Um eine OpenID Connect (OIDC)-basierte Anwendung in PingIdentity für Single Sign-On (SSO) einzurichten, führen Sie die Schritte in diesem Verfahren aus.

Voraussetzungen

Stellen Sie sicher, dass Sie über ein PingOne-Konto für die Anmeldung verfügen.
Hinweis: Zurzeit unterstützt SASE Orchestrator PingOne als Identitätspartner (IDP). Jedes PingIdentity-Produkt, das OIDC unterstützt, kann jedoch einfach konfiguriert werden.

Prozedur

  1. Melden Sie sich bei Ihrem PingOne-Konto als Admin-Benutzer an.
    Der PingOne-Startbildschirm wird angezeigt.
  2. So erstellen Sie eine neue Anwendung:
    1. Klicken Sie in der oberen Navigationsleiste auf Anwendungen (Applications).
    2. Wählen Sie auf der Registerkarte Meine Anwendungen (My Applications) die Option OIDC aus und klicken Sie dann auf Anwendung hinzufügen (Add Application).
      Das Popup-Fenster OIDC-Anwendung hinzufügen (Add OIDC Application) wird angezeigt.
    3. Geben Sie grundlegende Details wie Name, Kurzbeschreibung und Kategorie für die Anwendung ein und klicken Sie auf Weiter (Next).
    4. Wählen Sie unter AUTORISIERUNGSEINSTELLUNGEN (AUTHORIZATION SETTINGS) den Autorisierungscode (Authorization Code) als zulässige Gewährungstypen aus und klicken Sie auf Weiter (Next).
      Notieren Sie auch die Erkennungs-URL und die Clientanmeldedaten (Client-ID und geheimer Clientschlüssel), die während der SSO-Konfiguration in SASE Orchestrator verwendet werden sollen.
    5. Geben Sie unter SSO-FLOW UND AUTHENTIFIZIERUNGSEINSTELLUNGEN (SSO FLOW AND AUTHENTICATION SETTINGS) gültige Werte für die Start-SSO-URL und die Weiterleitungs-URL ein und klicken Sie auf Weiter (Next).
      In der SASE Orchestrator-Anwendung finden Sie im unteren Bereich des Bildschirms Authentifizierung konfigurieren (Configure Authentication) den Link für die Umleitungs-URL. Idealerweise liegt die SASE Orchestrator-Umleitungs-URL in diesem Format vor: https://<Orchestrator-URL>/login/ssologin/openidCallback. Die Start-SSO-URL wird in diesem Format angezeigt: https://<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin.
    6. Klicken Sie unter STANDARD-BENUTZERPROFILATTRIBUT-VERTRAG (DEFAULT USER PROFILE ATTRIBUTE CONTRACT) auf Attribut hinzufügen (Add Attribute), um weitere Benutzerprofilattribute hinzuzufügen.
    7. Geben Sie im Textfeld Attributname (Attribute Name) group_membership ein, aktivieren Sie das Kontrollkästchen Erforderlich (Required) und klicken Sie dann auf Weiter (Next).
      Hinweis: Das Attribut group_membership ist erforderlich, um Rollen von PingOne abzurufen.
    8. Wählen Sie unter VERBINDUNGSBEREICHE (CONNECT SCOPES) die Bereiche aus, die für Ihre SASE Orchestrator-Anwendung während der Authentifizierung abgerufen werden können, und klicken Sie auf Weiter (Next).
    9. Ordnen Sie unter Attributzuordnung (Attribute Mapping) die Attribute Ihres Identitätsspeichers den Ansprüchen zu, die Ihrer SASE Orchestrator-Anwendung zur Verfügung stehen.
      Hinweis: Die für eine funktionierende Integration erforderlichen Mindestzuordnungen sind „email“, „given_name“, „family_name“, „phone_number“, „sub“ und „group_membership“ (zugeordnet zu „memberOf“).
    10. Wählen Sie unter Gruppenzugriff (Group Access) alle Benutzergruppen aus, die Zugriff auf Ihre SASE Orchestrator-Anwendung haben sollen, und klicken Sie auf Fertig (Done).
      Die Anwendung wird zu Ihrem Konto hinzugefügt und ist auf dem Bildschirm Meine Anwendung (My Application) verfügbar.

Ergebnisse

Sie haben die Einrichtung einer OIDC-basierten Anwendung in PingOne für SSO abgeschlossen.

Nächste Maßnahme

Konfigurieren Sie Single Sign-On in SASE Orchestrator.