Integração de Single Sign-On (SSO) do Adobe Commerce Okta OAuth

Visão geral

Este guia explica como configurar o Single Sign-On (SSO) entre o Adobe Commerce e o Okta usando os protocolos OAuth 2.0 e OpenID Connect. Ao integrar o Okta como provedor de identidade, os usuários podem fazer login com segurança na loja Adobe Commerce usando suas credenciais organizacionais existentes. Isso elimina a necessidade de detalhes de login separados e simplifica a autenticação do usuário. A integração oferece suporte a recursos essenciais de SSO, como mapeamento de atributos e mapeamento de funções, permitindo que os administradores gerenciem o acesso e as permissões dos usuários de forma eficaz. Ela também ajuda a aprimorar a segurança, garantindo que apenas usuários autenticados possam acessar a loja.
Ao final deste guia, você terá uma configuração de SSO totalmente funcional, permitindo que os usuários façam login no Adobe Commerce sem problemas usando suas credenciais do Okta.

Passos da instalação

• Usando o Composer
• Instalação manual

• comprar o miniOrange Adobe Commerce OAuth Single Sign-On (SSO) Extensão do Adobe Commerce Marketplace.
• Vá para Meu perfil -> Minhas compras
• Certifique-se de que está usando as chaves de acesso corretas (Meu Perfil - Chaves de Acesso)
• Cole as chaves de acesso no seu arquivo auth.json dentro do seu projeto
• Use o comando abaixo para adicionar a extensão ao seu projeto.

"compositor requer {nome_do_módulo}:{versão}"

• Você pode ver o nome do módulo e a lista de versões no seletor abaixo do nome do módulo de extensão.
• Execute os seguintes comandos no prompt de comando para habilitar a extensão.

php bin / magento setup: atualização

• Faça o download do miniOrange Adobe Commerce OAuth Single Sign-On (SSO) extensão.
• Descompacte todo o conteúdo do zip dentro do diretório MiniOrange/IDPSaml.

{Diretório raiz} app código MiniLaranja OAuth

• Execute os seguintes comandos no prompt de comando para habilitar a extensão

php bin / magento setup: atualização

Etapas de configuração

1. Configure a extensão miniOrange SSO.

• Na extensão miniOrange Adobe Commerce SSO, navegue até a guia Aplicativo e selecione OAuth/Openide clique em Octa aplicação.

• Copie o URL de retorno de chamada da extensão. Você precisará disso para Octa configuração.

2. Configurar o Okta como provedor OAuth

• Primeiro de tudo, vá para https://www.okta.com/login e faça login na sua conta Okta.
• Vou ao Painel de administração do Okta. Vamos para Aplicações -> Aplicações.

• Você verá a seguinte tela. Clique em Criar integração de aplicativo botão.

• Selecione o método de login como OIDC - Conexão OpenID opção e selecione o tipo de aplicação como aplicação web, clique em Seguinte botão.

• Você será redirecionado para a página de detalhes do aplicativo. Digite Integração de aplicativos nome e URIs de redirecionamento de loginVocê encontrará essa informação na aba 'Provedor OAuth' do miniOrange Adobe Commerce SSO (OAuth/OIDC), na seção URL de redirecionamento/retorno de chamada campo.

• Role para baixo e você verá o Atribuições seção. Escolha uma opção de acesso controlado e desmarcar a opção Habilitar acesso imediato com o Modo de Corretor de Federação. Clique em Botão Salvar.

• Agora você obterá o Credenciais do cliente e Domínio Okta. Copie essas credenciais em Miniorange Adobe Commerce SSO (OAuth/OIDC) Configuração de extensão nos campos correspondentes.

2.1 Atribuir uma integração de aplicativo a um usuário

• Acesse Guia Aplicativos e clique no seu aplicativo.

• Selecione os Atribuições aba.

• Clique Atribuir e selecione Atribuir a pessoas.
• Se você deseja atribuir o aplicativo a vários usuários ao mesmo tempo, selecione Atribuir a grupos [Se um aplicativo for atribuído a um grupo, ele será atribuído a todas as pessoas desse grupo]

• Clique Atribuir ao lado de um nome de usuário.

• Clique Salvar e voltar.

• Clique Pronto .

2.2 Atributos de perfil para o token id

• No painel de administração do Okta, navegue até Segurança -> API.

• Selecione seu aplicativo SSO e clique em editar ícone.

• Acesse reivindicações guia e selecione o ID opção de token.

• clique em Adicionar reivindicação botão.

• Dê um Nome para sua reivindicação/atributo e selecione token de identificação no menu suspenso do tipo de token. Agora, insira o valor usuário.$atributo no Valor campo com base no atributo que você deseja receber. Mantenha as outras configurações como padrão e clique em Criar botão.

• Siga os mesmos passos para todos os atributos que deseja visualizar. Você terá uma lista semelhante à abaixo.

• Você poderá ver os atributos no Configuração de Teste saída da seguinte forma.

Você configurou com sucesso Okta Adobe Commerce - Autenticação Única (SSO) Ao usar o Okta como provedor OAuth, você permite que os usuários façam login no seu site Adobe Commerce Okta com segurança usando suas credenciais. Login Okta credenciais.

3. Configure o Adobe Commerce como cliente OAuth

• Agora, entre no Nome do provedor OAuth, ID do cliente, Segredo do cliente, Objetivo e pontos finais fornecidos.
• Por favor, consulte o Pontos finais tabela fornecida abaixo para autorizar Autenticação única (SSO) com ambiente de locatário único Okta para o seu site Adobe Commerce.

Escopo:	código aberto
Autorizar ponto final:	https://login.microsoftonline.com/<ID do inquilino>/oauth2/v2.0/autorizar
Ponto final do token de acesso:	https://login.microsoftonline.com/<ID do inquilino>/oauth2/v2.0/token
Obter informações do usuário Endpoint:	https://login.windows.net/<ID do inquilino>/openid/userinfo
URL de redirecionamento personalizado após logout:[opcional]	https://login.microsoftonline.com/<ID do inquilino>/oauth2/logout?post_logout_redirect_uri=

• Por favor, consulte o Escopo e pontos finais tabela fornecida abaixo para autorizar Autenticação única (SSO) com qualquer ambiente de locatário Okta para o seu site Adobe Commerce.

Escopo:	código aberto
Autorizar ponto final:	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Ponto final do token de acesso:	https://login.microsoftonline.com/common/oauth2/v2.0/token
Obter informações do usuário Endpoint:	https://login.windows.net/common/openid/userinfo
URL de redirecionamento personalizado após logout:[opcional]	https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=<your URL>

• Clique no Economize para salvar as configurações.
• Clique no Configuração de Teste botão.

• Você verá todos os valores retornados pelo seu Provedor OAuth (Okta) para o Adobe Commerce em uma tabela. Se você não vir valores para Nome, Sobrenome, E-mail ou Nome de usuário, faça as configurações necessárias no seu provedor OAuth para retornar essas informações.

4. Configurações Multissite (*Disponível nas versões Enterprise)

• Encontre seu aplicativo Okta e clique Editar no Menu Acções.

• Clique em Configuração da Loja do menu à esquerda.
• De acordo com o relatório Configuração da LojaSelecione o site onde deseja ativar o SSO e marque a opção Ativar SSO para este site.

• Exibir botão SSO na página de login: Exibe o botão SSO na página de login do cliente do site selecionado.
• Criar usuários automaticamente: Você tem a opção de criar usuários de clientes automaticamente durante o processo de SSO, caso eles ainda não existam. Marcar a caixa de seleção correspondente ativa esse recurso.
• Funcionalidade de redirecionamento automático: Redireciona automaticamente os usuários para a página de login do provedor OAuth, seja a partir da página de login do Adobe Commerce ou de qualquer página do site.

• Acesse a página de login do cliente e você verá o botão SSO no seu frontend. Clique no botão e teste o SSO.

• Você foi conectado com sucesso ao Adobe Commerce.

