Configure o OpenID Connect no Workspace ONE Access para o seu provedor de identidade de terceiros para permitir que os usuários usem suas credenciais para Single Sign-on.

Pré-requisitos

  • Certifique-se de que o Workspace ONE Access esteja registrado como um cliente OAuth2 ou como um aplicativo OAuth2 no provedor de identidade de terceiros.
    • A concessão do authorization_code deve ser ativada.
    • redirect_uri é definido como o terminal de retorno de chamada do Workspace ONE Access.

    Esse registro gera o nome de ID do cliente e o segredo do cliente. Esses valores são necessários quando você configura o provedor de identidade de terceiros no console do Workspace ONE Access. Consulte a documentação do provedor de identidade sobre como registrar os clientes e aplicativos OAuth2.

  • Conheça o URL do endereço OpenID Connect publicado conhecido do provedor de identidade se você estiver usando a descoberta automática para configurar endpoints do OpenID Connect.
  • Conheça as URLs para o endpoint de autorização do OpenID Connect, o endpoint do token, o identificador do emissor e a URL JWKS da chave pública do servidor de autorização se você estiver usando o processo de configuração manual.
  • Se você habilitar o provisionamento Just-In-Time, identifique os domínios de onde os usuários são provenientes. O nome de domínio é exibido no menu suspenso na página de login. Se mais de um domínio estiver configurado, as informações do domínio deverão estar no token enviado para Workspace ONE Access.

Procedimento

  1. No console do Workspace ONE Access, na página Integrações > Provedores de Identidade, clique em ADICIONAR e selecione IDP do OpenID Connect.
  2. Defina as seguintes configurações.
    Item do formulário Descrição
    Nome do provedor de identidade Digite um nome amigável para esta instância do provedor de identidade do OpenID Connect.
    Configuração da Autenticação

    Selecione Descoberta Automática se o provedor de identidade oferecer a capacidade de usar o URL do OpenID Connect publicado já conhecido para obter os URLs de configuração do endpoint do OpenID Connect. Digite a URL como https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Selecione Configuração Manual para adicionar o endpoint da URL do OpenID Connect manualmente, caso o uso da detecção automática não seja possível ou contenha informações incorretas.

    Os URLs de endpoint a seguir são configurados com a Detecção Automática. Para Configuração Manual, adicione as URLs para cada um dos endpoints.

    • URL do Endpoint de Autorização na qual obter o código de autorização, usando a concessão do código de autorização.
    • A URL do endpoint do token é usada para obter tokens de acesso e atualizar tokens.
    • A URL do identificador do emissor é a URL da entidade que emite um conjunto de declarações.
    • URL do JWKS. é a URL da chave pública do servidor de autorização no formato JSON Web Key Set (JWKS).
    Detalhes do Cliente
    • ID do Cliente. O ID de Cliente gerada pelo provedor de identidade que é o identificador exclusivo para o Workspace ONE Access.
    • Segredo do Cliente. O segredo do cliente gerado pelo provedor de identidade do OpenID Connect. Esse segredo é conhecido apenas para o provedor de identidade e o serviço do Workspace ONE Access.

      Se esse segredo do cliente for alterado no servidor do provedor de identidade, certifique-se de atualizar o segredo do cliente no servidor do Workspace ONE Access.

    Atributo de Pesquisa de Usuário Na coluna Atributo de Identificador de Usuário de ID Aberto, selecione o atributo do usuário nos serviços do provedor de identidade para mapear para o Atributo de Identificador de Usuário do Workspace ONE Access. Os valores de atributos mapeados são usados para procurar a conta do usuário no serviço do Workspace ONE Access.

    Você pode adicionar um atributo de terceiros personalizado e mapeá-lo para um valor de atributo de usuário no serviço do Workspace ONE Access.

    Provisionamento de usuários Just-in-Time Quando o provisionamento Just-in-Time está habilitado, os usuários são criados no Workspace ONE Access e atualizados dinamicamente quando eles fazem login, com base no token enviado pelo provedor de identidade.

    Ao ativar Just-in-Time, crie o diretório Just-in-Time.

    • Nome do Diretório. Insira o nome do diretório JIT em que as contas de usuário são adicionadas.
    • Domínios. Insira os domínios aos quais os usuários autenticados pertencem. Se mais de um domínio estiver configurado, as informações do domínio deverão estar no token enviado para Workspace ONE Access.
    • Mapear os Atributos de Usuário. Clique em + ADICIONAR para mapear declarações OpenID para os atributos do Workspace ONE Access. Esses valores são adicionados quando a conta de usuário é criada no diretório do Workspace ONE Access.
    Usuários Se você não habilitar o provisionamento JIT, selecione os diretórios que incluem os usuários que podem se autenticar usando este provedor de identidade.
    Rede Os intervalos de rede existente configurados no serviço são listados.

    Selecione os intervalos de rede dos usuários, com base nos endereços IP deles, que você pretende direcionar para essa instância de provedor de identidade para autenticação.

    Método de autenticação

    Digite um nome para identificar o método de autenticação do OpenID Connect de terceiros na política de acesso.

    Quando você cria as regras de política de acesso, seleciona esse método de autenticação para redirecionar os usuários para autenticação no servidor de autorização do OpenID Connect.

    Declarações de Passagem Habilite as declarações de passagem para oferecer suporte ao uso de declarações do OpenID Connect não padrão.

    O provedor de identidade do OpenID Connect de terceiros envia as declarações não padrão para Workspace ONE Access. O Workspace ONE Access adiciona essas declarações ao token que é gerado.

    URI de Redirecionamento O URI de redirecionamento é onde a resposta à solicitação é enviada depois que o usuário faz login. O URI está listado.
  3. Clique em SALVAR.

O que Fazer Depois

No console, acesse a página Recursos > Políticas e edite a política de acesso padrão para adicionar uma regra de política a fim de selecionar o nome do método de autenticação OpenID Connect como o método de autenticação a ser usado.