Integración de Adobe Commerce Okta OAuth con inicio de sesión único (SSO)

Vista General

Esta guía explica cómo configurar el inicio de sesión único (SSO) entre Adobe Commerce y Okta mediante los protocolos OAuth 2.0 y OpenID Connect. Al integrar Okta como proveedor de identidad, los usuarios pueden iniciar sesión de forma segura en la tienda de Adobe Commerce con sus credenciales organizacionales existentes. Esto elimina la necesidad de credenciales de inicio de sesión independientes y simplifica la autenticación de usuarios. La integración admite funciones esenciales de inicio de sesión único (SSO), como la asignación de atributos y roles, lo que permite a los administradores gestionar eficazmente el acceso y los permisos de los usuarios. Además, contribuye a mejorar la seguridad al garantizar que solo los usuarios autenticados puedan acceder a la tienda.
Al finalizar esta guía, dispondrá de una configuración de inicio de sesión único (SSO) totalmente funcional, que permitirá a los usuarios iniciar sesión sin problemas en Adobe Commerce utilizando sus credenciales de Okta.

Pasos de la instalación

• Usando el compositor
• Instalación manual

• Compra el miniOrange Adobe Commerce OAuth Inicio de sesión único (SSO) Extensión de Adobe Commerce Marketplace.
• Ir a Mi perfil -> Mis compras
• Asegúrese de estar utilizando las claves de acceso correctas (Mi perfil - Claves de acceso)
• Pegue las claves de acceso en su archivo auth.json dentro de su proyecto
• Utilice el siguiente comando para agregar la extensión a su proyecto.

"el compositor requiere {nombre_módulo}:{versión}"

• Puede ver el nombre del módulo y la lista de versiones en el selector debajo del nombre del módulo de extensión.
• Ejecute los siguientes comandos en el símbolo del sistema para habilitar la extensión.

Configuración de php bin / magento: actualización

• Descargue nuestra miniOrange Adobe Commerce OAuth Inicio de sesión único (SSO) extensión.
• Descomprima todo el contenido del zip dentro del directorio MiniOrange/IDPSaml.

{Directorio raíz} applicación código mininaranja OAuth

• Ejecute los siguientes comandos en el símbolo del sistema para habilitar la extensión

Configuración de php bin / magento: actualización

Pasos de configuración

1. Configurar la extensión SSO de miniOrange

• En la extensión miniOrange Adobe Commerce SSO, navegue hasta la pestaña Aplicación, seleccione OAuth/Openid, y haga clic en Okta .

• Copia el URL de devolución de llamada de la extensión. Lo necesitarás para Okta configuración.

2. Configurar Okta como proveedor de OAuth.

• En primer lugar, ve a https://www.okta.com/login e inicie sesión en su cuenta de Okta.
• Vaya a la Panel de administración de Okta. Ir Aplicaciones -> Aplicaciones.

• Obtendrá la siguiente pantalla. Haga clic en Crear integración de aplicaciones .

• Seleccione el método de inicio de sesión como OIDC - Conexión OpenID opción y seleccione Tipo de aplicación como aplicación web, hacer clic en Siguiente .

• Serás redirigido a la página de detalles de la aplicación. Ingresar Integración de la aplicación nombre y URI de redireccionamiento de inicio de sesión. lo obtendrás de la pestaña 'Proveedor de OAuth' de miniOrange Adobe Commerce SSO (OAuth/OIDC) en la URL de redireccionamiento/devolución de llamada .

• Desplácese hacia abajo y verá la Asignaciones Sección. Elija una opción de acceso controlado y desmarcar la opción Habilitar acceso inmediato con el modo Federation Broker. Haga clic en En el botón Guardar.

• Ahora obtendrás el Credenciales de cliente y Dominio Okta. Copia estas credenciales en Inicio de sesión único (SSO) de Miniorange Adobe Commerce (OAuth/OIDC) configuración de extensión en los campos correspondientes.

2.1 Asignar una integración de aplicación a un usuario

• Vaya al Pestaña de aplicaciones y haga clic en su aplicación.

• Seleccione el elemento Asignaciones .

• Haga clic en Asignar y seleccione Asignar a personas.
• Si desea asignar la aplicación a varios usuarios al mismo tiempo, seleccione Asignar a grupos [Si una aplicación se asigna a un grupo, la aplicación se asignará a todas las personas de ese grupo]

• Haga clic en Asignar junto a un nombre de usuario.

• Haga clic en Guardar y regresar.

• Haga clic en Terminado.

2.2 Atributos de perfil para el token id

• En su panel de administración de Okta, navegue hasta Seguridad -> API.

• Seleccione su aplicación SSO y haga clic en el edición .

• Vaya al reclamaciones y seleccione la ID opción de ficha.

• hacer clic en Agregar reclamo .

• Dar un Nombre a su reclamo/atributo y seleccione Token de identificación del menú desplegable de tipo de token. Ahora, ingrese el valor usuario.$atributo en el Valor campo basado en el atributo que desea recibir. Mantenga el resto de las configuraciones predeterminadas y haga clic en Crear .

• Sigue los mismos pasos para todos los atributos que quieras ver. Obtendrás una lista similar a la que se muestra a continuación.

• Podrás ver los atributos en el Configuración de prueba salida de la siguiente manera.

Se ha configurado correctamente Okta Adobe Commerce - Inicio de sesión único (SSO) utilizando Okta como proveedor de OAuth, lo que permite a los usuarios iniciar sesión en su sitio de Adobe Commerce Okta Login de forma segura con su Okta iniciar sesión cartas credenciales.

3. Configurar Adobe Commerce como cliente OAuth.

• Ahora, ingrese el Nombre del proveedor de OAuth, ID de cliente, Secreto del cliente, <b></b><b></b> y puntos finales proporcionados.
• Por favor, consulte el Endpoints tabla proporcionada a continuación para autorizar Inicio de sesión único (SSO) con entorno de inquilino único de Okta a tu sitio de Adobe Commerce.

Alcance:	abierto
Autorizar punto final:	https://login.microsoftonline.com/<ID de inquilino>/oauth2/v2.0/autorizar
Punto final del token de acceso:	https://login.microsoftonline.com/<ID de inquilino>/oauth2/v2.0/token
Obtener punto final de información del usuario:	https://login.windows.net/<ID de inquilino>/openid/información de usuario
URL de redireccionamiento personalizada después de cerrar sesión:[Opcional]	https://login.microsoftonline.com/<ID de inquilino>/oauth2/cerrar sesión?post_logout_redirect_uri=

• Por favor, consulte el Alcance y puntos finales tabla proporcionada a continuación para autorizar Inicio de sesión único (SSO) con cualquier entorno de inquilino de Okta a tu sitio de Adobe Commerce.

Alcance:	abierto
Autorizar punto final:	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Punto final del token de acceso:	https://login.microsoftonline.com/common/oauth2/v2.0/token
Obtener punto final de información del usuario:	https://login.windows.net/common/openid/userinfo
URL de redireccionamiento personalizada después de cerrar sesión:[Opcional]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Haga clic en el elemento Guardar para guardar la configuración
• Haga clic en el elemento Configuración de prueba .

• Verá todos los valores devueltos por su Proveedor OAuth (Okta) a Adobe Commerce en una tabla. Si no ve ningún valor para Nombre, Apellido, Correo electrónico o Nombre de usuario, realice los ajustes necesarios en su proveedor de OAuth para que devuelva esta información.

4. Configuración multisitio (*Disponible en las versiones Enterprise)

• Encuentra tu aplicación Okta y haz clic Editar en el Menú de acciones.

• Haga clic en Configuración de la tienda del menú menú de la izquierda.
• En la sección Configuración de la tienda, seleccione el sitio web donde desea activar SSO y marque la opción Habilitar SSO para este sitio.

• Mostrar el botón SSO en la página de inicio de sesión: Muestra el botón SSO en la página de inicio de sesión del cliente del sitio web seleccionado.
• Crear usuarios automáticamente: Tiene la opción de crear automáticamente usuarios de clientes durante el proceso de inicio de sesión único (SSO) si aún no existen. Al marcar la casilla correspondiente, se activa esta función.
• Función de redirección automática: Redirige automáticamente a los usuarios a la página de inicio de sesión del proveedor de OAuth, ya sea desde la página de inicio de sesión de Adobe Commerce o desde cualquier página del sitio web.

• Vaya a la página de inicio de sesión del cliente y verá el botón de inicio de sesión único (SSO) en su interfaz. Haga clic en él y pruebe el SSO.

• Habrás iniciado sesión correctamente en Adobe Commerce.

5. SSO de administrador

• Habilitar SSO para administradores: Muestra el botón SSO en la página de inicio de sesión del administrador.
• Texto del botón SSO de administrador: Establece la etiqueta que se muestra en el botón SSO en la página de inicio de sesión del administrador (por ejemplo, Iniciar sesión a través de Okta).
• Crear automáticamente usuarios administradores: Crea automáticamente un usuario administrador en Adobe Commerce cuando inicia sesión por primera vez mediante SSO.
• Redirección automática desde el administrador: Redirige automáticamente a los usuarios administradores a la página de inicio de sesión del proveedor OAuth desde la página de inicio de sesión del administrador.
• URL de puerta trasera: Una URL de puerta trasera le permite iniciar sesión en su panel de administración usando credenciales de administrador predeterminadas en caso de que quede bloqueado.

• Visita tu página de inicio de sesión de administrador y verás el botón de inicio de sesión único (SSO). Haz clic en él para iniciar sesión como administrador.

• Tras iniciar sesión correctamente en Adobe Commerce como administrador, serás redirigido al panel de control de Adobe Commerce.

6. Configuración de SSO sin interfaz gráfica *Esta es una función Premium.

• Habilitar para clientes: Esta opción le permite activar SSO sin cabeza para los clientes.
• URL de inicio de sesión único (SSO) del cliente: Esta URL se utiliza para iniciar el SSO del cliente desde aplicaciones headless. Añada esta URL de SSO a su aplicación headless.
  • Formato de ejemplo: https://<your-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Okta AD
  • {URL de la tienda}: Introduce la URL de tu tienda Adobe Commerce.
  • {URL sin encabezado}: Ingrese la URL de su aplicación headless donde debe enviarse el token del cliente.
  • Después de un SSO exitoso, se envía un token de cliente a la URL sin interfaz gráfica.
    Por ejemplo: {URL_sin_cabezal}?token_cliente=...
• Token OAuth:Habilite esta opción para enviar el token JWT del proveedor OAuth (Okta) junto con el token del cliente.
• Vencimiento del token del cliente: Puede establecer el tiempo de vencimiento (en minutos) para el token del cliente.
• URL de frontend de lista blanca: Aquí puedes agregar las URL que pueden recibir el token de cliente. Este solo se enviará a las URL permitidas.

• Habilitar para administradores: Al igual que para los clientes, esta opción activa el SSO sin cabeza para los administradores.
• URL de inicio de sesión único (SSO) del administrador: Esta URL inicia el SSO de administrador desde aplicaciones sin cabeza.
• Caducidad del token de administrador: Establezca el tiempo de expiración (en minutos) para el token de administrador.
• URL de frontend de lista blanca: Los tokens de administrador solo se envían a las URL permitidas. Debe asegurarse de que cualquier URL que reciba un token de administrador esté en la lista.

7. Atributo/Mapeo personalizado (opcional). *Esta es una función premium.

• Vaya a la Asignación de atributos Sección para configurar el mapeo de atributos del cliente.
• Activar Mapeo de atributos del cliente y seleccione casilla de verificación la opción de Actualizar atributos del cliente.

• Verás campos como Correo electrónico, Nombre y Apellido en Mapeo de atributos del cliente.
• Asigne estos campos seleccionando las opciones apropiadas en el menú desplegable.
• Si necesita agregar más atributos, haga clic en el + Agregar atributos del cliente botón y seleccione el atributo apropiado de la desplegable.

• En la sección Atributo del cliente sección, habilite la asignación de atributos de dirección y seleccione la opción casilla de verificación para actualizar Atributos de la dirección del cliente.

• Verás campos como Dirección, Código Postal, Ciudad, Estado, y otros bajo Mapeo de direcciones de clientes.
• Asigne estos campos seleccionando las opciones apropiadas en el menú desplegable.
• Si necesita agregar atributos de dirección adicionales, haga clic en el + Agregar atributos de dirección botón y elija el atributo apropiado del menú desplegable.

• En la sección Asignación de atributos de administración sección, habilitar Asignación de atributos de administración y seleccione el casilla de verificación actualizar Atributo de administrador.

• Verás campos como Correo electrónico, Nombre de usuario Nombre y Apellido en Asignación de atributos de administración.
• Asigne estos campos seleccionando las opciones apropiadas en el menú desplegable.
• Si necesita agregar más atributos, haga clic en el + Agregar atributos de administrador botón y seleccione el atributo apropiado de la desplegable.

