Um eine OpenID Connect (OIDC)-basierte Anwendung in OneLogin für Single Sign-On (SSO) einzurichten, führen Sie die folgenden Schritte aus:

Voraussetzungen

Stellen Sie sicher, dass Sie über ein OneLogin-Konto für die Anmeldung verfügen.

Prozedur

  1. Melden Sie sich bei Ihrem OneLogin-Konto als Admin-Benutzer an.
    Der OneLogin-Startbildschirm wird angezeigt.
  2. So erstellen Sie eine neue Anwendung:
    1. Klicken Sie in der oberen Navigationsleiste auf Apps > Apps hinzufügen (Add Apps).
    2. Suchen Sie im Textfeld Anwendungen suchen (Find Applications) nach „OpenID Connect“ oder „oidc“ und wählen Sie dann die OpenID Connect (OIDC)-App aus.
      Der Bildschirm OpenId Connect (OIDC) hinzufügen (Add OpenId Connect (OIDC)) wird angezeigt.
    3. Geben Sie im Textfeld Anzeigename (Display Name) den Namen für Ihre Anwendung ein und klicken Sie auf Speichern (Save).
    4. Geben Sie auf der Registerkarte Konfiguration (Configuration) die Anmelde-URL (URL für die automatische Anmeldung für SSO) und den Umleitungs-URI ein, den SASE Orchestrator als Callback-Endpoint verwendet, und klicken Sie auf Speichern (Save).
      • Anmelde-URL (Login URL) – Die Anmelde-URL wird in diesem Format angezeigt: https://<Orchestrator URL>/<Domain>/ login/doEnterpriseSsoLogin. Dabei ist <Domain> der Domänenname Ihres Unternehmens, den Sie bereits eingerichtet haben müssen, um die SSO-Authentifizierung für SASE Orchestrator zu aktivieren. Sie können den Domänennamen vom Unternehmensportal über die Seite Verwaltung (Administration) > Systemeinstellungen (System Settings) > Allgemeine Informationen (General Information) abrufen.
      • Umleitungs-URIs (Redirect URI‘s) – Die Umleitungs-URL von SASE Orchestrator hat das folgende Format: https://<Orchestrator URL>/login/ssologin/openidCallback. In der SASE Orchestrator-Anwendung finden Sie unten im Bildschirm Authentifizierung (Authentication) den Link zum Umleiten der URL.
    5. Doppelklicken Sie auf der Registerkarte Parameter (Parameters) unter OpenID Connect (OIDC) auf Gruppen (Groups).
      Das Popup-Fenster Feldgruppen bearbeiten (Edit Field Groups) wird angezeigt.
    6. Konfigurieren Sie Benutzerrollen mit dem Wert „--Keine Transformation--(Einzelwertausgabe) (--No transform--(Single value output))“, die im Gruppenattribut gesendet werden sollen, und klicken Sie auf Speichern (Save).
    7. Wählen Sie auf der Registerkarte SSO im Dropdown-MenüAnwendungstyp (Application Type) die Option Web aus.
    8. