Okta: настройка своего домена

Автор: | 10/04/2019
 

Для Okta можно настроить собственный домен, который будет в дальнейшем использоваться для настройки аутентификации.

Единсвенный нюанс — это то, что сам плагин Okta не поддерживает работу с custom domain, см. документацию.

Настройка custom domain

Переходим в Settings > Customization:

Пролистываем вниз, до Custom URL Domain:

Кликаем Get Started, указываем домен, в данном случае okta.example.com:

Okta сообщает DNS-записи, которые надо добавить:

У нас домены обслуживаются AWS Route53, добавляем там TXT-запись:

В Okta кликаем Next.

TLS

Дальше требуется получить SSL-сертификат для домена.

Создаём CSR, например тут — https://csrgenerator.com.

В Common Name указываем имя домена, которое будем использовать:

Сохраняем результат — сам CSR и приватный ключ:

Переходим к регистратору вашего SSL, в данном случае мы покупаем через 101domains, покупаем сертификат, указываем CSR из файла, который скачали выше:

Валидируем домен, снова-таки — зависит от регистратора, тут делаем через DNS:

Получаем записи, которые надо создать:

И добавляем CNAME-запись в Route53:

Готово:

TLS в Okta

Теперь осталось настроить TLS в самой Okta.

Тут нам потребуется приватный ключ и сертификат.

Приватный ключ есть в CSR, который мы получили на https://csrgenerator.com:

cat okta.example.com.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICrDCCAZQCAQAwZzELMAkGA1UEBhMCVUExHDAaBgNVBAMME29rdGEuYmV0dGVy
...
treVmmsKjfAsO8uSIZi1d3GTsHvlwAk7RKEaYBMunhRHRKfxr3484jZMQ16kmKaJ
wRy4TH8OOomvqVbjjIwbig==
-----END CERTIFICATE REQUEST-----
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDKtyAK/6LRLdi/
5/W9yid++PPXs1vTyVDgaDU34pCw4iGTxLfAHYtRzJNINP4LIfsIz6TVAhHAC0tL
...
m2hlvU3wQiy+u3yLhR1FCMympFDf0PMbcGWDEC/N1WXprdAU04AIMTm/Qh2WFCHN
MqePCzr76wgdH8CNltHkAYsv/g==
-----END PRIVATE KEY-----

Сам сертификат получаем у его регистратора, в нашем случае — 101domains:

Указываем Private key и Certificate в Okta:

DNS

И последний шаг — добавить CNAME запись для нашего субдомена okta.example.com, и направить его на URL аккаунта Okta:

Переходим в Route53, добавляем запись:

Ждём обновления DNS, проверяем:

Теперь Okta будет генерировать все ссылки для приложений через okta.example.com.

При этом для авторизации в плагине — всё-равно надо будет использовать домен, который Okta сгенерировала при создании аккаунта.

Готово.