Penyediaan pengguna Okta dan single sign-on

Menyiapkan akun Cloud Identity atau Google Workspace

Membuat pengguna untuk Okta

Agar Okta dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Okta di akun Cloud Identity atau Google Workspace.

Pengguna Okta hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Okta.

Untuk membuat OU baru, lakukan tindakan berikut:

1. Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
2. Di menu, buka Directory > Organizational units.
3. Klik Create organizational unit, lalu berikan nama dan deskripsi untuk OU:
   • Nama: Automation
   • Deskripsi: Automation users
4. Klik Create.

Buat akun pengguna untuk Okta dan tempatkan di Automation OU:

1. Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.

2. Berikan nama dan alamat email yang sesuai seperti berikut:

   • Nama Depan: Okta
   • Nama Belakang: Provisioning

   • Email utama: okta-provisioning

     Tetap gunakan domain primer untuk alamat email.

3. Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:

   • Unit organisasi: Pilih OU Automation yang Anda buat sebelumnya.
   • Sandi: Pilih Buat sandi dan masukkan sandi.
   • Minta perubahan sandi saat login berikutnya: Dinonaktifkan.

4. Klik Tambahkan pengguna baru.

5. Klik Done.

Menetapkan hak istimewa ke Okta

Agar Okta dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup di akun Cloud Identity atau Google Workspace, Anda harus menjadikan pengguna okta-provisioning sebagai admin super:

1. Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
2. Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
3. Aktifkan peran admin super.
4. Klik Simpan.

Mengonfigurasi penyediaan Okta

Sekarang Anda siap untuk menghubungkan Okta ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi Google Workspace dari katalog Okta.

Aplikasi Google Workspace dapat menangani penyediaan pengguna dan single sign-on. Gunakan aplikasi ini meskipun Anda menggunakan Cloud Identity dan hanya berencana menyiapkan single sign-on untuk Google Cloud.

Membuat aplikasi

Untuk menyiapkan aplikasi Google Workspace, lakukan langkah-langkah berikut:

1. Buka dasbor admin Okta dan login sebagai pengguna dengan hak istimewa Administrator Super.
2. Di menu, buka Applications > Applications.
3. Klik Jelajahi katalog aplikasi.
4. Telusuri Google Workspace, lalu pilih aplikasi Google Workspace.
5. Klik Tambahkan integrasi.

6. Di halaman Setelan umum, konfigurasikan hal berikut:

   • Label aplikasi: Google Cloud
   • Domain perusahaan Google Apps Anda: nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

   • Menampilkan link berikut:

     • Setel Account ke enabled.
     • Tetapkan link lain ke diaktifkan jika Anda menggunakan Google Workspace, tetapkan link lain ke dinonaktifkan jika tidak.

   • Visibilitas Aplikasi: tetapkan ke diaktifkan jika Anda menggunakan Google Workspace, dinonaktifkan jika tidak

   • Pengiriman otomatis plugin browser: tetapkan ke dinonaktifkan

7. Klik Berikutnya.

8. Di halaman Opsi login, konfigurasikan hal berikut:

   • Sign on methods: pilih SAML 2.0
   • Default Relay State: kosongkan
   • Setelan Login Lanjutan > RPID: biarkan kosong

9. Tentukan cara Anda mengisi alamat email utama untuk pengguna di Cloud Identity atau Google Workspace. Alamat email utama pengguna harus menggunakan domain utama akun Cloud Identity atau Google Workspace Anda atau salah satu domain sekundernya.

   Nama pengguna Okta

   Untuk menggunakan nama pengguna Okta pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Nama pengguna Okta
   • Perbarui nama pengguna aplikasi di: Buat dan perbarui.

   Email

   Untuk menggunakan nama pengguna Okta pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Email
   • Perbarui nama pengguna aplikasi di: Buat dan perbarui.

10. Klik Done.

Mengonfigurasi penyediaan pengguna

Di bagian ini, Anda akan mengonfigurasi Okta untuk menyediakan pengguna dan grup secara otomatis ke Google Cloud.

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.

2. Klik Configure API Integration dan konfigurasikan hal berikut:

   • Aktifkan integrasi API: tetapkan ke diaktifkan
   • Impor Grup: tetapkan ke dinonaktifkan kecuali jika Anda memiliki grup yang ada di Cloud Identity atau Google Workspace yang ingin diimpor ke Okta

3. Klik Authenticate with Google Workspace.

4. Login menggunakan pengguna okta-provisioning@DOMAIN yang Anda buat sebelumnya, dengan DOMAIN sebagai domain primer akun Cloud Identity atau Google Workspace Anda.

5. Tinjau Persyaratan Layanan dan kebijakan privasi Google. Jika Anda menyetujui persyaratan, klik Saya mengerti.

6. Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.

7. Klik Simpan.

Okta terhubung ke akun Cloud Identity atau Google Workspace Anda, tetapi penyediaan masih dinonaktifkan. Untuk mengaktifkan penyediaan, lakukan hal berikut:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.

2. Klik Edit dan konfigurasikan hal berikut:

   • Create users: tetapkan ke enabled
   • Update user attributes: tetapkan ke enabled
   • Nonaktifkan pengguna: tetapkan ke diaktifkan
   • Sinkronkan sandi: tetapkan ke dinonaktifkan

3. Atau, klik Buka editor profil untuk menyesuaikan pemetaan atribut.

   Jika menggunakan pemetaan kustom, Anda harus memetakan userName, nameGivenName, dan nameFamilyName. Semua pemetaan atribut lainnya bersifat opsional.

