> ## Documentation Index
> Fetch the complete documentation index at: https://ai-kb.automationanywhere.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuration d'Okta pour EK SSO

> Configurez Okta en tant que fournisseur d'identité SAML 2.0 pour votre instance EK sur site.

Ce guide vous accompagne dans la configuration d'Okta en tant que fournisseur d'identité (IdP) pour SAML SSO sur votre instance EK sur site. Il couvre les paramètres SAML à saisir dans Okta, la récupération de vos métadonnées Okta et l'enregistrement du domaine dans EK pour finaliser l'intégration.

<Note>
  Le flux SAML générique d'EK fonctionne avec Okta prêt à l'emploi. Si vous ne l'avez pas déjà fait, consultez la [Vue d'ensemble de SAML SSO](/super-admin/sso/saml-sso-how-it-works) pour comprendre le fonctionnement de l'intégration avant de commencer.
</Note>

## Conditions préalables

* Vous disposez d'un accès administrateur à votre organisation Okta.
* Vous disposez d'un accès Super Admin à votre instance EK sur site.
* Vous connaissez le nom de domaine pleinement qualifié (FQDN) de votre hôte backend EK (par exemple `ek-api.corp.acme.com`).
* Vous connaissez le domaine de messagerie pour lequel vous souhaitez activer SSO (par exemple `acme.com`).

## Partie 1 — Configurer Okta

### Créer une nouvelle application SAML dans Okta

<Steps>
  <Step title="Créer une nouvelle intégration d'application">
    Dans votre console d'administration Okta, accédez à **Applications → Applications** et cliquez sur **Créer une intégration d'application**. Sélectionnez **SAML 2.0** comme méthode de connexion.
  </Step>

  <Step title="Saisir les paramètres SAML">
    À l'étape **Configurer SAML**, saisissez les valeurs suivantes :

    | Champ                                    | Valeur                                                        |
    | ---------------------------------------- | ------------------------------------------------------------- |
    | **URL d'authentification unique**        | `https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **URL du destinataire**                  | `https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **URL de destination**                   | `https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Restriction d'audience (ID d'entité)** | `https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **État de relais par défaut**            | `default` ou définissez le nom de domaine                     |
  </Step>

  <Step title="Ajouter des déclarations d'attributs">
    Toujours à l'étape **Configurer SAML**, faites défiler vers le bas jusqu'à **Déclarations d'attributs** et ajoutez les éléments suivants :

    | Nom                | Format de nom | Valeur                           |
    | ------------------ | ------------- | -------------------------------- |
    | `email`            | Basic         | `user.email`                     |
    | `first_name`       | Basic         | `user.firstName`                 |
    | `last_name`        | Basic         | `user.lastName`                  |
    | `user_name`        | Basic         | `user.login`                     |
    | `DisplayName`      | Basic         | `user.displayName`               |
    | `objectIdentifier` | Non spécifié  | `user.getInternalProperty("id")` |
  </Step>

  <Step title="Terminer la configuration">
    Terminez l'assistant de création d'application. Attribuez l'application aux utilisateurs ou groupes qui doivent avoir accès à EK via SSO.
  </Step>
</Steps>

## Partie 2 — Récupérer les métadonnées Okta

Une fois l'application Okta créée, récupérez l'URL des métadonnées IdP :

<Steps>
  <Step title="Accéder à l'onglet Connexion">
    Ouvrez l'application dans Okta et accédez à l'onglet **Connexion**.
  </Step>

  <Step title="Localiser l'URL des métadonnées">
    Sous **Paramètres → SAML 2.0 → Détails des métadonnées**, copiez l'**URL des métadonnées**.

    Le chemin est :

    ```
    Connexion > Paramètres > SAML 2.0 > Détails des métadonnées > URL des métadonnées
    ```

    Vous aurez besoin de cette URL à la Partie 3.<br /><img src="https://mintcdn.com/automationanywhere/GwZtgh73O0-NsEVq/img/sa/sso/okta-metadata-url.png?fit=max&auto=format&n=GwZtgh73O0-NsEVq&q=85&s=76320da8268fe54ce07a11b45e3fc929" alt="URL des métadonnées Okta" width="908" height="839" data-path="img/sa/sso/okta-metadata-url.png" />
  </Step>
</Steps>

## Partie 3 — Enregistrer le domaine dans EK

Envoyez une requête `POST` au point de terminaison d'enregistrement de domaine :

```bash theme={null}
curl -X POST "https://<your-backend-host>/backend/sso/add_new_configuration" \
  -H "Content-Type: application/json" \
  -H "X-API-KEY: YOUR_API_KEY" \
  -H "X-API-SECRET: YOUR_API_SECRET" \
  -d '{
    "enterprise_id": "acme.com",
    "provider": "okta",
    "metadata_url": "https://your-okta-metadata-url",
    "backend_root_url": "<your-backend-host>/backend"
  }'
```

### Champs obligatoires

| Champ              | Description                                                                                            |
| ------------------ | ------------------------------------------------------------------------------------------------------ |
| `enterprise_id`    | Le domaine de messagerie de vos utilisateurs (par exemple `acme.com`).                                 |
| `provider`         | `"okta"`                                                                                               |
| `metadata_url`     | L'URL des métadonnées de la Partie 2.                                                                  |
| `backend_root_url` | *(Optionnel)* Obligatoire uniquement dans les configurations de proxy pour assurer un routage correct. |

### Authentification

Le point de terminaison nécessite votre clé API EK et votre secret passés en tant qu'en-têtes `X-API-KEY` et `X-API-SECRET`.

En cas de succès, un enregistrement est créé dans la table `sso_providers` sur le backend.

## Partie 4 — Configurer le frontend

Une fois le domaine enregistré, définissez la variable d'environnement du frontend et redémarrez le service frontend.

<Steps>
  <Step title="Ouvrir le fichier d'environnement du frontend">
    Sur votre serveur de déploiement sur site, ouvrez `onprem-deployment/.env.web`.
  </Step>

  <Step title="Ajouter la variable d'environnement">
    Ajoutez la ligne suivante, en remplaçant `acme.com` par votre domaine de messagerie réel :

    ```bash theme={null}
    VITE_SSO_ENTERPRISE_ID=acme.com
    ```
  </Step>

  <Step title="Redémarrer les services frontend">
    ```bash theme={null}
    docker compose -f docker-compose down
    docker compose -f docker-compose up -d
    ```
  </Step>
</Steps>

## Tester l'intégration

Connectez-vous à EK avec un utilisateur réel `@<domain>` pour confirmer que le flux fonctionne de bout en bout. Si l'utilisateur s'authentifie correctement mais qu'il lui est refusé l'accès, vérifiez votre configuration de contrôle d'accès SAML — consultez le guide *EK SAML Access Controls and Automated Team/Project Assignment*.