Penyediaan pengguna Okta dan single sign-on

Menyiapkan akun Cloud Identity atau Google Workspace

Membuat pengguna untuk Okta

Agar Okta dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Okta di akun Cloud Identity atau Google Workspace Anda.

Pengguna Okta hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Okta.

Untuk membuat OU baru, lakukan tindakan berikut:

1. Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
2. Di menu, buka Directory > Organizational units.
3. Klik Create organizational unit, lalu berikan nama dan deskripsi untuk OU:
   • Nama: Automation
   • Deskripsi: Automation users
4. Klik Buat.

Buat akun pengguna untuk Okta dan tempatkan di Automation OU:

1. Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.

2. Berikan nama dan alamat email yang sesuai seperti berikut:

   • Nama Depan: Okta
   • Nama Belakang: Provisioning

   • Email utama: okta-provisioning

     Tetap gunakan domain primer untuk alamat email.

3. Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:

   • Unit organisasi: Pilih OU Automation yang Anda buat sebelumnya.
   • Sandi: Pilih Buat sandi dan masukkan sandi.
   • Minta perubahan sandi saat login berikutnya: Dinonaktifkan.

4. Klik Tambahkan pengguna baru.

5. Klik Selesai.

Menetapkan hak istimewa ke Okta

Agar Okta dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup di akun Cloud Identity atau Google Workspace Anda, Anda harus menjadikan pengguna okta-provisioning sebagai admin super:

1. Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
2. Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
3. Aktifkan peran admin super.
4. Klik Simpan.

Mengonfigurasi penyediaan Okta

Sekarang Anda siap untuk menghubungkan Okta ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi Google Workspace dari katalog Okta.

Aplikasi Google Workspace dapat menangani penyediaan pengguna dan single sign-on. Gunakan aplikasi ini meskipun Anda menggunakan Cloud Identity dan hanya berencana menyiapkan single sign-on untuk Google Cloud.

Membuat aplikasi

Untuk menyiapkan aplikasi Google Workspace, lakukan hal berikut:

1. Buka dasbor admin Okta dan login sebagai pengguna dengan hak istimewa Administrator Super.
2. Di menu, buka Aplikasi > Aplikasi.
3. Klik Jelajahi katalog aplikasi.
4. Telusuri Google Workspace, lalu pilih aplikasi Google Workspace.
5. Klik Tambahkan integrasi.

6. Di halaman Setelan umum, konfigurasikan hal berikut:

   • Label aplikasi: Google Cloud
   • Domain perusahaan Google Apps Anda: nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

   • Tampilkan link berikut:

     • Setel Account ke enabled.
     • Setel link lain ke diaktifkan jika Anda menggunakan Google Workspace, setel link lain ke dinonaktifkan jika tidak.

   • Visibilitas Aplikasi: disetel ke diaktifkan jika Anda menggunakan Google Workspace, atau dinonaktifkan jika tidak

   • Pengiriman otomatis plugin browser: disetel ke nonaktif

7. Klik Berikutnya.

8. Di halaman Opsi login, konfigurasikan hal berikut:

   • Sign on methods: pilih SAML 2.0
   • Default Relay State: kosongkan
   • Setelan Login Lanjutan > RPID: biarkan kosong

9. Tentukan cara Anda ingin mengisi alamat email utama untuk pengguna di Cloud Identity atau Google Workspace. Alamat email utama pengguna harus menggunakan domain utama akun Cloud Identity atau Google Workspace Anda atau salah satu domain sekundernya.

   Nama pengguna Okta

   Untuk menggunakan nama pengguna Okta milik pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Nama pengguna Okta
   • Perbarui nama pengguna aplikasi di: Buat dan perbarui.

   Email

   Untuk menggunakan nama pengguna Okta milik pengguna sebagai alamat email utama, gunakan setelan berikut:

   • Format nama pengguna aplikasi: Email
   • Perbarui nama pengguna aplikasi di: Buat dan perbarui.

10. Klik Selesai.

Mengonfigurasi penyediaan pengguna

Di bagian ini, Anda akan mengonfigurasi Okta untuk menyediakan pengguna dan grup secara otomatis ke Google Cloud.

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Penyediaan.

2. Klik Konfigurasi Integrasi API dan konfigurasi hal berikut:

   • Aktifkan integrasi API: setel ke enabled
   • Impor Grup: ditetapkan ke nonaktif kecuali jika Anda memiliki grup yang ada di Cloud Identity atau Google Workspace yang ingin diimpor ke Okta

3. Klik Autentikasi dengan Google Workspace.

4. Login menggunakan pengguna okta-provisioning@DOMAIN yang Anda buat sebelumnya, dengan DOMAIN sebagai domain primer akun Cloud Identity atau Google Workspace Anda.

