Adobe Commerce Okta OAuth Single Sign-On (SSO)-Integration

Übersicht

Diese Anleitung erklärt die Konfiguration von Single Sign-On (SSO) zwischen Adobe Commerce und Okta mithilfe der Protokolle OAuth 2.0 und OpenID Connect. Durch die Integration von Okta als Identitätsanbieter können sich Benutzer sicher mit ihren bestehenden Unternehmensanmeldedaten im Adobe Commerce-Shop anmelden. Dadurch entfällt die Notwendigkeit separater Anmeldedaten und die Benutzerauthentifizierung wird vereinfacht. Die Integration unterstützt wichtige SSO-Funktionen wie Attribut- und Rollenzuordnung und ermöglicht Administratoren so eine effektive Verwaltung von Benutzerzugriffen und -berechtigungen. Sie trägt außerdem zur Erhöhung der Sicherheit bei, indem sichergestellt wird, dass nur authentifizierte Benutzer auf den Shop zugreifen können.
Am Ende dieser Anleitung verfügen Sie über eine voll funktionsfähige SSO-Konfiguration, die es Benutzern ermöglicht, sich reibungslos mit ihren Okta-Zugangsdaten bei Adobe Commerce anzumelden.

Installationsschritte

• Verwenden von Composer
• Manuelle Installation

• Kaufen Sie die miniOrange Adobe Commerce OAuth Single Sign-On (SSO) Erweiterung vom Adobe Commerce Marketplace.
• Gehen Sie zu Mein Profil -> Meine Einkäufe
• Bitte stellen Sie sicher, dass Sie die richtigen Zugriffsschlüssel verwenden (Mein Profil – Zugriffsschlüssel).
• Fügen Sie die Zugriffsschlüssel in Ihre auth.json-Datei in Ihr Projekt ein
• Verwenden Sie den folgenden Befehl, um die Erweiterung zu Ihrem Projekt hinzuzufügen.

„Komponist benötigt {module_name}:{version}“

• Sie können den Modulnamen und die Liste der Versionen in der Auswahl unterhalb des Namens des Erweiterungsmoduls sehen.
• Führen Sie die folgenden Befehle an der Eingabeaufforderung aus, um die Erweiterung zu aktivieren.

PHP Bin / Magento Setup: Upgrade

• Laden Sie miniOrange Adobe Commerce OAuth Single Sign-On (SSO) Erweiterung.
• Entpacken Sie den gesamten Inhalt der ZIP-Datei im Verzeichnis MiniOrange/IDPSaml.

{Stammverzeichnis} App Code MiniOrange OAuth

• Führen Sie die folgenden Befehle an der Eingabeaufforderung aus, um die Erweiterung zu aktivieren

PHP Bin / Magento Setup: Upgrade

Konfigurationsschritte

1. MiniOrange SSO-Erweiterung konfigurieren

• Navigieren Sie in der miniOrange Adobe Commerce SSO-Erweiterung zur Registerkarte „Anwendung“ und wählen Sie Folgendes aus: OAuth/OpenIDund klicken Sie auf Okta Anwendung.

• Kopieren Sie die Rückruf-URL aus der Erweiterung. Sie benötigen dies für Okta Konfiguration.

2. Okta als OAuth-Anbieter einrichten

• Gehen Sie zunächst zu https://www.okta.com/login und melden Sie sich bei Ihrem Okta-Konto an.
• Gehen Sie zur Okta Admin-Panel. Gehe zu Anwendungen -> Anwendungen.

• Sie erhalten den folgenden Bildschirm. Klicke auf App-Integration erstellen .

• Wählen Sie die Anmeldemethode aus OIDC – OpenID Connect Option und wählen Sie Anwendungstyp als Webanwendung, Klicken Sie auf Weiter .

• Sie werden zur App-Detailseite weitergeleitet. Eingeben App-Integration Name und Anmeldeumleitungs-URIsSie erhalten diese Information von miniOrange Adobe Commerce SSO (OAuth/OIDC) auf der Registerkarte „OAuth-Anbieter“ unter dem Weiterleitungs-/Rückruf-URL Feld.

• Scrollen Sie nach unten und Sie werden das sehen Assignments Wählen Sie eine kontrollierte Zugriffsoption und deaktiviere die Option Sofortigen Zugriff mit Federation Broker-Modus aktivieren. Klicke auf Schaltfläche Speichern.

