...
Способ 1:
Пользователь переходит на страницу авторизации на портале
Портал автоматически перенаправляет пользователя на страницу входа, размещенную на Okta
Пользователь вводит логин и пароль от учетной записи Okta
Okta перенаправляет обратно в Motivity, при этом в адресной стоке браузера есть Код;
Motivity обменивает этот Код на данные о пользователе, выполняя запрос к Okta;
Из полученных данных от Okta для авторизации нужен только email, чтобы сопоставить его с адресом, хранящимся в Motivity. Данные, полученные от Okta, в Motivity не хранятся и никак не обрабатываются.
Если пользователь с таким email найден - авторизуем его.
Проверяется наличие пользователя портала с введенным логином Okta, сценарии авторизации описаны в разделе Сценарии авторизации
Способ 2:
Пользователь на дашборде Okta выбирает подключенное приложение Motivity
При переходе из Okta в Motivity – Motivity перенаправляет его обратно в Okta за кодом, и пользователь возвращается уже с кодом по которому авторизуем способом 1.
...
Как настроить подключение
Note |
---|
Важно! Для осуществления оперативной поддержки пользователей администраторы портала должны иметь доступ в систему по адресу Перед запуском проекта необходимо заранее знать о возможности доступа к платформе. |
Перед подключением сквозной авторизации необходимо отключить опцию “Изменение пароля пользователя” и рассылку пригласительных писем.
...
Okta Domain (3)
По умолчанию выключен
Поле обязательно для заполнения.
Пример:
subdomain.Okta.com
Authorization Server ID (4)
Заполняется последней сгенерированной строкой идентификатора из свойства Issuer, подробнее в разделе Настройка пакета
Поле необязательно для заполнения
Пример: auss5kkzkkzYune155e6
Client ID (5)
ID служебной учётной записи
Поле обязательно для заполнения
Client Secret (6)
Поле обязательно для заполнения
...
Необходимо авторизоваться в Okta под учетной записью администратора
В консоли администратора выбрать пункт “Applications > Applications”
Нажать на кнопку “Create App Integration”
Выбрать OIDC - OpenID Connect в качестве метода входа (Sign-in method)
Выбрать Web Application в качестве типа приложения (Application type) и нажать Next
Важно выбрать соответствующий тип приложения для приложений, которые являются общедоступными клиентами. Невыполнение этого требования может привести к тому, что конечные точки API Okta попытаются проверить секретный ключ приложения, для которого не предназначены общедоступные клиенты, и нарушат процесс входа или выхода
Ввести имя для интеграции приложения, либо оставить значение по умолчанию
Ввести значение для Sign-in redirect URIs - обратный вызов, описанный в разделе Маршрут обратного вызова. Добавить значения для локальной разработки (пример,
http://localhost:8080/authorization-code/callback
) и продуктивной среды (пример,https://app.example.com/authorization-code/callback
).
Если клиент OpenID Connect имеет несколько redirect URIs и есть необходимость использовать один URI перенаправления с подстановочным знаком для поддомена, установите признак Allow wildcard * in sign-in redirect URI.Важно! Использование поддоменов с подстановочными знаками не рекомендуется как небезопасная практика, поскольку это может позволить злоумышленникам иметь токены или коды авторизации, отправленные на случайные или контролируемые злоумышленником страницы
Пояснение термина поддомены – если у сайта есть разные поддомены:
ru.example.com
,en.example.com
– то можно ввести*.example.com
Добавить Base URI приложения для локальной разработки, например
http://localhost:3000
.
Также необходимо добавить базовые URI, в которых приложение работает в производственной среде, напримерhttps://app.example.com
Назначить нужную группу доступа, если для приложения заданы групповые назначения, либо оставить значение по умолчанию для всех (Everyone).
См. раздел Назначение приложений для людей и группв документации по продукту Okta (инструкции по назначению интеграции приложения отдельным пользователям и группам)
...