere in modo sicuro ai desktop virtuali.











