• Jetzt erhalten Sie die Client-Anmeldeinformationen als auch Okta-Domäne. Kopieren Sie diese Anmeldeinformationen in Miniorange Adobe Commerce SSO (OAuth/OIDC) Erweiterungskonfiguration für entsprechende Felder.

2.1 Weisen Sie einem Benutzer eine App-Integration zu

• Zurück Nach Registerkarte "Anwendungen" und klicken Sie auf Ihre Bewerbung.

• Wähle aus Assignments Tab.

• Klicken Sie auf Weisen und wählen Sie Personen zuweisen.
• Wenn Sie die Anwendung mehreren Benutzern gleichzeitig zuweisen möchten, wählen Sie Zu Gruppen zuweisen [Wenn eine App einer Gruppe zugewiesen wird, wird die App allen Personen in dieser Gruppe zugewiesen.]

• Klicken Sie auf Weisen neben einem Benutzernamen.

• Klicken Sie auf Speichern und zurückgehen.

• Klicken Sie auf Erledigt .

2.2 Profilattribute für das ID-Token

• Navigieren Sie in Ihrem Okta-Admin-Dashboard zu Sicherheit -> API.

• Wählen Sie Ihre SSO-Anwendung aus und klicken Sie auf bearbeiten klicken.

• Zurück Nach aus aller Welt und wählen Sie die ID Token-Option.

• Klicken Sie auf Anspruch hinzufügen .

• geben Sie ein Name zu Ihrem Anspruch/Attribut hinzufügen und auswählen ID-Token aus der Dropdown-Liste Token-Typ. Geben Sie nun den Wert ein user.$attribute in England, Wert Feld basierend auf dem Attribut, das Sie erhalten möchten. Behalten Sie die anderen Einstellungen als Standard bei und klicken Sie auf Erschaffung .

• Befolgen Sie die gleichen Schritte für alle Attribute, die Sie sehen möchten. Sie erhalten eine Liste ähnlich der folgenden.

• Sie können die Attribute im sehen Testkonfiguration wie folgt ausgeben.

Sie haben erfolgreich eingerichtet Okta Adobe Commerce – Single Sign-On (SSO) Durch die Verwendung von Okta als OAuth-Anbieter können sich Benutzer sicher mit ihren Zugangsdaten bei Ihrer Adobe Commerce Okta Login-Website anmelden. Okta-Login Referenzen.

3. Adobe Commerce als OAuth-Client einrichten

• Geben Sie nun die Name des OAuth-Anbieters, Kunden-ID, Kundengeheimnis, Geltungsbereich und bereitgestellte Endpunkte.
• Bitte beachten Sie die Endpunkte Tabelle unten zur Autorisierung Single Sign-On (SSO) mit Okta-Einzelmandantenumgebung zu Ihrer Adobe Commerce-Website.

Umfang:	openid
Endpunkt autorisieren:	https://login.microsoftonline.com/<Mieter-ID>/oauth2/v2.0/autorisieren
Zugriffstoken-Endpunkt:	https://login.microsoftonline.com/<Mieter-ID>/oauth2/v2.0/token
Endpunkt zum Abrufen von Benutzerinformationen:	https://login.windows.net/<Mieter-ID>/openid/userinfo
Benutzerdefinierte Weiterleitungs-URL nach dem Abmelden:[Optional]	https://login.microsoftonline.com/<Mieter-ID>/oauth2/logout?post_logout_redirect_uri=

• Bitte beachten Sie die Umfang und Endpunkte Tabelle unten zur Autorisierung Single Sign-On (SSO) mit jeder Okta-Mandantenumgebung zu Ihrer Adobe Commerce-Website.

Umfang:	openid
Endpunkt autorisieren:	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Zugriffstoken-Endpunkt:	https://login.microsoftonline.com/common/oauth2/v2.0/token
Endpunkt zum Abrufen von Benutzerinformationen:	https://login.windows.net/common/openid/userinfo
Benutzerdefinierte Weiterleitungs-URL nach dem Abmelden:[Optional]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Klicken Sie auf Gespeichert Schaltfläche, um die Einstellungen zu speichern.
• Klicken Sie auf Testkonfiguration .