5. Tinjau Persyaratan Layanan dan kebijakan privasi Google. Jika Anda menyetujui persyaratan, klik Saya mengerti.

6. Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.

7. Klik Simpan.

Okta terhubung ke akun Cloud Identity atau Google Workspace Anda, tetapi penyediaan masih dinonaktifkan. Untuk mengaktifkan penyediaan, lakukan hal berikut:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Penyediaan.

2. Klik Edit dan konfigurasikan hal berikut:

   • Buat pengguna: ditetapkan ke diaktifkan
   • Perbarui atribut pengguna: ditetapkan ke diaktifkan
   • Menonaktifkan pengguna: ditetapkan ke diaktifkan
   • Sinkronkan sandi: disetel ke nonaktif

3. Atau, klik Buka editor profil untuk menyesuaikan pemetaan atribut.

   Jika menggunakan pemetaan kustom, Anda harus memetakan userName, nameGivenName, dan nameFamilyName. Semua pemetaan atribut lainnya bersifat opsional.

4. Klik Simpan.

Mengonfigurasi penetapan pengguna

Di bagian ini, Anda mengonfigurasi pengguna Okta mana yang akan disediakan ke Cloud Identity atau Google Workspace:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Penugasan.
2. Klik Tetapkan > Tetapkan ke orang atau Tetapkan > Tetapkan ke grup.
3. Pilih pengguna atau grup, lalu klik Tetapkan.
4. Pada dialog tugas yang muncul, tetap gunakan setelan default, lalu klik Simpan dan kembali.
5. Klik Selesai.

Ulangi langkah-langkah di bagian ini untuk setiap pengguna atau grup yang ingin Anda sediakan. Untuk menyediakan semua pengguna ke Cloud Identity atau Google Workspace, tetapkan grup Semua Orang.

Mengonfigurasi penetapan grup

Secara opsional, Anda dapat mengizinkan Okta menyediakan grup ke Cloud Identity atau Google Workspace. Daripada memilih grup satu per satu, sebaiknya konfigurasi Okta untuk menyediakan grup berdasarkan konvensi penamaan.

Misalnya, agar Okta dapat menyediakan semua grup yang diawali dengan google-cloud, lakukan hal berikut:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Push groups.
2. Klik Dorong grup > Temukan grup menurut peran.

3. Di halaman Push groups by rule, konfigurasikan aturan berikut:

   • Nama aturan: nama untuk peran, misalnya Google Cloud.
   • Nama grup: dimulai dengan google-cloud

4. Klik Buat aturan.

Pemecahan masalah

Untuk memecahkan masalah penyediaan pengguna atau grup, klik Lihat log di halaman setelan untuk aplikasi Google Cloud.

Untuk mengizinkan Okta mencoba lagi upaya yang gagal untuk menyediakan pengguna, lakukan hal berikut:

1. Buka Dasbor > Tugas.
2. Temukan tugas yang gagal dan buka detailnya.
3. Di halaman detail, klik Coba lagi yang dipilih.

Mengonfigurasi Okta untuk single sign-on

Jika Anda telah mengikuti langkah-langkah untuk mengonfigurasi penyediaan Okta, semua pengguna Okta yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace. Agar pengguna ini dapat login, konfigurasi single sign-on:

1. Di halaman setelan untuk aplikasi Google Cloud, buka tab Sign on.
2. Klik SAML 2.0 > Detail selengkapnya.
3. Klik Download untuk mendownload sertifikat penandatanganan.
4. Catat nilai Sign-on URL, Sign-out URL, dan Issuer, Anda akan memerlukannya di salah satu langkah berikut.

Membuat profil SAML

Buat profil SAML di akun Cloud Identity atau Google Workspace Anda:

1. Kembali ke Konsol Admin, lalu buka SSO dengan IdP pihak ketiga.

   Buka SSO dengan IdP pihak ketiga

2. Klik Profil SSO pihak ketiga > Tambahkan profil SAML.

3. Di halaman SAML SSO profile, masukkan setelan berikut:

   • Nama: Okta
   • ID entitas IdP: Masukkan Issuer dari dasbor admin Okta.
   • Sign-in page URL: Masukkan Sign-on URL dari dasbor admin Okta.
   • URL halaman logout:: Masukkan URL Logout dari dasbor admin Okta.
   • Ubah sandi URL:: https://ORGANIZATION.okta.com/enduser/settings dengan ORGANIZATION adalah nama organisasi Okta Anda.

4. Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.

5. Klik Simpan.

   Halaman profil SSO SAML yang muncul berisi ID Entitas dalam format https://accounts.google.com/samlrp/RPID dengan RPID adalah ID unik.

   Catat nilai RPID. Anda akan memerlukannya pada langkah berikutnya.

