Intégration de l'authentification unique (SSO) OAuth d'Adobe Commerce Okta

Marché

Ce guide explique comment configurer l'authentification unique (SSO) entre Adobe Commerce et Okta à l'aide des protocoles OAuth 2.0 et OpenID Connect. En intégrant Okta comme fournisseur d'identité, les utilisateurs peuvent se connecter en toute sécurité à la boutique Adobe Commerce avec leurs identifiants professionnels existants. Cela évite d'avoir à saisir des identifiants supplémentaires et simplifie l'authentification des utilisateurs. L'intégration prend en charge les fonctionnalités SSO essentielles telles que le mappage des attributs et des rôles, permettant aux administrateurs de gérer efficacement les accès et les autorisations des utilisateurs. Elle contribue également à renforcer la sécurité en garantissant que seuls les utilisateurs authentifiés puissent accéder à la boutique.
À la fin de ce guide, vous disposerez d'une configuration SSO entièrement fonctionnelle, permettant aux utilisateurs de se connecter facilement à Adobe Commerce à l'aide de leurs identifiants Okta.

Procédure d'installation

• Utiliser le compositeur
• Installation manuelle

• Achetez l' miniOrange Adobe Commerce OAuth Authentification unique (SSO) extension de la place de marché Adobe Commerce.
• Allez dans Mon profil -> Mes achats
• Veuillez vous assurer que vous utilisez les bonnes clés d'accès (Mon profil - Clés d'accès)
• Collez les clés d'accès dans votre fichier auth.json dans votre projet
• Utilisez la commande ci-dessous pour ajouter l'extension à votre projet.

"le compositeur nécessite {module_name} :{version}"

• Vous pouvez voir le nom du module et la liste des versions dans le sélecteur sous le nom du module d'extension.
• Exécutez les commandes suivantes sur l’invite de commande pour activer l’extension.

php bin / magento setup: mise à jour

• Téléchargez le miniOrange Adobe Commerce OAuth Authentification unique (SSO) extension.
• Décompressez tout le contenu du zip dans le répertoire MiniOrange/IDPSaml.

{Répertoire racine} appli code Mini Orange OAuth

• Exécutez les commandes suivantes sur l’invite de commande pour activer l’extension

php bin / magento setup: mise à jour

Étapes de configuration

1. Configurer l'extension SSO miniOrange

• Dans l'extension miniOrange Adobe Commerce SSO, accédez à l'onglet Application, sélectionnez OAuth/OpenID, et cliquez sur Okta .

• Copiez le URL de rappel de l'extension. Vous en aurez besoin pour Okta configuration.

2. Configurer Okta comme fournisseur OAuth

• Tout d'abord, allez à https://www.okta.com/login et connectez-vous à votre compte Okta.
• Rendez-vous dans la section Panneau d'administration Okta. Aller à Applications -> Applications.

• Vous obtiendrez l’écran suivant. Cliquer sur Créer une intégration d'application .

• Sélectionnez la méthode de connexion comme OIDC-OpenID Connect et sélectionnez Type d'application comme application Web, cliquez sur Suivant .

• Vous serez redirigé vers la page de détails de l'application. Entrer Intégration de l'application nom et URI de redirection de connexionVous trouverez ces informations dans l'onglet « Fournisseur OAuth » de miniOrange Adobe Commerce SSO (OAuth/OIDC). URL de redirection/rappel champ.

• Faites défiler vers le bas et vous verrez le Devoirs section. Choisissez une option d'accès contrôlé et décocher l’option Activer l’accès immédiat avec le mode Broker de fédération. Cliquer sur Sur le bouton Enregistrer.

• Maintenant, vous obtiendrez le Identifiants du client et Domaine Okta. Copiez ces informations d'identification dans Miniorange Adobe Commerce SSO (OAuth/OIDC) Configuration de l'extension sur les champs correspondants.

2.1 Attribuer une intégration d'application à un utilisateur

• Allez dans Onglet Applications et cliquez sur votre candidature.

• Sélectionnez le Devoirs languette.

• Cliquez à nouveau Attribuer et sélectionnez Attribuer à des personnes.
• Si vous souhaitez attribuer l'application à plusieurs utilisateurs en même temps, sélectionnez Attribuer à des groupes [Si une application est attribuée à un groupe, l'application sera attribuée à toutes les personnes de ce groupe]

• Cliquez à nouveau Attribuer à côté d'un nom d'utilisateur.

• Cliquez à nouveau Enregistrer et revenir en arrière.

• Cliquez à nouveau OK.

2.2 Attributs de profil pour le jeton d'identification

• Dans votre tableau de bord d'administration Okta, accédez à Sécurité -> API.