5. SSO de administrador

• Ativar SSO para administradores: Exibe o botão SSO na página de login do administrador.
• Texto do botão SSO de administrador: Define o rótulo exibido no botão SSO na página de login do administrador (por exemplo, Login via Okta).
• Criar usuários administradores automaticamente: Cria automaticamente um usuário administrador no Adobe Commerce quando ele faz login via SSO pela primeira vez.
• Redirecionamento automático a partir do painel de administração: Redireciona automaticamente os usuários administradores para a página de login do provedor OAuth a partir da página de login do administrador.
• URL de acesso alternativo: Um URL de acesso alternativo permite que você faça login no seu painel de administração usando as credenciais padrão de administrador caso seu acesso seja bloqueado.

• Acesse a página de login do administrador e você verá o botão SSO. Clique no botão para iniciar o SSO como administrador.

• Após efetuar login com sucesso no Adobe Commerce como administrador, você será redirecionado para o painel de administração do Adobe Commerce.

6. Configurações de SSO sem interface gráfica *Este é um recurso Premium.

• Habilitar para clientes: Esta opção permite ativar o SSO sem interface gráfica para clientes.
• URL de SSO do cliente: Este URL é usado para iniciar o SSO (Single Sign-On) do cliente a partir de aplicações headless. Adicione este URL de SSO à sua aplicação headless.
  • Formato de exemplo: https://<your-domain>/mosso/actions/SendSSORequest?relayState={Store_URL}/headless_store_url/{Headless_URL}&app_name=Okta AD
  • {Store_URL}: Insira o URL da sua loja Adobe Commerce.
  • {Headless_URL}: Insira a URL da sua aplicação headless para onde o token do cliente deve ser enviado.
  • Após o SSO bem-sucedido, um token do cliente é enviado para o URL headless.
    Por exemplo: {Headless_URL}?customer_token=...
• Token OAuth:Ative esta opção para enviar o token JWT do provedor OAuth (Okta) juntamente com o token do cliente.
• Validade do Token do Cliente: Você pode definir o tempo de expiração (em minutos) para o token do cliente.
• Lista de URLs permitidas para o frontend: Aqui, você pode adicionar URLs que estão autorizadas a receber o token do cliente. O token do cliente será enviado apenas para as URLs que estiverem na lista de permissões.

• Habilitar para administradores: Assim como para os clientes, essa opção ativa o SSO sem interface gráfica para administradores.
• URL de SSO do administrador: Este URL inicia o SSO administrativo a partir de aplicações sem interface gráfica.
• Validade do token de administrador: Defina o tempo de expiração (em minutos) para o token de administrador.
• Lista de URLs permitidas para o frontend: Os tokens de administrador são enviados apenas para os URLs da lista de permissões aqui. Você deve garantir que qualquer URL que receba um token de administrador esteja listado.

7. Atributo / Mapeamento Personalizado (Opcional). *Este é um recurso Premium.

• Vou ao Mapeamento de Atributos seção para configurar o Mapeamento de Atributos do Cliente.
• Permitir Mapeamento de atributos do cliente e selecione checkbox a opção de Atualizar atributos do cliente.

• Você verá campos como E-mail, Nome e Sobrenome Em Mapeamento de Atributos do Cliente.
• Mapeie esses campos selecionando as opções apropriadas no menu suspenso.
• Se precisar adicionar mais atributos, clique em + Adicionar atributos do cliente botão e selecione o atributo apropriado em suspensa.

• De acordo com o relatório Atributo do cliente Na seção, habilite o Mapeamento de Atributos de Endereço e selecione o checkbox para atualizar Atributos de endereço do cliente.

• Você verá campos como Rua e número, Código Postal, Cidade, Estadoe outros sob Mapeamento de endereços de clientes.
• Mapeie esses campos selecionando as opções apropriadas no menu suspenso.
• Se precisar adicionar atributos de endereço adicionais, clique em + Adicionar atributos de endereço Clique no botão e selecione o atributo apropriado no menu suspenso.

• De acordo com o relatório Mapeamento de atributos administrativos seção, habilitar Mapeamento de atributos administrativos e selecione o checkbox atualizar Atributo de administrador.

• Você verá campos como E-mail, Nome de Utilizador Nome e Sobrenome Em Mapeamento de Atributos Administrativos.
• Mapeie esses campos selecionando as opções apropriadas no menu suspenso.
• Se precisar adicionar mais atributos, clique em + Adicionar atributos de administrador botão e selecione o atributo apropriado em suspensa.

