Penyediaan pengguna Okta dan single sign-on

Menyiapkan akun Cloud Identity atau Google Workspace

Membuat pengguna untuk Okta

Untuk mengizinkan Okta mengakses akun Cloud Identity atau Google Workspace, Anda harus membuat pengguna untuk Okta di akun Cloud Identity atau Google Workspace.

Pengguna Okta hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Okta.

Untuk membuat OU baru, lakukan tindakan berikut:

1. Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
2. Di menu, buka Directory > Organizational units.
3. Klik Create organizational unit, lalu berikan nama dan deskripsi untuk OU:
   • Name: Automation
   • Deskripsi: Automation users
4. Klik Create.

Buat akun pengguna untuk Okta dan tempatkan di OU Automation:

1. Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.

2. Berikan nama dan alamat email yang sesuai seperti berikut:

   • Nama Depan: Okta
   • Nama Belakang: Provisioning

   • Email utama: okta-provisioning

     Tetap gunakan domain primer untuk alamat email.

3. Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:

   • Unit organisasi: Pilih OU Automation yang Anda buat sebelumnya.
   • Sandi: Pilih Buat sandi dan masukkan sandi.
   • Minta perubahan sandi saat login berikutnya: Dinonaktifkan.

4. Klik Tambahkan pengguna baru.

5. Klik Done.

Menetapkan hak istimewa untuk Okta

Untuk mengizinkan Okta membuat, mencantumkan, serta menangguhkan pengguna dan grup di akun Cloud Identity atau Google Workspace, Anda harus menjadikan pengguna okta-provisioning sebagai admin super:

1. Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
2. Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
3. Aktifkan peran admin super.
4. Klik Simpan.

Mengonfigurasi penyediaan Okta

Sekarang Anda siap menghubungkan Okta ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi Google Workspace dari katalog Okta.

Aplikasi Google Workspace dapat menangani penyediaan pengguna dan single sign-on. Gunakan aplikasi ini meskipun Anda menggunakan Cloud Identity dan hanya berencana menyiapkan single sign-on untuk Google Cloud.

Membuat aplikasi

Untuk menyiapkan aplikasi Google Workspace, lakukan hal berikut:

1. Buka dasbor admin Okta dan login sebagai pengguna dengan hak istimewa Administrator Super.
2. Pada menu, buka Applications > Applications.
3. Klik Jelajahi katalog aplikasi.
4. Telusuri Google Workspace, lalu pilih aplikasi Google Workspace.
5. Klik Tambahkan integrasi.

6. Di halaman Setelan umum, konfigurasi hal berikut:

   • Label aplikasi: Google Cloud
   • Domain perusahaan Google Apps Anda: nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

   • Tampilkan link berikut:

     • Setel Akun ke diaktifkan.
     • Setel link lain ke diaktifkan jika Anda menggunakan Google Workspace, setel link lain ke dinonaktifkan jika tidak.

   • Visibilitas Aplikasi: disetel ke enabled jika Anda menggunakan Google Workspace, dinonaktifkan jika tidak

   • Pengiriman otomatis plugin browser: disetel ke dinonaktifkan

7. Klik Next.

8. Di halaman Sign-on options, konfigurasikan hal berikut:

   • Sign on Methods: pilih SAML 2.0
   • Default Relay State: biarkan kosong
   • Advanced Sign-on Settings > RPID: biarkan kosong

9. Tentukan cara mengisi alamat email utama untuk pengguna di Cloud Identity atau Google Workspace. Alamat email primer pengguna harus menggunakan domain primer akun Cloud Identity atau Google Workspace Anda atau salah satu domain sekundernya.

   Nama pengguna Okta

   Untuk menggunakan nama pengguna Okta milik pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Nama pengguna Okta
   • Update nama pengguna aplikasi di: Membuat dan mengupdate.

   Email

   Untuk menggunakan nama pengguna Okta milik pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Email
   • Update nama pengguna aplikasi di: Membuat dan mengupdate.