4. Klik Simpan.

Mengonfigurasi penetapan pengguna

Di bagian ini, Anda mengonfigurasi pengguna Okta mana yang akan disediakan ke Cloud Identity atau Google Workspace:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Assignments.
2. Klik Tetapkan > Tetapkan kepada orang atau Tetapkan > Tetapkan kepada grup.
3. Pilih pengguna atau grup, lalu klik Tetapkan.
4. Pada dialog tugas yang muncul, tetap gunakan setelan default, lalu klik Simpan dan kembali.
5. Klik Done.

Ulangi langkah-langkah di bagian ini untuk setiap pengguna atau grup yang ingin Anda sediakan. Untuk menyediakan semua pengguna ke Cloud Identity atau Google Workspace, tetapkan grup Semua orang.

Mengonfigurasi penetapan grup

Secara opsional, Anda dapat mengizinkan Okta menyediakan grup ke Cloud Identity atau Google Workspace. Daripada memilih grup satu per satu, sebaiknya konfigurasikan Okta untuk menyediakan grup berdasarkan konvensi penamaan.

Misalnya, agar Okta menyediakan semua grup yang diawali dengan google-cloud, lakukan hal berikut:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Push groups.
2. Klik Push groups > Find groups by role.

3. Di halaman Push groups by rule, konfigurasikan aturan berikut:

   • Nama aturan: nama untuk peran, misalnya Google Cloud.
   • Nama grup: dimulai dengan google-cloud

4. Klik Buat aturan.

Pemecahan masalah

Untuk memecahkan masalah penyediaan pengguna atau grup, klik Lihat log di halaman setelan untuk aplikasi Google Cloud.

Agar Okta dapat mencoba kembali upaya penyediaan pengguna yang gagal, lakukan hal berikut:

1. Buka Dasbor > Tugas.
2. Temukan tugas yang gagal dan buka detailnya.
3. Di halaman detail, klik Coba lagi yang dipilih.

Mengonfigurasi Okta untuk single sign-on

Jika Anda telah mengikuti langkah-langkah untuk mengonfigurasi penyediaan Okta, semua pengguna Okta yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace. Agar pengguna ini dapat login, konfigurasikan single sign-on:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Login.
2. Klik SAML 2.0 > Detail selengkapnya.
3. Klik Download untuk mendownload sertifikat penandatanganan.
4. Perhatikan URL Login dan URL Logout, Anda memerlukan URL ini di salah satu langkah berikut.

Setelah menyiapkan Okta untuk single sign-on, Anda dapat mengaktifkan single sign-on di akun Cloud Identity atau Google Workspace:

1. Buka Konsol Admin dan login menggunakan pengguna admin super.
2. Pada menu, klik Tampilkan lainnya lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

3. Klik Tambahkan profil SSO.

4. Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.

5. Masukkan setelan berikut:

   1. Sign-in page URL: masukkan Sign-on URL yang Anda salin dari halaman setelan Okta.
   2. URL halaman logout: masukkan URL Logout yang Anda salin dari halaman setelan Okta.
   3. URL Ubah sandi: https://ORGANIZATION.okta.com/enduser/settings dengan ORGANIZATION adalah nama organisasi Okta Anda.

6. Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.

7. Klik Save.

Perbarui setelan SSO untuk OUAutomation untuk menonaktifkan single sign-on:

1. Di bagian Manage SSO profile assignments, klik Get started.
2. Luaskan Unit Organisasi dan pilih Automation OU.
3. Ubah penetapan profil SSO dari Organization's third-party SSO profile menjadi None.
4. Klik Ganti.

Menambahkan konsol Google Cloud dan layanan Google lainnya ke dasbor aplikasi

Untuk menambahkan konsol Google Cloud dan, secara opsional, layanan Google lainnya ke dasbor aplikasi Okta pengguna, lakukan hal berikut:

1. Di dasbor admin Okta, pilih Applications > Applications.
2. Klik Jelajahi katalog aplikasi.
3. Telusuri Bookmark app dan pilih aplikasi Bookmark app.
4. Klik Tambahkan integrasi.

5. Di halaman Setelan umum, konfigurasikan hal berikut:

   • Label aplikasi: Google Cloud console
   • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, mengganti PRIMARY_DOMAIN dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

6. Klik Done.

7. Ubah logo aplikasi menjadi logo Google Cloud.

8. Buka tab Login.

9. Klik Autentikasi pengguna > Edit dan konfigurasikan hal berikut:

   • Kebijakan autentikasi: tetapkan ke Dasbor Okta

10. Klik Simpan.

11. Buka tab Penetapan dan tetapkan satu atau beberapa pengguna. Pengguna yang ditetapkan akan melihat link konsol Google Cloud di dasbor pengguna mereka.

Jika ingin, ulangi langkah-langkah di atas untuk layanan Google tambahan yang ingin Anda sertakan di dasbor pengguna. Tabel di bawah berisi URL dan logo untuk layanan Google yang umum digunakan:

Google service	URL	Logo
Konsol Google Cloud	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Google Dokumen	https://docs.google.com/a/DOMAIN
Google Spreadsheet	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Grup	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Menguji Single Sign-On

Setelah menyelesaikan konfigurasi single sign-on di Okta dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:

• Melalui daftar di dasbor pengguna Okta.
• Secara langsung dengan membuka https://console.cloud.google.com/.

Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:

1. Pilih pengguna Okta yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next.

4. Anda akan dialihkan ke Okta dan akan melihat perintah login lainnya. Masukkan alamat email pengguna Anda dan ikuti langkah-langkah untuk melakukan autentikasi.

   Setelah autentikasi berhasil, Okta akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.

5. Jika Anda menyetujui persyaratannya, klik Saya mengerti.

   Anda dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.

6. Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.

7. Klik ikon avatar di kiri atas halaman, lalu klik Sign out.

   Anda akan dialihkan ke halaman Okta yang mengonfirmasi bahwa Anda berhasil logout.

Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.