• De acordo com o relatório Mapeamento B2B Na seção, habilite o Mapeamento de Empresas B2B e selecione a opção. checkbox atualizar Atributo da empresa B2B.

• Atributo da empresa: Este é o campo do seu Provedor de Identidade (IdP) que contém o nome da empresa ou o ID do usuário.
• Empresa padrão: Caso nenhuma empresa correspondente seja encontrada nos dados do IdP, o usuário será atribuído a esta empresa padrão.
• Insira os valores da Empresa do Provedor de Identidade correspondentes à Empresa do cliente do Adobe Commerce, conforme necessário.
• Exemplo: Se o valor do atributo da empresa recebido do Provedor de Identidade estiver mapeado para miniOrange ou newCompany no Adobe Commerce, os usuários que fizerem login via SSO serão automaticamente atribuídos à respectiva empresa. Por exemplo, se o valor do atributo da empresa do IdP estiver mapeado para a empresa miniOrange no Adobe Commerce, o usuário será mapeado para a empresa miniOrange.

8. Mapeamento de Grupos/Funções (Opcional). *Este é um recurso Premium.

• O Adobe Commerce utiliza o conceito de Funções, projetado para dar ao proprietário do site a capacidade de controlar o que os usuários podem ou não fazer dentro do site. O mapeamento de funções ajuda você a atribuir funções específicas a usuários de um determinado grupo em seu provedor OAuth.
• Selecione no menu suspenso o atributo do seu provedor de identidade que contém informações de grupo/função para usuários administradores e clientes.

• Nas configurações de Mapeamento de Grupos de Clientes, o administrador da loja pode definir qual grupo de clientes do Adobe Commerce deve ser atribuído com base nas informações do grupo recebidas do Provedor de Identidade (IdP) durante o Single Sign-On (SSO).
• Ative a caixa de seleção “Atualizar grupo de front-end no SSO” se desejar que o Adobe Commerce atualize o grupo de clientes sempre que um usuário fizer login via SSO.
• Use a lista suspensa Grupo Padrão para selecionar os Grupos do Adobe Commerce que devem ser atribuídos a um usuário quando nenhuma informação de grupo for retornada pelo Provedor de Identidade ou quando o grupo recebido não corresponder a nenhum mapeamento configurado.

• Insira os valores do grupo do provedor de identidade nos grupos de clientes do Adobe Commerce correspondentes, conforme necessário.
• Os usuários pertencentes a um grupo específico no Provedor de Identidade serão automaticamente atribuídos ao grupo correspondente do Adobe Commerce durante o SSO.
• Exemplo: Se o valor do grupo do Provedor de Identidade estiver mapeado para o grupo Geral no Adobe Commerce, qualquer usuário com esse grupo no IdP será atribuído ao grupo de clientes Geral após o SSO.

• Ative a caixa de seleção “Atualizar funções de back-end no SSO” se desejar que o Adobe Commerce atualize as funções de administrador sempre que um usuário fizer login via SSO.
• Use a lista suspensa Grupo Padrão para selecionar a função do Adobe Commerce que deve ser atribuída a um usuário quando nenhuma informação de grupo for retornada pelo Provedor de Identidade ou quando o grupo recebido não corresponder a nenhum mapeamento configurado.

• Insira os valores do grupo do provedor de identidade nas funções de administrador do Adobe Commerce correspondentes, conforme necessário.
• Os usuários pertencentes a um grupo específico no Provedor de Identidade serão automaticamente atribuídos ao grupo correspondente do Adobe Commerce durante o SSO.
• Exemplo: Se o valor do grupo do Provedor de Identidade estiver mapeado para o grupo Geral no Adobe Commerce, qualquer usuário com esse grupo no IdP receberá as funções de Administrador Geral após o SSO.

Recursos adicionais

• Soluções de segurança para Adobe Commerce
• O que é o login único (SSO)?
• SSO do Azure AD | Login de Logon Único (SSO) do Azure
• Plugin Magento OAuth Single Sign On (SSO).

Contato

Entre em contato conosco em magentosupport@xecurify.comNossa equipe ajudará você a configurar a extensão Adobe Commerce SSO (OAuth/OIDC). Ajudaremos você a selecionar a solução/plano mais adequado às suas necessidades.