Tetapkan profil SAML

Pilih pengguna yang akan menerapkan profil SAML baru:

1. Di Konsol Admin, di halaman SSO dengan IDP pihak ketiga, klik Kelola penetapan profil SSO > Kelola.

   Buka Kelola penetapan profil SSO

2. Di panel kiri, pilih grup atau unit organisasi yang ingin Anda terapkan profil SSO-nya. Untuk menerapkan profil ke semua pengguna, pilih unit organisasi root.

3. Di panel kanan, pada menu, pilih profil SSO Okta - SAML yang Anda buat sebelumnya.

4. Klik Simpan.

Untuk menetapkan profil SAML ke grup atau unit organisasi lain, ulangi langkah-langkah di atas.

Perbarui setelan SSO untuk OUAutomation untuk menonaktifkan single sign-on:

1. Di panel kiri, pilih OU Automation.
2. Ubah penetapan profil SSO menjadi Tidak ada.
3. Klik Ganti.

Selesaikan konfigurasi SSO di Okta

Kembali ke Okta dan selesaikan konfigurasi SSO:

1. Di dasbor admin Okta, pada halaman setelan untuk aplikasi Google Cloud, buka tab Sign on.

2. Klik Edit dan perbarui setelan berikut:

   • Setelan Login Lanjutan > RPID: masukkan RPID yang Anda salin dari Konsol Admin.

3. Klik Simpan.

Opsional: Mengonfigurasi verifikasi login

Login dengan Google mungkin meminta verifikasi tambahan kepada pengguna saat mereka login dari perangkat yang tidak dikenal atau saat upaya login mereka terlihat mencurigakan karena alasan lain. Verifikasi login ini membantu meningkatkan keamanan, dan sebaiknya Anda mengaktifkan verifikasi login.

Jika Anda merasa verifikasi login terlalu merepotkan, Anda dapat menonaktifkan verifikasi login dengan melakukan hal berikut:

1. Di Konsol Admin, buka Keamanan > Autentikasi > Verifikasi login.
2. Di panel kiri, pilih unit organisasi yang ingin Anda nonaktifkan verifikasi loginnya. Untuk menonaktifkan verifikasi login bagi semua pengguna, pilih unit organisasi root.
3. Di bagian Setelan bagi pengguna yang login menggunakan profil SSO lain, pilih Jangan minta pengguna melakukan verifikasi tambahan dari Google.
4. Klik Simpan.

Menambahkan konsol Google Cloud dan layanan Google lainnya ke dasbor aplikasi

Untuk menambahkan konsol Google Cloud dan, secara opsional, layanan Google lainnya ke dasbor aplikasi Okta pengguna Anda, lakukan hal berikut:

1. Di dasbor admin Okta, pilih Applications > Applications.
2. Klik Jelajahi katalog aplikasi.
3. Telusuri Bookmark app, lalu pilih aplikasi Bookmark.
4. Klik Tambahkan integrasi.

5. Di halaman Setelan umum, konfigurasikan hal berikut:

   • Label aplikasi: Google Cloud console
   • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, menggantikan PRIMARY_DOMAIN dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

6. Klik Selesai.

7. Ubah logo aplikasi menjadi logoGoogle Cloud .

8. Buka tab Sign on.

9. Klik Autentikasi pengguna > Edit dan konfigurasi hal berikut:

   • Kebijakan autentikasi: ditetapkan ke dasbor Okta

10. Klik Simpan.

11. Buka tab Penetapan dan tetapkan satu atau beberapa pengguna. Pengguna yang ditetapkan melihat link konsol Google Cloud di dasbor pengguna mereka.

Jika ingin, ulangi langkah-langkah di atas untuk layanan Google tambahan yang ingin Anda sertakan dalam dasbor pengguna. Tabel di bawah berisi URL dan logo untuk layanan Google yang umum digunakan:

Layanan Google	URL	Logo
Google Cloud console	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Google Dokumen	https://docs.google.com/a/DOMAIN
Google Spreadsheet	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Grup	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Menguji Single Sign-On

Setelah menyelesaikan konfigurasi single sign-on di Okta dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:

• Melalui daftar di dasbor pengguna Okta Anda.
• Langsung dengan membuka https://console.cloud.google.com/.

Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:

1. Pilih pengguna Okta yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next.

4. Anda akan dialihkan ke Okta dan akan melihat perintah login lainnya. Masukkan alamat email pengguna dan ikuti langkah-langkah untuk melakukan autentikasi.

   Setelah autentikasi berhasil, Okta akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan dan kebijakan privasi Google.

5. Jika Anda menyetujui persyaratan, klik Saya mengerti.

   Anda akan dialihkan ke konsol Google Cloud , yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.

6. Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.

7. Klik ikon avatar di kiri atas halaman, lalu klik Sign out.

   Anda akan dialihkan ke halaman Okta yang mengonfirmasi bahwa Anda berhasil logout.

Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.