• Sie werden alle von Ihrem System zurückgegebenen Werte sehen. OAuth-Anbieter (Okta) Die Daten werden in Adobe Commerce in einer Tabelle angezeigt. Falls die Felder „Vorname“, „Nachname“, „E-Mail-Adresse“ oder „Benutzername“ nicht angezeigt werden, passen Sie die Einstellungen Ihres OAuth-Anbieters an, um diese Informationen zurückzugeben.

4. Einstellungen für mehrere Standorte (*Verfügbar in den Enterprise-Versionen)

• Suchen Sie Ihre Okta-Anwendung und klicken Sie Bearbeiten in England, Aktionsmenü.

• Klicken Sie auf Konfiguration speichern von der Menü auf der linken Seite.
• Im Konfiguration speichernWählen Sie die Website aus, auf der Sie SSO aktivieren möchten, und aktivieren Sie die Option „SSO für diese Website aktivieren“.

• SSO-Schaltfläche auf der Anmeldeseite anzeigen: Zeigt die SSO-Schaltfläche auf der Kundenanmeldeseite der ausgewählten Website an.
• Benutzer automatisch erstellen: Sie haben die Möglichkeit, Kundenbenutzer während des SSO-Prozesses automatisch anzulegen, falls diese noch nicht existieren. Durch Aktivieren des entsprechenden Kontrollkästchens wird diese Funktion aktiviert.
• Automatische Weiterleitungsfunktion: Leitet Benutzer automatisch zur Anmeldeseite des OAuth-Anbieters weiter, entweder von der Adobe Commerce-Anmeldeseite oder von einer beliebigen Seite der Website.

• Gehen Sie zur Kundenanmeldeseite. Dort finden Sie die Schaltfläche für Single Sign-On (SSO) im Frontend. Klicken Sie darauf und testen Sie SSO.

• Sie sind nun erfolgreich bei Adobe Commerce angemeldet.

5. Admin-SSO

• SSO für Administratoren aktivieren: Zeigt die SSO-Schaltfläche auf der Admin-Anmeldeseite an.
• Text der Admin-SSO-Schaltfläche: Legt die Bezeichnung fest, die auf der SSO-Schaltfläche auf der Admin-Anmeldeseite angezeigt wird (z. B. Anmelden über Okta).
• Automatische Erstellung von Administratorbenutzern: Erstellt automatisch einen Administratorbenutzer in Adobe Commerce, wenn sich dieser zum ersten Mal über SSO anmeldet.
• Automatische Weiterleitung vom Administrator: Leitet Administratorbenutzer automatisch von der Administrator-Anmeldeseite zur OAuth-Anbieter-Anmeldeseite weiter.
• Hintertür-URL: Über eine Hintertür-URL können Sie sich im Falle einer Aussperrung mit den Standard-Administrator-Zugangsdaten in Ihr Admin-Dashboard einloggen.

• Besuchen Sie Ihre Administrator-Anmeldeseite. Dort finden Sie die Schaltfläche für Single Sign-On (SSO). Klicken Sie darauf, um SSO als Administrator zu aktivieren.

• Nach erfolgreicher Anmeldung als Administrator bei Adobe Commerce werden Sie zum Adobe Commerce Backend-Dashboard weitergeleitet.

6. Headless-SSO-Einstellungen *Dies ist eine Premium-Funktion.

• Für Kunden aktivieren: Mit dieser Option können Sie Headless SSO für Kunden aktivieren.
• Kunden-SSO-URL: Diese URL dient zur Initiierung des SSO-Prozesses für Kunden aus Headless-Anwendungen. Fügen Sie diese SSO-URL in Ihre Headless-Anwendung ein.
  • Beispielformat: https://<your-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Okta AD
  • {Store_URL}: Geben Sie Ihre Adobe Commerce-Shop-URL ein.
  • {Headless_URL}: Geben Sie die URL Ihrer Headless-Anwendung ein, an die das Kundentoken gesendet werden soll.
  • Nach erfolgreicher SSO wird ein Kundentoken an die Headless-URL gesendet.
    Beispielsweise: {Headless_URL}?customer_token=...
• OAuth-Token:Aktivieren Sie diese Option, um das JWT-Token des OAuth-Anbieters (Okta) zusammen mit dem Kundentoken zu senden.
• Ablauf des Kundentokens: Sie können die Ablaufzeit (in Minuten) für das Kundentoken festlegen.
• Frontend-URLs auf die Whitelist setzen: Hier können Sie URLs hinzufügen, die das Kundentoken empfangen dürfen. Das Kundentoken wird nur an die hier zugelassenen URLs gesendet.

