Для Okta можно настроить собственный домен, который будет в дальнейшем использоваться для настройки аутентификации.
Единсвенный нюанс – это то, что сам плагин Okta не поддерживает работу с custom domain, см. документацию.
Содержание
Настройка custom domain
Переходим в Settings > Customization:
Пролистываем вниз, до Custom URL Domain:
Кликаем Get Started, указываем домен, в данном случае okta.example.com:
Okta сообщает DNS-записи, которые надо добавить:
У нас домены обслуживаются AWS Route53, добавляем там TXT-запись:
В Okta кликаем Next.
TLS
Дальше требуется получить SSL-сертификат для домена.
Создаём CSR, например тут – https://csrgenerator.com.
В Common Name указываем имя домена, которое будем использовать:
Сохраняем результат – сам CSR и приватный ключ:
Переходим к регистратору вашего SSL, в данном случае мы покупаем через 101domains, покупаем сертификат, указываем CSR из файла, который скачали выше:
Валидируем домен, снова-таки – зависит от регистратора, тут делаем через DNS:
Получаем записи, которые надо создать:
И добавляем CNAME-запись в Route53:
Готово:
TLS в Okta
Теперь осталось настроить TLS в самой Okta.
Тут нам потребуется приватный ключ и сертификат.
Приватный ключ есть в CSR, который мы получили на https://csrgenerator.com:
[simterm]
$ cat okta.example.com.csr -----BEGIN CERTIFICATE REQUEST----- MIICrDCCAZQCAQAwZzELMAkGA1UEBhMCVUExHDAaBgNVBAMME29rdGEuYmV0dGVy ... treVmmsKjfAsO8uSIZi1d3GTsHvlwAk7RKEaYBMunhRHRKfxr3484jZMQ16kmKaJ wRy4TH8OOomvqVbjjIwbig== -----END CERTIFICATE REQUEST----- -----BEGIN PRIVATE KEY----- MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDKtyAK/6LRLdi/ 5/W9yid++PPXs1vTyVDgaDU34pCw4iGTxLfAHYtRzJNINP4LIfsIz6TVAhHAC0tL ... m2hlvU3wQiy+u3yLhR1FCMympFDf0PMbcGWDEC/N1WXprdAU04AIMTm/Qh2WFCHN MqePCzr76wgdH8CNltHkAYsv/g== -----END PRIVATE KEY-----
[/simterm]
Сам сертификат получаем у его регистратора, в нашем случае – 101domains:
Указываем Private key и Certificate в Okta:
DNS
И последний шаг – добавить CNAME запись для нашего субдомена okta.example.com, и направить его на URL аккаунта Okta:
Переходим в Route53, добавляем запись:
Ждём обновления DNS, проверяем:
Теперь Okta будет генерировать все ссылки для приложений через okta.example.com.
При этом для авторизации в плагине – всё-равно надо будет использовать домен, который Okta сгенерировала при создании аккаунта.
Готово.