Pokud se chystáte nastavit aplikaci využívající OpenID Connect (OIDC) v prostředí PingIdentity pro jednotné přihlašování (SSO), postupujte podle následujících kroků.
Požadavky
Ujistěte se, že máte k dispozici účet PingOne, ke kterému se můžete přihlásit.
Poznámka: Aplikace
SASE Orchestrator v současnosti podporuje využití služby PingOne coby partnera pro poskytování identity (IDP). Snadno můžete ale nakonfigurovat jakýkoli jiný produkt PingIdentity podporující OIDC.
Procedura
Přihlaste se k účtu PingOne v roli uživatele – administrátora.
Otevře se domovská obrazovka
PingOne.
Vytvoření nové aplikace:
V horním navigačním panelu klikněte na možnost Aplikace.
Na kartě Moje aplikace (My Applications) vyberte možnost OIDC a klikněte na možnost Přidat aplikaci (Add Application).
Otevře se místní okno
Přidat aplikaci OIDC (Add OIDC Application).
Zadejte základní informace, jako je název, krátký popis a kategorie aplikace a klikněte na tlačítko Další (Next).
V oblasti NASTAVENÍ AUTORIZACE (AUTHORIZATION SETTINGS) vyberte jako Povolený typ oprávnění možnost Autorizační kód (Authorization Code) a klikněte na možnost Další (Next).
Poznamenejte si adresu URL pro zjišťování a přihlašovací údaje klienta (ID a tajný klíč klienta), které budete potřebovat během konfigurace jednotného přihlašování v aplikaci
SASE Orchestrator.
V oblasti NASTAVENÍ TOKU A AUTENTIZACE SSO (SSO FLOW AND AUTHENTICATION SETTINGS) zadejte platné hodnoty pro adresu URL určenou ke spuštění SSO a adresu URL pro přesměrování a klikněte na tlačítko Další (Next).
Odkaz URL pro přesměrování můžete najít v aplikaci
SASE Orchestrator v dolní části obrazovky
Konfigurace autentizace (Configure Authentication). V ideálním případě bude mít adresa URL pro přesměrování
SASE Orchestrator následující formát: https://<URL adresa Orchestratoru>/login/ssologin/openidCallback. Adresa URL určená ke spuštění SSO bude mít tento formát: https://<URL adresa Orchestratoru>/<název domény>/login/doEnterpriseSsoLogin.
V oblasti VÝCHOZÍ ATRIBUTY UŽIVATELSKÉHO PROFILU, SMLUVNÍ (DEFAULT USER PROFILE ATTRIBUTE CONTRACT) klikněte na tlačítko Přidat atribut (Add Attribute) a přidejte další atributy pro profil uživatele.
Do textového pole Název atributu (Attribute Name) zadejte výraz group_membership, označte pole Požadováno (Required) a klikněte na tlačítko Další (Next).
Poznámka: Atribut
group_membership je požadován pro načtení rolí ze služby PingOne.
V oblasti OBORY PŘIPOJENÍ (CONNECT SCOPES) vyberte obory, které lze vyžádat pro vaši aplikaci SASE Orchestrator během autentizace, a klikněte na tlačítko Další (Next).
V části Mapování atributů (Attribute Mapping) namapujte atributy úložiště identity na jednotlivé deklarace dostupné pro vaši aplikaci SASE Orchestrator.
Poznámka: Minimální požadovaná mapování, která umožní používání integrace, jsou: email, given_name, family_name, phone_number, sub a group_membership (mapováno na memberOf).
V oblasti Skupinový přístup (Group Access) vyberte všechny skupiny uživatelů, které mají mít přístup k vaší aplikaci SASE Orchestrator a klikněte na tlačítko Hotovo (Done).
Aplikace bude přidána do vašeho účtu a bude uvedena na obrazovce
Moje aplikace (My Application).
Výsledek
Tímto je nastavení aplikace využívající OIDC v prostředí PingOne pro potřeby jednotného přihlašování dokončeno.
Jak pokračovat dále
Nakonfigurujte jednotné přihlašování v aplikaci SASE Orchestrator.