SAML Single Sign On-configuratie – Okta

MyWorkDrive SAML-overzicht

Security Assertion Markup Language (SAML) is een open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen partijen, met name tussen een identiteitsprovider en een serviceprovider. Zoals de naam al aangeeft, is SAML een op XML gebaseerde opmaaktaal voor beveiligingsbeweringen (statements die serviceproviders gebruiken om beslissingen over toegangscontrole te nemen).

MyWorkDrive Server 5.1 introduceerde op SAML gebaseerde Web File Manager Single Sign On (SSO) naast ADFS (die afzonderlijk wordt geconfigureerd). Voor SAML fungeert MyWorkDrive als Service Provider (SP) terwijl de SSO optreedt als identiteitsprovider (IdP).

Dit document biedt gestroomlijnde MyWorkDrive-integratie met Okta Single Sign-On vanaf versie 5.2. Voor versie 5.0 of om SAML handmatig te configureren bekijk hier ons gedetailleerde SAML-configuratieartikel

Deze instructies zijn ook online beschikbaar in de Okta-toepassingsmap.

MyWorkDrive Okta Single Sign-On instellen

MyWorkDrive wordt vermeld als een goedgekeurde bedrijfstoepassing in Okta. Zoek gewoon naar "MyWorkDrive" vanuit de applicatiezoekopdracht wanneer u de applicatie toevoegt.

De enige informatie die u hoeft te verstrekken, is uw openbare URL om de configuratie te starten.

Merk op dat onze onderstaande instructies gestroomlijnd zijn en vanaf MyWorkDrive Server versie 5.2 kunnen we eenvoudig de URL van de "Identity Provider Metadata Url" invoeren vanuit de Okta-portal om MyWorkDrive automatisch te configureren voor Okta Single sign-on.

Vereisten voor Okta SSO

• MyWorkDrive Server 5.2 of hoger.
• Een Okta-account met beheerdersrechten.
• Zorg ervoor dat gebruikers een upn-achtervoegsel hebben toegepast op de domeinnaam die overeenkomt met de Okta Login-naam, zodat de gebruikers met hun e-mailadres kunnen inloggen op uw MyWorkDrive-server.
• Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel
• Zorg ervoor dat uw MyWorkDrive-server op internet toegankelijk is voor clientaanmelding (web, mobiel, kaartstation). Schakel de Cloud Web Connector in of stel uw eigen openbare SSL-certificaat en hostnaam in die naar uw MyWorkDrive-server wijst via poort 443 (SSL) Bekijk ondersteuningsartikel.

Aanmeldingsstroom

 

Hieronder wordt de gebruikersaanmeldingsstroom voor MyWorkDrive vanaf een identiteitsprovider (IdP) uitgelegd:

 

1. Er wordt aangenomen dat alle gebruikers inloggen op de ldP met hun UPN-achtervoegsel (bijv. @uwdomein.com) en dat dit overeenkomt met hun Active Directory-gebruikersnaam UPN.
2. Uw MyWorkDrive-server gebruikt uw eigen hostnaam en SSL-certificaat (*.MyWorkDrive.net wordt niet ondersteund voor SAML).
3. De gebruiker klikt op de MyWorkDrive assertion-consumentenservice-URL (bijv. https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) als de single sign-on-URL.
4. Als de gebruiker nog niet is aangemeld bij de ldP, leidt de MyWorkDrive-server de gebruiker om naar de SSL-service om in te loggen.
5. Na bevestiging genereert de IdP-service een geldig SAML-antwoord en leidt de gebruiker terug naar MyWorkdrive om het SAML-antwoord te verifiëren.
6. Als de gebruikersauthenticatie met succes is gevalideerd, worden ze automatisch aangemeld bij MyWorkDrive Web File Manager van hun bedrijf.

SAML MyWorkDrive Okta-configuratiestappen

• Log in op Okta met een beheerdersaccount en klik op de knop Beheerder.
• Klik in het beheerdersdashboard op de snelkoppeling "Applicaties toevoegen".
• Zoek in het vak "Zoeken naar een toepassing" naar "MyWorkDrive" (geen spaties). Het wordt automatisch aangevuld terwijl u typt. Wanneer u het paneel met ons logo ziet, klikt u op de knop Toevoegen.

• Op het applicatielabel moet "MyWorkDrive" staan
• Typ of plak in het veld Basis-URL de openbare URL zoals weergegeven in het voorbeeld, bijv https://share.mycompany.com Houd er rekening mee dat SAML/SSO niet wordt ondersteund op onze Cloud Web Connector met behulp van myworkdrive.net-URL's.
• Stel optioneel de opties voor toepassingszichtbaarheid in volgens uw organisatiebeleid en klik op Gereed.

Okta zou nu de pagina met toepassingsdetails moeten laden waar u de juiste gebruikers-/groepentoegang kunt toewijzen. Okta werkt echter pas als u de installatie in MyWorkDrive hebt voltooid. We raden aan om op dit moment minimaal één testgebruiker toe te wijzen.

Om de Okta-installatie in MyWorkDrive te voltooien, moet u de metagegevens-URL van de identiteitsprovider van Okta ophalen en invoeren in MyWorkDrive.

