Pokud se chystáte nastavit aplikaci využívající OpenID Connect (OIDC) v prostředí PingIdentity pro jednotné přihlašování (SSO), postupujte podle následujících kroků.

Požadavky

Ujistěte se, že máte k dispozici účet PingOne, ke kterému se můžete přihlásit.
Poznámka: Aplikace SASE Orchestrator v současnosti podporuje využití služby PingOne coby partnera pro poskytování identity (IDP). Snadno můžete ale nakonfigurovat jakýkoli jiný produkt PingIdentity podporující OIDC.

Procedura

 1. Přihlaste se k účtu PingOne v roli uživatele – administrátora.
  Otevře se domovská obrazovka PingOne.
 2. Vytvoření nové aplikace:
  1. V horním navigačním panelu klikněte na možnost Aplikace.
  2. Na kartě Moje aplikace (My Applications) vyberte možnost OIDC a klikněte na možnost Přidat aplikaci (Add Application).
   Otevře se místní okno Přidat aplikaci OIDC (Add OIDC Application).
  3. Zadejte základní informace, jako je název, krátký popis a kategorie aplikace a klikněte na tlačítko Další (Next).
  4. V oblasti NASTAVENÍ AUTORIZACE (AUTHORIZATION SETTINGS) vyberte jako Povolený typ oprávnění možnost Autorizační kód (Authorization Code) a klikněte na možnost Další (Next).
   Poznamenejte si adresu URL pro zjišťování a přihlašovací údaje klienta (ID a tajný klíč klienta), které budete potřebovat během konfigurace jednotného přihlašování v aplikaci SASE Orchestrator.
  5. V oblasti NASTAVENÍ TOKU A AUTENTIZACE SSO (SSO FLOW AND AUTHENTICATION SETTINGS) zadejte platné hodnoty pro adresu URL určenou ke spuštění SSO a adresu URL pro přesměrování a klikněte na tlačítko Další (Next).
   Odkaz URL pro přesměrování můžete najít v aplikaci SASE Orchestrator v dolní části obrazovky Konfigurace autentizace (Configure Authentication). V ideálním případě bude mít adresa URL pro přesměrování SASE Orchestrator následující formát: https://<URL adresa Orchestratoru>/login/ssologin/openidCallback. Adresa URL určená ke spuštění SSO bude mít tento formát: https://<URL adresa Orchestratoru>/<název domény>/login/doEnterpriseSsoLogin.
  6. V oblasti VÝCHOZÍ ATRIBUTY UŽIVATELSKÉHO PROFILU, SMLUVNÍ (DEFAULT USER PROFILE ATTRIBUTE CONTRACT) klikněte na tlačítko Přidat atribut (Add Attribute) a přidejte další atributy pro profil uživatele.
  7. Do textového pole Název atributu (Attribute Name) zadejte výraz group_membership, označte pole Požadováno (Required) a klikněte na tlačítko Další (Next).
   Poznámka: Atribut group_membership je požadován pro načtení rolí ze služby PingOne.
  8. V oblasti OBORY PŘIPOJENÍ (CONNECT SCOPES) vyberte obory, které lze vyžádat pro vaši aplikaci SASE Orchestrator během autentizace, a klikněte na tlačítko Další (Next).
  9. V části Mapování atributů (Attribute Mapping) namapujte atributy úložiště identity na jednotlivé deklarace dostupné pro vaši aplikaci SASE Orchestrator.
   Poznámka: Minimální požadovaná mapování, která umožní používání integrace, jsou: email, given_name, family_name, phone_number, sub a group_membership (mapováno na memberOf).
  10. V oblasti Skupinový přístup (Group Access) vyberte všechny skupiny uživatelů, které mají mít přístup k vaší aplikaci SASE Orchestrator a klikněte na tlačítko Hotovo (Done).
   Aplikace bude přidána do vašeho účtu a bude uvedena na obrazovce Moje aplikace (My Application).

Výsledek

Tímto je nastavení aplikace využívající OIDC v prostředí PingOne pro potřeby jednotného přihlašování dokončeno.

Jak pokračovat dále

Nakonfigurujte jednotné přihlašování v aplikaci SASE Orchestrator.