Workspace ONE Access 中为第三方身份提供程序配置 OpenID Connect,以允许用户使用其凭据进行单点登录。

前提条件

  • 请确保 Workspace ONE Access 已在第三方身份提供程序中注册为 OAuth2 客户端或 OAuth2 应用程序。
    • 必须已启用 authorization_code 授权
    • redirect_uri 设置为 Workspace ONE Access 回调端点

    此注册将生成客户端 ID 名称和客户端密钥。在 Workspace ONE Access 控制台中配置第三方身份提供程序时,需要提供这些值。有关如何注册 OAuth2 客户端和应用程序的信息,请参阅身份提供程序文档。

  • 如果要使用自动发现来配置 OpenID Connect 端点,则需要知道身份提供程序已公布的 OpenID Connect 地址的 URL。
  • 如果要使用手动配置过程,则需要知道 OpenID Connect 授权端点 URL、令牌端点 URL、颁发者标识符 URL 以及授权服务器公钥的 JWKS URL。
  • 如果启用了即时置备,请确定用户来自的域。域名将显示在登录页面的下拉菜单中。如果配置了多个域,则域信息必须位于发送到 Workspace ONE Access 的令牌中。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择身份提供程序
  2. 单击添加身份提供程序并选择创建 OpenID Connect IDP
  3. 配置 OpenID Connect 身份提供程序表单。
    表单项目 描述
    身份提供程序名称 输入此 OpenID Connect 身份提供程序实例的友好名称。
    身份验证配置

    如果身份提供程序提供了使用已公布的 OpenID Connect URL 获取 OpenID Connect 端点配置 URL 的功能,请选择自动发现。请输入 URL https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration

    如果不能使用“自动发现”或其中包含错误的信息,请选择手动配置来手动添加 OpenID Connect URL 端点。

    以下端点 URL 配置了“自动发现”。对于手动配置,请添加每个端点的 URL。

    • 使用授权代码授予在其中获取授权代码的授权端点 URL。
    • 令牌端点 URL 用于获取访问令牌和刷新令牌。
    • 颁发者标识符 URL 是颁发一组声明的实体的 URL。
    • JWKS URL。是采用 JSON Web 密钥集 (JWKS) 格式的授权服务器公钥的 URL。
    直通声明 启用直通声明以支持使用非标准 OpenID Connect 声明。

    OpenID Connect 第三方身份提供程序将非标准声明发送到 Workspace ONE AccessWorkspace ONE Access 会将这些声明添加到所生成的令牌中。

    客户端 ID 身份提供程序生成的客户端 ID 是 Workspace ONE Access 的唯一标识符。
    客户端密码 OpenID Connect 身份提供程序生成的客户端密钥。只有身份提供程序和 Workspace ONE Access 服务知道此密钥。

    如果在身份提供程序服务器上更改了此客户端密钥,请确保在 Workspace ONE Access 服务器中更新了此客户端密钥。

    用户查找属性 Open ID 用户标识符属性列中,选择身份提供程序服务中要映射到 Workspace ONE Access 用户标识符属性的用户属性。映射的属性值将用于在 Workspace ONE Access 中查找用户帐户。

    您可以添加自定义的第三方属性,并将其映射到 Workspace ONE Access 服务中的用户属性值。

    启用 JIT 置备 启用即时置备后,将在 Workspace ONE Access 中创建一些用户,并在他们登录时根据身份提供程序所发送的令牌动态更新这些用户。

    如果启用了 JIT,请配置以下项。

    • 目录名称。输入在其中添加了用户帐户的 JIT 目录的名称。
    • 。输入已通过身份验证的用户所属的域。如果配置了多个域,则域信息必须位于发送到 Workspace ONE Access 的令牌中。
    • 映射用户属性。单击 + 可将 OpenID 声明映射到 Workspace ONE Access 属性。在 Workspace ONE Access 目录中创建用户帐户时,将添加这些值。
    用户 如果未启用 JIT 置备,请选择包含可使用此身份提供程序进行身份验证的用户的目录。
    网络 此处列出了在服务中配置的现有网络范围。

    根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。

    身份验证方法名称

    输入用于在访问策略中标识 OpenID Connect 第三方身份验证方法的名称。

    创建访问策略规则时,您可以选择此身份验证方法来重定向用户,以便通过 OpenID Connect 授权服务器对用户进行身份验证。

后续步骤

转到“身份和访问管理”>“管理”>“策略”页面,然后在默认访问策略规则中选择 OpenID Connect 身份验证方法名称作为要使用的身份验证方法。