• Sélectionnez votre application SSO et cliquez sur le éditer icône.

• Allez dans prétentions onglet et sélectionnez le ID option de jeton.

• cliquez sur Ajouter une revendication .

• Donner une Nom à votre réclamation/attribut et sélectionnez Jeton d'identification dans la liste déroulante du type de jeton. Maintenant, entrez la valeur utilisateur.$attribut dans le Valeur champ en fonction de l'attribut que vous souhaitez recevoir. Conservez les autres paramètres par défaut et cliquez sur Créer .

• Suivez les mêmes étapes pour tous les attributs que vous souhaitez voir. Vous obtiendrez une liste similaire à celle ci-dessous.

• Vous pourrez voir les attributs dans le Configuration du test sortie comme suit.

Vous avez configuré avec succès Okta Adobe Commerce - Authentification unique (SSO) En utilisant Okta comme fournisseur OAuth, vous permettez aux utilisateurs de se connecter en toute sécurité à votre site Adobe Commerce Okta Login. Connexion Okta lettres de créance.

3. Configurer Adobe Commerce en tant que client OAuth

• Maintenant, entrez le Nom du fournisseur OAuth, identité du client, Secret client, Domaine et fourni des points de terminaison.
• Veuillez vous référer à la Endpoints tableau ci-dessous pour autoriser Authentification unique (SSO) avec l'environnement mono-locataire Okta vers votre site Adobe Commerce.

Portée:	ouvert
Autoriser le point de terminaison :	https://login.microsoftonline.com/<identifiant du locataire>/oauth2/v2.0/authorize
Point de terminaison du jeton d’accès :	https://login.microsoftonline.com/<identifiant du locataire>/oauth2/v2.0/token
Obtenir le point de terminaison des informations utilisateur :	https://login.windows.net/<identifiant du locataire>/openid/infoutilisateur
URL de redirection personnalisée après la déconnexion :[optionnel]	https://login.microsoftonline.com/<identifiant du locataire>/oauth2/logout?post_logout_redirect_uri=

• Veuillez vous référer à la Portée et points finaux tableau ci-dessous pour autoriser Authentification unique (SSO) avec n'importe quel environnement locataire Okta vers votre site Adobe Commerce.

Portée:	ouvert
Autoriser le point de terminaison :	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Point de terminaison du jeton d’accès :	https://login.microsoftonline.com/common/oauth2/v2.0/token
Obtenir le point de terminaison des informations utilisateur :	https://login.windows.net/common/openid/userinfo
URL de redirection personnalisée après la déconnexion :[optionnel]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Cliquez sur le Enregistrer bouton pour enregistrer les paramètres.
• Cliquez sur le Configuration du test .

• Vous verrez toutes les valeurs renvoyées par votre Fournisseur OAuth (Okta) Dans Adobe Commerce, les données doivent être affichées dans un tableau. Si les champs Prénom, Nom, Adresse e-mail ou Nom d'utilisateur sont manquants, veuillez configurer votre fournisseur OAuth pour qu'il renvoie ces informations.

4. Paramètres multisites (*Disponible dans les versions Entreprise)

• Trouvez votre application Okta et cliquez Modifier dans le Menu Actions.

• Cliquez sur Configuration du magasin du menu de gauche.
• Dans l' Configuration du magasinSélectionnez le site web sur lequel vous souhaitez activer l'authentification unique (SSO), puis cochez l'option « Activer l'authentification unique pour ce site ».

• Afficher le bouton SSO sur la page de connexion : Affiche le bouton SSO sur la page de connexion client du site web sélectionné.
• Création automatique des utilisateurs : Vous pouvez créer automatiquement les comptes utilisateurs clients lors du processus d'authentification unique (SSO) s'ils n'existent pas déjà. Cochez la case correspondante pour activer cette fonctionnalité.
• Fonctionnalité de redirection automatique : Redirige automatiquement les utilisateurs vers la page de connexion du fournisseur OAuth, que ce soit depuis la page de connexion Adobe Commerce ou depuis n'importe quelle page du site web.

• Rendez-vous sur la page de connexion client ; vous y trouverez le bouton SSO. Cliquez dessus et testez l’authentification unique.

• Vous serez connecté avec succès à Adobe Commerce.

