要在 OneLogin 中针对单点登录 (SSO) 配置基于 OpenID Connect (OIDC) 的应用程序,请执行以下步骤:
前提条件
确保您拥有可以登录的 OneLogin 帐户。
过程
- 以管理员用户身份登录 OneLogin 帐户。
此时将显示
OneLogin 主屏幕。
- 要创建新应用程序,请执行以下操作:
- 在上方导航栏中,单击应用程序 (Apps) > 添加应用程序 (Add Apps)。
- 在查找应用程序 (Find Applications) 文本框中,搜索“OpenId Connect”或“oidc”,然后选择 OpenId Connect (OIDC) 应用程序。
此时将显示
添加 OpenId Connect (OIDC) (Add OpenId Connect (OIDC)) 屏幕。
- 在显示名称 (Display Name) 文本框中,输入应用程序的名称,然后单击保存 (Save)。
- 在配置 (Configuration) 选项卡上,输入登录 URL(用于 SSO 的自动登录 URL)和 SASE Orchestrator 用作回调端点的重定向 URI,然后单击保存 (Save)。
- 登录 URL (Login URL) - 登录 URL 将采用以下格式:https://<Orchestrator URL>/<Domain>/login/doEnterpriseSsoLogin。其中,<Domain> 是您企业的域名,您必须已设置该域名才能为 SASE Orchestrator 启用 SSO 身份验证。您可以从企业门户的管理 (Administration) > 系统设置 (System Settings) > 常规信息 (General Information) 页面获取域名。
- 重定向 URI (Redirect URI's) - SASE Orchestrator 重定向 URL 将采用以下格式:https://<Orchestrator URL>/login/ssologin/openidCallback。在 SASE Orchestrator 应用程序中的身份验证 (Authentication) 屏幕底部,您可以找到该重定向 URL 链接。
- 在参数 (Parameters) 选项卡上,双击 OpenId Connect (OIDC) 下的组 (Groups)。
此时将显示
编辑字段组 (Edit Field Groups) 弹出窗口。
- 使用要在组属性中发送的值“--无转换--(单值输出)”(--No transform--(Single value output)) 来配置用户角色,然后单击保存 (Save)。
- 在 SSO 选项卡上,从应用程序类型 (Application Type) 下拉菜单中,选择 Web。
- 从身份验证方法 (Authentication Method) 下拉菜单中,选择 POST 作为令牌端点,然后单击保存 (Save)。
还要记下客户端凭据(客户端 ID 和客户端密钥),以便在
SASE Orchestrator 中配置 SSO 期间使用。
- 在访问权限 (Access) 选项卡上,选择将允许登录的角色,然后单击保存 (Save)。
- 要将角色和用户添加到 SASE Orchestrator 应用程序中,请执行以下操作:
- 单击用户 (Users) > 用户 (Users),然后选择一个用户。
- 在应用程序 (Application) 选项卡上,从左侧的角色 (Roles) 下拉菜单中,选择要映射到用户的角色。
- 单击保存用户 (Save Users)。
结果
您已在 OneLogin 中针对 SSO 完成了基于 OIDC 的应用程序的设置。
下一步做什么
在 SASE Orchestrator 中配置单点登录。