• Klik op het tabblad Aanmelden op de pagina met Okta-toepassingsdetails.
• Klik op de link met de tekst 'Identity Provider Metadata'. Hierdoor wordt een nieuw browsertabblad/venster geopend en worden de metagegevens weergegeven. U moet deze URL invoeren (kopiëren/plakken) in MyWorkDrive. Laat dat raam nu maar openstaan.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• Log in op Admin voor uw MyWorkDrive Server en kies het Enterprise-gedeelte.
• Schakel de nieuwe SAML/ADSFS SSO-optie in en selecteer Okta SAML in de vervolgkeuzelijst. Voor het gedeelte Enterprise-opties is een Enterprise-licentie vereist.

 

 

• Voer de Identity Provider Metadata-URL in die u hierboven in een nieuw browservenster hebt geopend.
  De URL ziet er als volgt uit: https://myworkdrive-youroktaaccount.okta.com/app/exk3dvmg3sTXDMqNp356/sso/saml/metadata
• Klik op Opslaan.

• Als u dat niet eerder deed, wijst u een gebruiker toe aan MyWorkDrive in Okta voor testen met de juiste UPN-instellingen, zodat hun Okta-aanmeldings-e-mailadres overeenkomt met MyWorkDrive.

Toegang testen vanuit Okta

Nadat u een testgebruiker hebt toegewezen, logt u in op Okta met uw testgebruiker (of als u uw eigen gebruiker gebruikt, klikt u eerst op "Mijn toepassingen" om als gebruiker te starten in plaats van te bewerken). Onthoud dat uw Okta-gebruikerslogin moet overeenkomen met uw MyWorkDrive-login.

 

 

Klik in de applicatielijst op de MyWorkDrive applicatie (logo).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

De gebruiker wordt automatisch aangemeld bij uw MyWorkDrive-browser Web File Manager.

 

 

 

 

 

 

 

 

 

 

 

 

U hebt Okta SAML SSO-configuratie voor MyWorkDrive voltooid. U kunt nu desgewenst de rest van uw gebruikers/groepen toewijzen.

 

Als u shares in de mappenlijst mist wanneer u inlogt via de SAML-provider, is de reden daarvoor ontbrekende of onjuiste instellingen voor serverdelegatie. Zorg ervoor dat de MyWorkDrive-server wordt vertrouwd voor delegatie volgens onze Delegatie artikel.

Optionele stap - SSO-aanmelding in browsers vereisen

Als u wilt dat gebruikers inloggen op Web File Manager via Okta, selecteert u de optie in My Work Drive Admin, Enterprise sectie voor "SSO-aanmelding vereisen"

 

Wanneer deze optie is geselecteerd, wordt de gebruiker gevraagd zich aan te melden bij Okta als hij niet is aangemeld en toegang te krijgen tot MyWorkDrive Web File Manager.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Als deze optie niet is geselecteerd, kunnen gebruikers inloggen via de reguliere inlogpagina en door de applicatielink in Okta te volgen.

Optionele stap – Eén keer uitloggen

Single Logout zorgt ervoor dat als een gebruiker uitlogt bij Okta, deze ook wordt uitgelogd bij MyWorkDrive Web File Manager. Er zijn verschillende extra stappen als u Single Logout wilt configureren.

Download het openbare certificaat van MyWorkDrive naar uw lokale computer. Kies in de sectie Beheer het tabblad Enterprise en als u SAML/ADFS SSO hebt ingeschakeld en Otka hebt geselecteerd in de vervolgkeuzelijst, ziet u de koppeling Openbaar certificaat downloaden. Deze moet je in een volgende stap uploaden in Okta.

De download wordt geleverd als een ZIP-bestand. Zoek dit bestand (meestal in Downloads) en pak het MWD.CER-bestand uit

Ga nu verder naar Okta.

• Log in bij Okta, klik op Admin om over te schakelen naar de Admin View, vervolgens op Applications en klik op MyWorkDrive in de lijst met applicaties.
• Klik op het tabblad "Aanmelden", klik op Bewerken in de rechterbovenhoek van het vak.
• Vink het vakje aan voor "Enkele afmelding inschakelen".

 

 

 

 

 

 

 

 

 

 

 

 

 

• Hierdoor wordt het vak Handtekeningcertificaat zichtbaar.
• Blader naar het MWD.CER-bestand dat u zojuist hebt uitgepakt en upload het.

 

 

 

 

 

 

 

 

 

 

 

 

Scroll naar beneden en klik op Opslaan rechtsonder na het uploaden.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• Het Okta-gedeelte van Single Logout-configuratie is nu voltooid.

Ga terug naar MyWorkDrive

• Laad de Admin tools voor MyWorkDrive.
• Klik in het Enterprise-gedeelte van MyWorkDrive Admin op Opslaan om de metagegevens in de metagegevens-URL van de identiteitsprovider te vernieuwen, nadat u Single Logout hebt ingeschakeld, het certificaat hebt geüpload en in Okta hebt opgeslagen.
  Dit zorgt ervoor dat uw MyWorkDrive wordt bijgewerkt via de metagegevens-URL van de identiteitsprovider met de uitlog-URL's en certificaatinstellingen.

 

Gefeliciteerd, Single Logout is nu ingeschakeld. Als u zich afmeldt bij Okta, logt u uit bij MyWorkDrive-browser Web File Manager.