Configure o OpenID Connect no Workspace ONE Access para o seu provedor de identidade de terceiros para permitir que os usuários usem suas credenciais para Single Sign-on.

Pré-requisitos

  • Certifique-se de que o Workspace ONE Access esteja registrado como um cliente OAuth2 ou como um aplicativo OAuth2 no provedor de identidade de terceiros.
    • A autorização de authorization_code deve ser habilitada
    • O redirect_uri definido como o endpoint de retorno de chamada do Workspace ONE Access

    Esse registro gera o nome de ID do cliente e o segredo do cliente. Esses valores são necessários quando você configura o provedor de identidade de terceiros no console do Workspace ONE Access. Consulte a documentação do provedor de identidade sobre como registrar clientes e aplicativos OAuth2.

  • Conheça a URL do endereço OpenID Connect publicado conhecido do provedor de identidade se estiver usando a Descoberta Automática para configurar endpoints do OpenID Connect.
  • Conheça as URLs para o endpoint de autorização do OpenID Connect, o endpoint do Token, o Identificador do Emissor e a URL JWKS da chave pública do servidor de autorização se você estiver usando o processo de configuração manual.
  • Se você habilitar o provisionamento Just-In-Time, identifique os domínios de onde os usuários são provenientes. O nome de domínio é exibido no menu suspenso na página de login. Se mais de um domínio estiver configurado, as informações do domínio deverão estar no token enviado para Workspace ONE Access.

Procedimento

  1. Na guia Gerenciamento de Identidade e Acesso do console do Workspace ONE Access, selecione Provedores de Identidade.
  2. Clique em Adicionar Provedor de Identidade e selecione Criar IDP do OpenID Connect.
  3. Configure o formulário do Provedor de Identidade do OpenID Connect.
    Item do formulário Descrição
    Nome do provedor de identidade Digite um nome amigável para esta instância do provedor de identidade do OpenID Connect.
    Configuração da Autenticação

    Selecione Descoberta Automática se o provedor de identidade oferecer a capacidade de usar a URL do OpenID Connect publicada já conhecida para obter as URLs de configuração do endpoint do OpenID Connect. Digite a URL como https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Selecione Configuração Manual para adicionar o endpoint da URL do OpenID Connect manualmente, caso o uso da detecção automática não seja possível ou contenha informações incorretas.

    As seguintes URLs de endpoint são configuradas com a Descoberta Automática. Para Configuração Manual, adicione as URLs para cada um dos endpoints.

    • URL do Endpoint de Autorização na qual obter o código de autorização, usando a concessão do código de autorização.
    • A URL do endpoint do token é usada para obter tokens de acesso e atualizar tokens.
    • A URL do identificador do emissor é a URL da entidade que emite um conjunto de declarações.
    • URL do JWKS. é a URL da chave pública do servidor de autorização no formato JSON Web Key Set (JWKS).
    Declarações de Passagem Habilite as declarações de passagem para oferecer suporte ao uso de declarações do OpenID Connect não padrão.

    O provedor de identidade do OpenID Connect de terceiros envia as declarações não padrão para Workspace ONE Access. O Workspace ONE Access adiciona essas declarações ao token que é gerado.

    ID do Cliente A ID de Cliente gerada pelo provedor de identidade que é o identificador exclusivo para Workspace ONE Access.
    Segredo do Cliente O segredo do cliente gerado pelo provedor de identidade do OpenID Connect. Esse segredo é conhecido apenas para o provedor de identidade e o serviço do Workspace ONE Access.

    Se esse segredo do cliente for alterado no servidor do provedor de identidade, certifique-se de atualizar o segredo do cliente no servidor do Workspace ONE Access.

    Atribuitos de Pesquisa do Usuário Na coluna Atributo de Identificador de Usuário de ID Aberto, selecione o atributo de usuário nos serviços de provedor de identidade para mapear para os atributos de Identificador de Usuário do Workspace ONE Access. Os valores de atributo mapeado são usados para pesquisar a conta de usuário no Workspace ONE Access.

    Você pode adicionar um atributo de terceiros personalizado e mapeá-lo para um valor de atributo de usuário no serviço do Workspace ONE Access.

    Habilitar Provisionamento JIT Quando o provisionamento Just-in-Time está habilitado, os usuários são criados no Workspace ONE Access e atualizados dinamicamente quando eles fazem login, com base no token enviado pelo provedor de identidade.

    Se você habilitar o JIT, configure o seguinte.

    • Nome do Diretório. Insira o nome do diretório JIT em que as contas de usuário são adicionadas.
    • Domínios. Insira os domínios aos quais os usuários autenticados pertencem. Se mais de um domínio estiver configurado, as informações do domínio deverão estar no token enviado para Workspace ONE Access.
    • Mapear os Atributos de Usuário. Clique em + para mapear as declarações do OpenID para os atributos do Workspace ONE Access. Esses valores são adicionados quando a conta de usuário é criada no diretório do Workspace ONE Access.
    Usuários Se você não habilitar o provisionamento JIT, selecione os diretórios que incluem os usuários que podem se autenticar usando este provedor de identidade.
    Rede Os intervalos de rede existente configurados no serviço são listados.

    Selecione os intervalos de rede dos usuários, com base nos endereços IP deles, que você pretende direcionar para essa instância de provedor de identidade para autenticação.

    Nome do Método de Autenticação

    Digite um nome para identificar o método de autenticação do OpenID Connect de terceiros na política de acesso.

    Quando você cria as regras de política de acesso, seleciona esse método de autenticação para redirecionar os usuários para autenticação no servidor de autorização do OpenID Connect.

O que Fazer Depois

Vá para a página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas e, na regra de política de acesso padrão, selecione o nome do método de autenticação do OpenID Connect como o método de autenticação a ser usado.