• En la sección Mapeo B2B En la sección, habilite la asignación de empresas B2B y seleccione la casilla de verificación actualizar Atributo de la empresa B2B.

• Atributo de la empresa: Este es el campo de su proveedor de identidad (IdP) que contiene el nombre de la empresa o el ID del usuario.
• Empresa predeterminada: Si no se encuentra ninguna empresa coincidente en los datos del IdP, al usuario se le asignará esta empresa predeterminada.
• Introduzca los valores de la empresa proveedora de identidades junto a la empresa cliente de Adobe Commerce correspondiente, según sea necesario.
• Ejemplo: Si el valor del atributo de empresa recibido del proveedor de identidad se asigna a miniOrange o newCompany en Adobe Commerce, los usuarios que inicien sesión mediante SSO se asignarán automáticamente a la empresa correspondiente. Por ejemplo, si el valor del atributo de empresa del IdP se asigna a la empresa miniOrange en Adobe Commerce, el usuario se asignará a dicha empresa.

8. Asignación de grupos/roles (opcional). *Esta es una función premium.

• Adobe Commerce utiliza el concepto de Roles, diseñado para que el propietario del sitio pueda controlar las acciones que los usuarios pueden realizar dentro del sitio. La asignación de roles permite asignar roles específicos a los usuarios de un grupo determinado en el proveedor de OAuth.
• Seleccione el atributo de su proveedor de identidad que contiene información de grupo/rol para usuarios administradores y clientes en el menú desplegable.

• En la configuración de Asignación de grupos de clientes, el administrador de la tienda puede definir qué grupo de clientes de Adobe Commerce se debe asignar en función de la información del grupo recibida del proveedor de identidad (IdP) durante el inicio de sesión único (SSO).
• Active la casilla de verificación "Actualizar grupo de frontend en SSO" si desea que Adobe Commerce actualice el grupo de clientes cada vez que un usuario inicie sesión mediante SSO.
• Utilice el menú desplegable Grupo predeterminado para seleccionar los grupos de Adobe Commerce que se deben asignar a un usuario cuando el proveedor de identidades no devuelva información de grupo o cuando el grupo recibido no coincida con ninguna asignación configurada.

• Introduzca los valores del grupo Proveedor de identidades junto a los grupos de clientes de Adobe Commerce correspondientes, según sea necesario.
• Los usuarios que pertenezcan a un grupo específico en el proveedor de identidades serán asignados automáticamente al grupo de Adobe Commerce correspondiente durante el inicio de sesión único (SSO).
• Ejemplo: Si el valor del grupo del proveedor de identidades está asignado al grupo General en Adobe Commerce, a cualquier usuario con ese grupo en el IdP se le asignará el grupo de clientes General al iniciar sesión única (SSO).

• Active la casilla de verificación "Actualizar roles de backend en SSO" si desea que Adobe Commerce actualice los roles de administrador cada vez que un usuario inicie sesión mediante SSO.
• Utilice el menú desplegable Grupo predeterminado para seleccionar el rol de Adobe Commerce que se debe asignar a un usuario cuando el proveedor de identidades no devuelva información de grupo o cuando el grupo recibido no coincida con ninguna asignación configurada.

• Introduzca los valores del grupo Proveedor de identidades junto a los roles de administrador de Adobe Commerce correspondientes, según sea necesario.
• Los usuarios que pertenezcan a un grupo específico en el proveedor de identidades serán asignados automáticamente al grupo de Adobe Commerce correspondiente durante el inicio de sesión único (SSO).
• Ejemplo: Si el valor del grupo del proveedor de identidades está asignado al grupo General en Adobe Commerce, a cualquier usuario con ese grupo en el IdP se le asignarán los roles de administrador general al iniciar sesión únicamente (SSO).

Más Recursos

• Soluciones de seguridad de Adobe Commerce
• ¿Qué es el inicio de sesión único (SSO)?
• SSO de Azure AD | Inicio de sesión único (SSO) de Azure
• Plugin de inicio de sesión único (SSO) OAuth para Magento.

Ponte en contacto

Comuníquese con nosotros en magentosupport@xecurify.comNuestro equipo le ayudará a configurar la extensión Adobe Commerce SSO (OAuth/OIDC). Le asesoraremos para que seleccione la solución o el plan que mejor se adapte a sus necesidades.