1. Connectez-vous avec ESA Admin (main.admin) à l'URL domain.com/auth/admin
   
2. Sélectionnez le royaume correct dans le coin supérieur gauche
   
   
3. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche
   
   
4. Ajoutez un nouveau fournisseur en sélectionnant OpenID Connect v1.0
   
   
   
5. Nom du fournisseur d'identité (comme vous le souhaitez)
   
   
6. Ajoutez des URL pour l'authentification (le client les fournit depuis Keycloak )
   
   
7. Facultatif : la validation des signatures peut être activée, le client fournit l'URL pour JWKS
   
   
8. Ajouter le secret client et le mot de passe (le client les fournit)
   
   
9. Faites défiler vers le bas et choisissez le bouton Ajouter (il enregistre le fournisseur d'identité)
   
10. Une fois la configuration ci-dessus terminée, une nouvelle option de connexion apparaît sur la page de connexion ESA qui vous renvoie à la page de connexion Keycloak .

Après avoir utilisé le nouveau bouton pour vous connecter à Okta, l'écran ci-dessous est visible sur l'écran, cela signifie que ESA a besoin d'une configuration supplémentaire pour les mappeurs.

Pour transférer l'utilisateur d' ESA vers d'autres systèmes (ESM, ESS, IGA ), ESA doit connaître le contexte de l'utilisateur. À cette fin, ESA stocke des métadonnées décrivant chaque utilisateur ayant tenté de se connecter.

L'écran ci-dessus s'affiche car ESA n'est pas en mesure de récupérer toutes les données nécessaires auprès du Pro d'identité et demande à l'utilisateur de saisir manuellement toutes les données requises.

Nous pouvons surmonter cela et préparer une automatisation qui mappera automatiquement les attributs avec les données provenant d'Okta, aux attributs requis par l'utilisateur ESA .

1. Connectez-vous avec l'administrateur ESA (main.admin) à l'URL domain.com/auth
   
2. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche
   
    
   
3. Accédez à la section Mappers. Voici un exemple de définition.

• Pour le courrier électronique, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur email à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  

• Pour le nom d'utilisateur, utilisez le type de mappeur Username Attribute Importer.
  Mappez l'attribut de nom d'utilisateur username à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ name

• Pour le nom de famille, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur lastName à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

• Pour le prénom, utilisez le mappeur de type Importateur d'attributs. Associez l'attribut utilisateur prénom à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

Après ces étapes :

• Assurez-vous qu'une carte de données personnelle est créée dans ESM.
• Assurez- uid que Person a la bonne valeur dans servlet.auth.person.uid.attribute.code - il sera utilisé plus tard, comme nom de connexion.

Une fois les étapes ci-dessus terminées, pendant le processus de connexion, ESM créera l'objet utilisateur manquant, le liera à la personne déjà existante et passera à la page de démarrage d'ITSM pour le rôle donné.