10. Klik Done.

Mengonfigurasi penyediaan pengguna

Di bagian ini, Anda akan mengonfigurasi Okta untuk menyediakan pengguna dan grup secara otomatis ke Google Cloud.

1. Pada halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.

2. Klik Konfigurasi Integrasi API lalu konfigurasikan hal berikut:

   • Aktifkan integrasi API: setel ke enabled
   • Impor Grup: ditetapkan ke dinonaktifkan kecuali jika Anda memiliki grup yang sudah ada di Cloud Identity atau Google Workspace yang ingin diimpor ke Okta

3. Klik Autentikasi dengan Google Workspace.

4. Login menggunakan pengguna okta-provisioning@DOMAIN yang Anda buat sebelumnya, dengan DOMAIN sebagai domain primer akun Cloud Identity atau Google Workspace Anda.

5. Tinjau Persyaratan Layanan dan kebijakan privasi Google. Jika Anda menyetujui persyaratannya, klik Saya mengerti.

6. Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.

7. Klik Simpan.

Okta terhubung ke akun Cloud Identity atau Google Workspace Anda, tetapi penyediaan masih dinonaktifkan. Untuk mengaktifkan penyediaan, lakukan hal berikut:

1. Pada halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.

2. Klik Edit dan konfigurasikan hal berikut:

   • Create users: tetapkan ke enabled
   • Update atribut pengguna: tetapkan ke enabled
   • Nonaktifkan pengguna: tetapkan ke diaktifkan
   • Sinkronisasi sandi: disetel ke dinonaktifkan

3. Secara opsional, klik Go to profile editor untuk menyesuaikan pemetaan atribut.

   Jika menggunakan pemetaan kustom, Anda harus memetakan userName, nameGivenName, dan nameFamilyName. Semua pemetaan atribut lainnya bersifat opsional.

4. Klik Simpan.

Mengonfigurasi penetapan pengguna

Di bagian ini, Anda akan mengonfigurasi pengguna Okta mana yang akan disediakan ke Cloud Identity atau Google Workspace:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Tugas.
2. Klik Tugaskan > Tetapkan kepada orang atau Tugaskan > Tetapkan ke grup.
3. Pilih pengguna atau grup, lalu klik Tetapkan.
4. Pada dialog tugas yang muncul, pertahankan setelan default, lalu klik Save and back.
5. Klik Done.

Ulangi langkah-langkah di bagian ini untuk setiap pengguna atau grup yang ingin Anda sediakan. Untuk menyediakan semua pengguna ke Cloud Identity atau Google Workspace, tetapkan grup Everyone.

Mengonfigurasi penetapan grup

Jika ingin, Anda dapat mengizinkan Okta menyediakan grup ke Cloud Identity atau Google Workspace. Daripada memilih grup satu per satu, sebaiknya konfigurasikan Okta untuk menyediakan grup berdasarkan konvensi penamaan.

Misalnya, untuk mengizinkan Okta menyediakan semua grup yang dimulai dengan google-cloud, lakukan tindakan berikut:

1. Pada halaman setelan untuk aplikasi Google Cloud, buka tab Push groups.
2. Klik Kirim grup > Cari grup berdasarkan peran.

3. Di halaman Push groups by rule, konfigurasikan aturan berikut:

   • Nama aturan: nama untuk peran, misalnya Google Cloud.
   • Nama grup: dimulai dengan google-cloud

4. Klik Buat aturan.

Pemecahan masalah

Untuk memecahkan masalah penyediaan pengguna atau grup, klik View logs di halaman setelan untuk aplikasi Google Cloud.

Agar Okta dapat mencoba kembali upaya penyediaan pengguna yang gagal, lakukan hal berikut:

1. Buka Dasbor > Tasks.
2. Temukan tugas yang gagal dan buka detailnya.
3. Di halaman detail, klik Coba lagi yang dipilih.

