Het Carerix Identity & Access Management platform biedt mogelijkheden om een Single Sign-on te realiseren op basis van verschillende identiteitsproviders. In dit artikel vind je een stappenplan voor het opzetten van een identity provider op basis van OpenID in combinatie met Identity-as-a-service (IDaaS) platform OKTA.
Instellen van een OpenID Connect Applicatie in OKTA en een Identity Provider in Carerix
Carerix en OKTA moeten parallel aan elkaar worden geconfigureerd. Zorg ervoor dat je beheerdersrechten hebt voor zowel Carerix als OKTA.
➕ 1. Voeg een OpenID Connect Applicatie toe in OKTA
Om een Single Sign-on op basis van OpenID en OKTA te realiseren dient er allereerst een OpenID Connect Applicatie in OKTA te worden opgezet.
⚙️ 2. Configuratie van de OpenID Connect Application
Om de Connect Applicatie in OKTA just te configureren voer je een applicatienaam en de Login redirect URI in.
De Applicatienaam is de naam die zal worden gebruikt in de OKTA omgeving.
De Redirect URI is een URL van Carerix die een kleine aanpassing vergt voordat je hem in OKTA kunt registreren. De redirect URI ziet er als volgt uit:
https://id.carerix.io/auth/realms/{CARERIX_TENANT_NAME_LOWERCASE}/broker/{ALIAS_TO_BE_USED_IN_IDP_CREATION}/endpoint
De gedeelten tussen de {haakjes/accolades} moeten worden aangepast aan je systeem en Identity Provider setup.
CARERIX_TENANT_NAME_LOWERCASE: dit moet het eerste gedeelte van je Carerix applicatienaam zijn in kleine letters. bijvoorbeeld: als klant.carerix.net is je Carerix applicatienaam, dan zet je 'klant' in the redirect uri. Let op: alles in kleine letters!
ALIAS_TO_BE_USED_IN_IDP_CREATION: dit is de alias die je later ook in de Carerix Identity Provider setup moet gebruiken. We raden aan om 'okta' te gebruiken. Echter, je bent vrij om elke willekeurige waarde te kiezen, zo lang het maar identiek is in OKTA en Carerix.
In het kort: als je Carerix applicatienaam is klant.carerix.net en de alias die wilt gebruiken is okta de redirect URI die je in de OKTA OpenID Connect Application gaat gebruiken is:
https://id.carerix.io/auth/realms/klant/broker/okta/endpoint
✅ Je kunt nu opslaan en de OpenID Connect Applicatie wordt opgezet.
🔐3. OpenID Connect Applicatie Client ID & Client secret
Om Carerix gebruik te laten maken van de OKTA OpenID Connect Applicatie dienen we in Carerix later het juiste ClientID en Client Secret vast te leggen. Het Client ID & Secret zijn te vinden in OKTA in de 'General' tab van het hoofdscherm van je Connect Applicatie. Kopieer de ClientID and Client Secret om deze te gebruiken in de Carerix Identity Provider setup.
📝 4. Genereer het OKTA OpenID metadatabestand
Nu kunnen we het metadatabestand genereren dat we nodig hebben voor de configuratie van de Identity Provider in Carerix. Om dit te doen ga je naar de volgende URL:
https://{OKTA_DOMAIN_NAME}/.well-known/openid-configuration
Vervang {OKTA_DOMAIN_NAME} met je OKTA applicatienaam en klik op enter. Je krijgt nu zoiets als dit te zien:
✅ Sla dit stuk tekst op als .json bestand op je apparaat en geef het een herkenbare naam. Bijvoorbeeld: 'carerix_okta' of iets soortgelijks.
➕ 5. Voeg een OpenID Identity Provider toe in Carerix
Om je OKTA OpenID Connect Applicatie als een Identity Provider in Carerix te gebruiken moeten we deze toevoegen in het Identiteitsbeheermenu dat je vind in het linker hoofdmenu onder het kopje 'Onderhoud'.
Import - Upload hier het metadata .json bestand zoals gegenereerd in stap 4
Alias - Vul de alias in zoals je die hebt gekozen in stap 2 bij het instellen van de redirect URI. Deze moeten identiek zijn. Let op: de alias kan niet meer worden gewijzigd nadat je de Identity Provider in Carerix hebt gecreëerd, want dat zou betekenen dat de redirect URI ook verandert. Op een later moment toch een andere alias? Pas dit dan aan in OKTA en zet een nieuwe Identity Provider op in Carerix.
Actief - deze instelling bepaalt of de extra knop om in te loggen actief en dus zichtbaar op het Carerix loginscherm.
Weergavenaam - deze instelling bepaalt de naam die de extra knop op het inlogscherm krijgt. Je kunt dit op ieder gewenst moment wijzigen.
Automatisch omleiden - deze instelling bepaalt of bezoekers van klant.carerix.net automatisch door worden gestuurd naar OKTA (JA) of niet (NEE). Let op: we adviseren om deze optie op NEE te laten staan totdat je succesvol hebt kunnen inloggen met je OKTA account. Zo voorkom je dat je jezelf 'buitensluit'. Je kunt automatisch omleiden op elk gewenst moment in- of uitschakelen.
Client id - vul hier het clientID in zoals gegenereerd in stap 3 tijdens het opzetten van OKTA OpenID Connect Applicatie.
Client secret - vul hier het client secret zoals gegenereerd in stap 3 tijdens het opzetten van OKTA OpenID Connect Applicatie. Let op: wanneer je kopiëren/plakken gebruikt: zorg er dan voor dat je niet per ongeluk een extra spatie mee kopieert. Dat zou een foutieve client secret opleveren met als gevolg een niet werkende Identity provider.
✅ Na het invullen van minimaal de verplichte velden, klik je op 'bewaren'. De identity provider is nu toegevoegd aan Carerix.
Open nu je zojuist gemaakte Identity Provider in Carerix. Merk op dat de redirect URI nu zichtbaar is. Controleer of deze gelijk is aan de redirect URI die je in je OKTA OpenID Connect Applicatie hebt vastgelegd. Indien ja, ben je bijna klaar met de configuratie.
📛 6. Gebruikersnamen aanpassen in Carerix
Om succesvol gebruik te kunnen maken van Single Sign-on op basis van OKTA OpenID, is het noodzakelijk dat alle gebruikersnamen in Carerix gelijk zijn aan het emailadres van de gebruikers in OKTA.
⚠️ Op dit moment is de openID profile email de enige scope die ondersteund wordt door Carerix.
👥 7. Voeg gebruikers toe aan de OpenID Connect Applicatie in Okta
Binnen de OKTA omgeving dienen OKTA-gebruikers die moeten kunnen inloggen in Carerix tenslotte ook nog toegevoegd te worden aan de OpenID Connect Applicatie die door Carerix gebruikt zal worden. Dit doe je op de 'Assignments' tab. Indien je OKTA-gebruiker hier niet is toegevoegd zal deze niet in Carerix in kunnen loggen.