• Für Administratoren aktivieren: Ähnlich wie bei Kunden aktiviert diese Option Headless SSO auch für Administratoren.
• Admin-SSO-URL: Diese URL initiiert die Administrator-SSO von Headless-Anwendungen aus.
• Ablauf des Administrator-Tokens: Legen Sie die Ablaufzeit (in Minuten) für das Administrator-Token fest.
• Frontend-URLs auf die Whitelist setzen: Administrator-Tokens werden nur an die hier aufgeführten, freigegebenen URLs gesendet. Sie müssen sicherstellen, dass jede URL, die ein Administrator-Token empfängt, auf dieser Liste steht.

7. Attribut-/Benutzerdefinierte Zuordnung (optional). *Dies ist eine Premium-Funktion.

• Gehen Sie zur Attributzuordnung Abschnitt zur Konfiguration der Kundenattributzuordnung.
• Ermöglichen Kundenattributzuordnung und wählen Sie Checkbox Die Option, Kundenattribute aktualisieren.

• Sie werden Felder wie diese sehen: E-Mail, Vorname und Nachname unter Kundenattributzuordnung.
• Ordnen Sie diese Felder zu, indem Sie die entsprechenden Optionen aus dem Dropdown-Menü auswählen.
• Falls Sie weitere Attribute hinzufügen müssen, klicken Sie auf die Schaltfläche + Kundenattribute hinzufügen Klicken Sie auf die Schaltfläche und wählen Sie das entsprechende Attribut aus der Dropdown-.

• Im Kundenattribut Abschnitt „Adressattributzuordnung aktivieren“ auswählen und die Option „Adressattributzuordnung“ auswählen Checkbox zum Aktualisieren Attribute der Kundenadresse.

• Sie werden Felder wie beispielsweise sehen Straße und Hausnummer , Postleitzahl, Stadt, Staatund andere unter Kundenadresszuordnung.
• Ordnen Sie diese Felder zu, indem Sie die entsprechenden Optionen aus dem Dropdown-Menü auswählen.
• Falls Sie weitere Adressattribute hinzufügen müssen, klicken Sie auf die Schaltfläche + Adressattribute hinzufügen Klicken Sie auf die Schaltfläche und wählen Sie das entsprechende Attribut aus dem Dropdown-Menü aus.

• Im Administrator-Attributzuordnung Abschnitt aktivieren Administrator-Attributzuordnung und wählen Sie die Checkbox aktualisieren Administratorattribut.

• Sie werden Felder wie diese sehen: E-Mail, Benutzername Vorname und Nachname unter Admin-Attributzuordnung.
• Ordnen Sie diese Felder zu, indem Sie die entsprechenden Optionen aus dem Dropdown-Menü auswählen.
• Falls Sie weitere Attribute hinzufügen müssen, klicken Sie auf die Schaltfläche + Administratorattribute hinzufügen Klicken Sie auf die Schaltfläche und wählen Sie das entsprechende Attribut aus der Dropdown-.

• Im B2B-Mapping Abschnitt „B2B-Firmenzuordnung aktivieren“ auswählen und die Option „Firmenzuordnung“ auswählen Checkbox aktualisieren B2B-Unternehmensattribut.

• Firmenattribut: Dies ist das Feld Ihres Identitätsanbieters (IdP), das den Firmennamen oder die ID des Benutzers enthält.
• Standardfirma: Wird in den IdP-Daten kein passendes Unternehmen gefunden, wird der Benutzer diesem Standardunternehmen zugeordnet.
• Geben Sie die Werte des Identitätsanbieterunternehmens nach Bedarf dem entsprechenden Adobe Commerce-Kundenunternehmen zu.
• Ejemplo: Wenn der vom Identitätsanbieter empfangene Firmenattributwert in Adobe Commerce dem Unternehmen miniOrange oder newCompany zugeordnet ist, werden Benutzer, die sich per SSO anmelden, automatisch dem jeweiligen Unternehmen zugewiesen. Wenn beispielsweise der Firmenattributwert des Identitätsanbieters in Adobe Commerce dem Unternehmen miniorange zugeordnet ist, wird der Benutzer dem Unternehmen miniorange zugeordnet.

