1.1 Einführung

Verwendung von Okta als Identitätsanbieter (Anmeldemechanismus und Quelle für Benutzer und Gruppen).

Funktion	unterstützt
Nutzer Login mit Okta
Synchronisierung der Nutzer & Gruppen nach empower®
Ad-hoc Bereitstellung der Nutzer & Gruppen ohne Sync
Synchronisierung von zusätzlichen Attributen (für empower® Docs/empower® Mails)

1.2 Konfiguration

Okta Einrichtung

Um Okta mit empower® zu integrieren und Benutzer und Gruppen zu synchronisieren, müssen zwei Anwendungen in Okta konfiguriert werden. Die Anwendung empower wird für die Benutzeranmeldung verwendet. Es handelt sich dabei um eine Standard OpenID Connect Webanwendung. Die Anwendung empower Directory Sync wird verwendet, um Benutzer und Gruppen mit der empower® Datenbank zu synchronisieren.

Verwenden der PowerShell-Skriptdatei

Diese Anwendungen können zwar manuell eingerichtet werden, wir empfehlen jedoch die Verwendung der mitgelieferten PowerShell-Datei (register_empower_in_okta.ps1). Insbesondere die Directory Sync-Anwendung kann nicht vollständig über die Web-UI eingerichtet werden, da ein JSON Web Key Set generiert werden muss. Darüber hinaus wird bei Verwendung des PowerShell-Skripts eine Einstellungsdatei generiert, die dann in den empower® Backend Installer importiert werden kann, um das Backend automatisch für die Verwendung mit Okta zu konfigurieren. Da die PowerShell-Skriptdatei die beiden Anwendungen erstellen muss, benötigt sie die entsprechenden Berechtigungen in Okta. Dies ist nur mit einem Okta-API-Schlüssel möglich, der von einem Konto mit ausreichenden Berechtigungen zum Erstellen und Ändern von Anwendungen erstellt wurde. Der API-Schlüssel wird von der Skriptdatei nur zum Einrichten der Anwendungen verwendet. Er wird nicht gespeichert und kann danach sofort wieder gelöscht werden. Die Skriptdatei kann natürlich überprüft werden, um sicherzustellen, dass keine anderen als die unten beschriebenen Operationen durchgeführt werden. Um ein Token zu erstellen, wählen Sie in der Okta-Admin-Benutzeroberfläche Security API. Wechseln Sie dann auf die Registerkarte Token und klicken Sie auf Token erstellen.

1.3 Installationsanleitung

1. Entpacken Sie den den Okta-Registrator
2. Starten Sie PowerShell in dem entpacktem Ordner.
3. Führen Sie das Skript register_empower_in_okta.ps1 aus.
4. Geben Sie die Okta-Domäne an, die im Profil in Okta oben rechts zu finden ist und in PowerShell kopiert werden muss
5. Geben Sie den API-Token an, der eventuell in Okta erstellt werden muss unter
   Sicherheit -> API -> Token -> kopieren und diesen in PowerShell zur Bestätigung einfügen
   

6. Wenn Gruppen synchronisiert werden sollen, bestätigen Sie in PowerShell mit Y und geben Sie den öffentlichen Hostnamen an, der auf dem Backend-Server im folgenden Verzeichnis zu finden ist: %ProgramData%\empower\backend\empower\root\ShareSettings.json unter dem Abschnitt PublicEndpointHost.
   Wenn keine Gruppen synchronisiert werden sollen, bestätigen Sie in der PowerShell mit N. In diesem Fall werden nur die in Okta für die Anwendung definierten Benutzer synchronisiert.

   Benutzer werden in Okta wie folgt definiert:
   Verzeichnis -> Personen -> Wählen Sie die Person aus, die zu den Anwendungen hinzugefügt werden soll.
   
   Ordnen Sie die Anwendung der Person zu
   

7. Die empower_okta_configuration Datei wird in dem Ausführungsordner generiert.
8. Stellen Sie sicher, dass die Read-only Administrator-Berechtigung der empower Directory Sync App gewährt wird.
   
9. Als nächstes starten Sie den empower® Backend Installer, der von unserem Support zur Verfügung gestellt wurde, indem Sie die BackendSetup.exe auf dem empower® Backend per Doppelklick ausführen und Okta unter dem Punkt directory auswählen. 
   
   
10. Unter dem Import Button muss die Datei, empower_okta_configuration aus dem Ausführungsordner selektiert werden, damit alle Felder automatisch ausgefüllt werden. 
    
11. Zum Abschluss klicken Sie einfach mit Weiter durch den Backend-Installer, bis die Services neu starten. 
12. Stellen Sie sicher, dass Sie die Datei empower_okta_configuration sicher speichern und ebenfalls dem empower® Support bereitstellen.