5. Authentification unique pour l'administrateur

• Activer l'authentification unique pour les administrateurs : Affiche le bouton SSO sur la page de connexion administrateur.
• Texte du bouton SSO administrateur : Définit le libellé affiché sur le bouton SSO de la page de connexion administrateur (par exemple, Connexion via Okta).
• Création automatique des utilisateurs administrateurs : Crée automatiquement un compte administrateur dans Adobe Commerce lors de leur première connexion via l'authentification unique (SSO).
• Redirection automatique depuis l'administrateur : Redirige automatiquement les utilisateurs administrateurs vers la page de connexion du fournisseur OAuth depuis la page de connexion administrateur.
• URL de la porte dérobée : Une URL de secours vous permet de vous connecter à votre tableau de bord d'administration en utilisant les identifiants d'administrateur par défaut au cas où vous seriez bloqué.

• Rendez-vous sur votre page de connexion administrateur ; vous y trouverez le bouton SSO. Cliquez dessus pour activer l’authentification unique (SSO) en tant qu’administrateur.

• Après vous être connecté avec succès à Adobe Commerce en tant qu'administrateur, vous serez redirigé vers le tableau de bord d'administration d'Adobe Commerce.

6. Paramètres SSO sans interface graphique *Cette fonctionnalité est Premium.

• Activer pour les clients : Cette option vous permet d'activer l'authentification unique (SSO) sans interface graphique pour vos clients.
• URL d'authentification unique client : Cette URL permet d'initialiser l'authentification unique (SSO) client depuis les applications sans interface graphique. Ajoutez cette URL SSO à votre application sans interface graphique.
  • Exemple de format : https://<your-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Okta AD
  • {URL_du_magasin} : Saisissez l'URL de votre boutique Adobe Commerce.
  • {Headless_URL}: Saisissez l'URL de votre application sans interface graphique où le jeton client doit être envoyé.
  • Après une authentification unique réussie, un jeton client est envoyé à l'URL sans interface graphique.
    Par exemple : {Headless_URL}?customer_token=...
• Jeton OAuth :Activez cette option pour envoyer le jeton JWT du fournisseur OAuth (Okta) avec le jeton client.
• Expiration du jeton client : Vous pouvez définir la durée d'expiration (en minutes) du jeton client.
• Liste blanche des URL du frontend : Ici, vous pouvez ajouter les URL autorisées à recevoir le jeton client. Ce jeton ne sera envoyé qu'aux URL figurant sur cette liste blanche.

• Activer pour les administrateurs : Comme pour les clients, cette option active l'authentification unique sans interface graphique pour les administrateurs.
• URL d'authentification unique (SSO) pour l'administrateur : Cette URL lance l'authentification unique (SSO) administrateur depuis des applications sans interface graphique.
• Expiration du jeton d'administrateur : Définissez la durée d'expiration (en minutes) du jeton d'administrateur.
• Liste blanche des URL du frontend : Les jetons d'administrateur ne sont envoyés qu'aux URL autorisées. Vous devez vous assurer que toute URL recevant un jeton d'administrateur figure sur cette liste.

7. Attribut / Mappage personnalisé (facultatif). *Fonctionnalité Premium.

• Rendez-vous dans la section Cartographie d'attributs Section permettant de configurer le mappage des attributs client.
• Permettre Cartographie des attributs clients et sélectionnez case à cocher l'option de Mise à jour des attributs client.

• Vous verrez des champs comme Email, Prénom et Nom de famille sous « Mappage des attributs client ».
• Associez ces champs en sélectionnant les options appropriées dans la liste déroulante.
• Si vous devez ajouter d'autres attributs, cliquez sur + Ajouter des attributs client bouton et sélectionnez l'attribut approprié dans le déroulante.

• Dans l' Attribut client Dans la section, activez le mappage des attributs d'adresse et sélectionnez le case à cocher mettre à jour Attributs de l'adresse du client.

• Vous verrez des champs tels que Adresse postale, Code postal, Ville, Étatet d'autres sous Cartographie des adresses clients.
• Associez ces champs en sélectionnant les options appropriées dans la liste déroulante.
• Si vous devez ajouter des attributs d'adresse supplémentaires, cliquez sur + Ajouter des attributs d'adresse Cliquez sur le bouton et choisissez l'attribut approprié dans la liste déroulante.

• Dans l' Mappage des attributs d'administration section, activer Mappage des attributs d'administration et sélectionnez le case à cocher mettre à jour Attribut d'administration.

• Vous verrez des champs comme Email, Nom d'utilisateur ( Ou : Nom d'épouse ) Prénom et Nom de famille sous Mappage des attributs d'administration.
• Associez ces champs en sélectionnant les options appropriées dans la liste déroulante.
• Si vous devez ajouter d'autres attributs, cliquez sur + Ajouter des attributs d'administrateur bouton et sélectionnez l'attribut approprié dans le déroulante.

• Dans l' Cartographie B2B Dans cette section, activez le mappage des entreprises B2B et sélectionnez-le. case à cocher mettre à jour Attribut de l'entreprise B2B.