8. Gruppen-/Rollenzuordnung (optional). *Dies ist eine Premium-Funktion.

• Adobe Commerce verwendet ein Rollenkonzept, mit dem Website-Betreiber steuern können, welche Aktionen Benutzer auf der Website ausführen dürfen und welche nicht. Die Rollenzuordnung hilft Ihnen, Benutzern bestimmter Gruppen in Ihrem OAuth-Anbieter spezifische Rollen zuzuweisen.
• Wählen Sie aus der Dropdown-Liste das Attribut Ihres Identitätsanbieters aus, das Gruppen-/Rolleninformationen sowohl für Administratoren als auch für Kundenbenutzer enthält.

• In den Einstellungen für die Kundengruppenzuordnung kann der Shop-Administrator festlegen, welche Adobe Commerce-Kundengruppe basierend auf den vom Identitätsanbieter (IdP) während des Single Sign-On (SSO) empfangenen Gruppeninformationen zugewiesen werden soll.
• Aktivieren Sie das Kontrollkästchen „Frontend-Gruppe bei SSO aktualisieren“, wenn Adobe Commerce die Kundengruppe jedes Mal aktualisieren soll, wenn sich ein Benutzer über SSO anmeldet.
• Über das Dropdown-Menü „Standardgruppe“ können Sie die Adobe Commerce-Gruppen auswählen, die einem Benutzer zugewiesen werden sollen, wenn vom Identitätsanbieter keine Gruppeninformationen zurückgegeben werden oder die empfangene Gruppe keiner konfigurierten Zuordnung entspricht.

• Geben Sie die Werte der Identitätsanbietergruppe nach Bedarf den entsprechenden Adobe Commerce-Kundengruppen zu.
• Benutzer, die einer bestimmten Gruppe im Identitätsanbieter angehören, werden während des SSO automatisch der zugeordneten Adobe Commerce-Gruppe zugewiesen.
• Ejemplo: Wenn der Gruppenwert des Identitätsanbieters der Gruppe „Allgemein“ in Adobe Commerce zugeordnet ist, wird jedem Benutzer mit dieser Gruppe im Identitätsanbieter bei der SSO die Kundengruppe „Allgemein“ zugewiesen.

• Aktivieren Sie das Kontrollkästchen „Backend-Rollen bei SSO aktualisieren“, wenn Adobe Commerce die Administratorrollen jedes Mal aktualisieren soll, wenn sich ein Benutzer über SSO anmeldet.
• Über das Dropdown-Menü „Standardgruppe“ können Sie die Adobe Commerce-Rolle auswählen, die einem Benutzer zugewiesen werden soll, wenn vom Identitätsanbieter keine Gruppeninformationen zurückgegeben werden oder die empfangene Gruppe keiner konfigurierten Zuordnung entspricht.

• Geben Sie die Werte der Identitätsanbietergruppe nach Bedarf den entsprechenden Adobe Commerce-Administratorrollen zu.
• Benutzer, die einer bestimmten Gruppe im Identitätsanbieter angehören, werden während des SSO automatisch der zugeordneten Adobe Commerce-Gruppe zugewiesen.
• Ejemplo: Wenn der Gruppenwert des Identitätsanbieters der Gruppe „Allgemein“ in Adobe Commerce zugeordnet ist, werden allen Benutzern mit dieser Gruppe im Identitätsanbieter bei der Anmeldung per SSO die allgemeinen Administratorrollen zugewiesen.

Weitere Informationen

• Adobe Commerce Sicherheitslösungen
• Was ist Single Sign-On (SSO) Login?
• Azure AD SSO | Azure Single Sign-On (SSO)-Anmeldung
• Magento OAuth Single Sign On (SSO) Plugin.

Kontakt aufnehmen

Bitte erreichen Sie uns unter magentosupport@xecurify.comUnser Team unterstützt Sie bei der Einrichtung der Adobe Commerce SSO (OAuth/OIDC)-Erweiterung. Wir helfen Ihnen, die optimale Lösung bzw. den passenden Plan für Ihre Bedürfnisse auszuwählen.