2024年12月

目錄

  1. 簡介

    • 單一登入 (SSO) 的重要性
    • SAML 2.0 的基本概念
    • Okta 與 Autodesk 整合的優勢

  2. 前置條件

    • 必備條件清單
    • 所需權限與帳號
  3. 整合步驟概覽

  4. 在 Okta 中配置應用程式

    • 新增 Autodesk 作為 SAML 應用程式
    • 配置 SAML 設定

  5. 在 Autodesk 管理員控制台中配置 SSO

    • 下載 SAML Metadata
    • 上傳至 Autodesk 管理員控制台
    • 驗證域與設定

  6. Okta 與 AD 整合配置

    • 安裝 Okta AD Agent
    • 同步 AD 使用者至 Okta
    • 配置 AD 群組對應

  7. 測試與驗證

    • 測試使用者登入流程
    • 常見錯誤與解決方法

  8. 附錄

    • 名詞解釋
    • 常見問題 (FAQ)

1. 簡介

單一登入 (SSO) 的重要性

單一登入 (SSO) 是一種身份驗證機制,允許使用者使用一次登入即可存取多個應用程式與服務。SSO 提高了使用者的便利性,減少了密碼管理的負擔,並降低了與密碼相關的安全風險。

SAML 2.0 的基本概念

SAML (Security Assertion Markup Language) 是一種基於 XML 的開放標準,允許身份提供者 (IdP) 與服務提供者 (SP) 之間進行身份驗證信息交換。透過 SAML 2.0,Okta (IdP) 可與 Autodesk (SP) 無縫整合,實現安全的身份聯合驗證。

Okta 與 Autodesk 整合的優勢

  • 提升安全性:集中管理使用者帳號與訪問權限。
  • 提高效率:減少多次登入操作,提升用戶體驗。
  • 減少 IT 管理負擔:簡化帳號管理與密碼重設流程。

2. 前置條件

在開始設定之前,請確認您已滿足以下條件:

必備條件清單

  • Okta 帳戶與管理員權限:需要 Okta 管理員角色進行配置。
  • Autodesk 管理員帳戶:需要 Autodesk 組織管理員角色。
  • 已購買的 Autodesk Construction Cloud 訂閱

所需權限與帳號

  • 網域擁有權:需要驗證您在 Autodesk 設定中的網域擁有權。
  • 能夠存取 Okta 與 Autodesk 管理控制台。

3. 整合步驟概覽

以下為 Okta 與 Autodesk 整合的主要步驟:

  1. 在 Okta 中新增 Autodesk 應用程式。
  2. 配置 SAML 2.0 參數,包括 ACS URL 與 Entity ID。
  3. 將 SAML Metadata 上傳至 Autodesk 管理控制台。
  4. 驗證網域並啟用 SSO 功能。
  5. 測試 SSO 流程,確保一切運行正常。
  6. (可選)整合 Okta 與 AD,實現更高效的使用者管理。

4. 在 Okta 中配置應用程式

4.1 新增 Autodesk 作為 SAML 應用程式

  1. 登入 Okta 管理控制台。
  2. 前往 Applications > Applications,點擊 Create App Integration
  3. 選擇 SAML 2.0 作為應用程式類型,然後點擊 Next
  4. 為應用程式命名為 "Autodesk SSO",並進入詳細配置頁面。

4.2 配置 SAML 設定

  1. Single Sign On URL (ACS URL) 中,輸入 Autodesk 提供的登錄網址。
  2. Audience URI (SP Entity ID) 中,輸入 Autodesk 的 Entity ID。

  3. 配置使用者屬性對應 (Attributes Mapping):

    • 將 Okta 的 First Name 對應至 Autodesk 的 firstName
    • 將 Okta 的 Last Name 對應至 Autodesk 的 lastName
    • 將 Okta 的 Email 對應至 Autodesk 的 email
  4. 點擊 Save 儲存設定。

5. 在 Autodesk 管理員控制台中配置 SSO

5.1 下載 SAML Metadata

  1. 在 Okta 中,點擊剛剛創建的 Autodesk 應用程式。
  2. 下載 Identity Provider Metadata 檔案。

5.2 上傳至 Autodesk 管理員控制台

  1. 登入 Autodesk 管理控制台 (https://admin.autodesk.com)。
  2. 進入 Account Settings > SSO,點擊 Add SSO Configuration
  3. 上傳剛剛下載的 SAML Metadata 檔案。
  4. 填寫所需的基本信息並儲存。

5.3 驗證域與設定

  1. Domain Verification 中,新增您的企業域名 (如 example.com)。
  2. 按照 Autodesk 提供的驗證指引,新增 TXT DNS 記錄以完成網域驗證。
  3. 驗證完成後,啟用該域的 SSO 功能。

6. Okta 與 AD 整合配置

6.1 安裝 Okta AD Agent

  1. 登入 Okta 管理控制台,前往 Directory > Directory Integrations
  2. 點擊 Add Directory,選擇 Active Directory,然後下載 Okta AD Agent。
  3. 在內部伺服器上安裝 Okta AD Agent,並輸入 Okta 的管理員憑證完成連接。
  4. 確保 Okta AD Agent 正常運行,並測試與 AD 的連線。

6.2 同步 AD 使用者至 Okta

  1. 在 Okta 中,前往 Directory > Directory Integrations,選擇已連接的 AD。
  2. 配置同步範圍,選擇需要同步的 OU(組織單位)。
  3. 啟用自動同步功能,確保 AD 的新增或刪除使用者會即時反映至 Okta。

6.3 配置 AD 群組對應

  1. 在 Okta 中,前往 Security > Authentication,設定群組對應規則。
  2. 將 AD 的群組(例如 IT 部門或管理員)映射到 Okta 的群組。
  3. 確認 Okta 群組已分配相應的 Autodesk 應用程式權限。

7. 測試與驗證

7.1 測試使用者登入流程

  1. 使用已在 Okta 中分配 Autodesk SSO 應用的測試帳號。
  2. 嘗試登入 Autodesk Construction Cloud,應自動跳轉至 Okta 進行身份驗證。
  3. 確認登入成功並正確跳轉至 Autodesk。

7.2 常見錯誤與解決方法

錯誤訊息可能原因解決方法
無法驗證身份SAML 配置錯誤檢查 ACS URL 與 Entity ID
登入後重複跳轉至 Okta 登入頁使用者未分配至應用程式確認 Okta 中已分配正確使用者
域驗證失敗DNS 記錄未正確配置或未生效檢查 DNS 記錄並重試驗證

8. 附錄

名詞解釋

  • SAML:安全斷言標記語言,用於身份聯合驗證。
  • SSO:單一登入,允許使用者一次登入即可訪問多個應用程式。
  • IdP:Identity Provider,身份提供者,例如 Okta。
  • SP:Service Provider,服務提供者,例如 Autodesk。

常見問題 (FAQ)

  1. 可以使用其他 IdP 嗎?

    • 是的,Autodesk 支援多種 IdP,只要支援 SAML 2.0。

  2. 配置後可以禁用 SSO 嗎?

    • 可以,您可以在 Autodesk 管理控制台中暫停或刪除 SSO 配置。

  3. 需要重複配置多個域嗎?

    • 是的,每個域需單獨驗證並配置。

完成上述配置後,您已成功將 Okta 與 Autodesk 整合,並實現企業級的單一登入功能!