• Attribut de l'entreprise : Il s'agit du champ de votre fournisseur d'identité (IdP) qui contient le nom de l'entreprise ou l'identifiant de l'utilisateur.
• Société par défaut : Si aucune entreprise correspondante n'est trouvée dans les données du fournisseur d'identité, l'utilisateur sera affecté à cette entreprise par défaut.
• Saisissez les valeurs de l'entreprise fournisseur d'identité en regard de l'entreprise cliente Adobe Commerce correspondante, le cas échéant.
• Exemple : Si la valeur de l'attribut « société » reçue du fournisseur d'identité correspond à « miniOrange » ou « newCompany » dans Adobe Commerce, les utilisateurs se connectant via l'authentification unique (SSO) seront automatiquement rattachés à la société correspondante. Par exemple, si la valeur de l'attribut « société » du fournisseur d'identité correspond à « miniOrange » dans Adobe Commerce, l'utilisateur sera rattaché à cette société.

8. Association des groupes/rôles (facultatif). *Fonctionnalité Premium.

• Adobe Commerce utilise le concept de rôles, permettant au propriétaire du site de contrôler les actions autorisées et interdites aux utilisateurs. Le mappage des rôles vous aide à attribuer des rôles spécifiques aux utilisateurs d'un groupe donné dans votre fournisseur OAuth.
• Sélectionnez dans la liste déroulante l'attribut de votre fournisseur d'identité qui contient les informations de groupe/rôle pour les utilisateurs administrateurs et clients.

• Dans les paramètres de mappage des groupes de clients, l'administrateur du magasin peut définir quel groupe de clients Adobe Commerce doit être attribué en fonction des informations de groupe reçues du fournisseur d'identité (IdP) lors de l'authentification unique (SSO).
• Cochez la case « Mettre à jour le groupe frontal lors de l’authentification unique » si vous souhaitez qu’Adobe Commerce mette à jour le groupe de clients à chaque fois qu’un utilisateur se connecte via l’authentification unique.
• Utilisez la liste déroulante Groupe par défaut pour sélectionner les groupes Adobe Commerce qui doivent être attribués à un utilisateur lorsqu'aucune information de groupe n'est renvoyée par le fournisseur d'identité ou lorsque le groupe reçu ne correspond à aucun mappage configuré.

• Saisissez les valeurs du groupe de fournisseur d'identité en regard des groupes de clients Adobe Commerce correspondants, le cas échéant.
• Les utilisateurs appartenant à un groupe spécifique du fournisseur d'identité se verront automatiquement attribuer le groupe Adobe Commerce correspondant lors de l'authentification unique (SSO).
• Exemple : Si la valeur du groupe provenant du fournisseur d'identité est mappée au groupe Général dans Adobe Commerce, tout utilisateur appartenant à ce groupe dans le fournisseur d'identité se verra attribuer le groupe client Général lors de l'authentification unique (SSO).

• Cochez la case « Mettre à jour les rôles du backend lors de l’authentification unique » si vous souhaitez qu’Adobe Commerce mette à jour les rôles d’administrateur à chaque fois qu’un utilisateur se connecte via l’authentification unique.
• Utilisez la liste déroulante Groupe par défaut pour sélectionner le rôle Adobe Commerce à attribuer à un utilisateur lorsqu'aucune information de groupe n'est renvoyée par le fournisseur d'identité ou lorsque le groupe reçu ne correspond à aucun mappage configuré.

• Saisissez les valeurs du groupe de fournisseur d'identité en fonction des rôles d'administrateur Adobe Commerce correspondants, le cas échéant.
• Les utilisateurs appartenant à un groupe spécifique du fournisseur d'identité se verront automatiquement attribuer le groupe Adobe Commerce correspondant lors de l'authentification unique (SSO).
• Exemple : Si la valeur du groupe du fournisseur d'identité est mappée au groupe Général dans Adobe Commerce, tout utilisateur appartenant à ce groupe dans le fournisseur d'identité se verra attribuer les rôles d'administrateur général lors de l'authentification unique (SSO).

Ressources supplémentaires

• Solutions de sécurité Adobe Commerce
• Qu'est-ce que l'authentification unique (SSO) ?
• Azure AD SSO | Connexion à Azure Single Sign-On (SSO)
• Plugin d'authentification unique (SSO) OAuth pour Magento.

Contactez-nous

Veuillez nous contacter à magentosupport@xecurify.comNotre équipe vous accompagnera dans la configuration de l'extension Adobe Commerce SSO (OAuth/OIDC) et vous aidera à choisir la solution ou le forfait le mieux adapté à vos besoins.