Mengonfigurasi Okta untuk Single Sign-On

Jika Anda telah mengikuti langkah-langkah untuk mengonfigurasi penyediaan Okta, semua pengguna Okta yang relevan kini otomatis disediakan ke Cloud Identity atau Google Workspace. Untuk mengizinkan pengguna ini login, konfigurasikan single sign-on:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Sign on.
2. Klik SAML 2.0 > More details.
3. Klik Download untuk mendownload sertifikat penandatanganan.
4. Catat Sign-on URL dan Sign-out URL, Anda memerlukan URL ini pada salah satu langkah berikut.

Setelah menyiapkan Okta untuk single sign-on, Anda dapat mengaktifkan single sign-on di akun Cloud Identity atau Google Workspace:

1. Buka Konsol Admin dan login menggunakan pengguna admin super.
2. Pada menu, klik Tampilkan lainnya lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

3. Klik Tambahkan profil SSO.

4. Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.

5. Masukkan setelan berikut:

   1. Sign-on page URL: masukkan Sign-on URL yang Anda salin dari halaman setelan Okta.
   2. Sign-out page URL: masukkan Sign-out URL yang Anda salin dari halaman setelan Okta.
   3. Ubah URL sandi: https://ORGANIZATION.okta.com/enduser/settings dengan ORGANIZATION adalah nama organisasi Okta Anda.

6. Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.

7. Klik Simpan.

Perbarui setelan SSO untuk OUAutomation untuk menonaktifkan single sign-on:

1. Di bagian Kelola penetapan profil SSO, klik Mulai.
2. Luaskan Unit Organisasi dan pilih Automation OU.
3. Ubah penetapan profil SSO dari Organization's third-party SSO profile menjadi None.
4. Klik Ganti.

Tambahkan konsol Google Cloud dan layanan Google lainnya ke dasbor aplikasi

Untuk menambahkan konsol Google Cloud dan, secara opsional, layanan Google lainnya ke dasbor aplikasi Okta pengguna Anda, lakukan hal berikut:

1. Di dasbor admin Okta, pilih Applications > Applications.
2. Klik Jelajahi katalog aplikasi.
3. Telusuri Bookmark app, lalu pilih aplikasi Aplikasi bookmark.
4. Klik Tambahkan integrasi.

5. Di halaman Setelan umum, konfigurasi hal berikut:

   • Label aplikasi: Google Cloud console
   • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, mengganti PRIMARY_DOMAIN dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

6. Klik Done.

7. Ubah logo aplikasi menjadi logo Google Cloud.

8. Buka tab Login.

9. Klik Autentikasi pengguna > Edit dan konfigurasikan hal berikut:

   • Kebijakan autentikasi: disetel ke Dasbor Okta

10. Klik Simpan.

11. Buka tab Tugas dan tetapkan satu atau beberapa pengguna. Pengguna yang ditetapkan akan melihat link Konsol Google Cloud di dasbor pengguna mereka.

Secara opsional, ulangi langkah-langkah di atas untuk layanan Google tambahan yang ingin Anda sertakan di dasbor pengguna. Tabel di bawah berisi URL dan logo untuk layanan Google yang umum digunakan:

Google service	URL	Logo
Google Dokumen	https://docs.google.com/a/DOMAIN
Google Spreadsheet	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Grup	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Menguji Single Sign-On

Setelah menyelesaikan konfigurasi single sign-on di Okta dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:

• Melalui daftar di dasbor pengguna Okta Anda.
• Secara langsung dengan membuka https://console.cloud.google.com/.

Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:

1. Pilih pengguna Okta yang telah disediakan ke Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super yang ditetapkan. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next.

4. Anda akan dialihkan ke Okta dan akan melihat perintah login lainnya. Masukkan alamat email pengguna tersebut dan ikuti langkah-langkah untuk melakukan autentikasi.

   Setelah autentikasi berhasil, Okta akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan dan kebijakan privasi Google.

5. Jika Anda menyetujui persyaratannya, klik Saya mengerti.

   Anda dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.

6. Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.

7. Klik ikon avatar di kiri atas halaman, lalu klik Sign out.

   Anda akan dialihkan ke halaman Okta yang mengonfirmasi bahwa Anda telah berhasil logout.

Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.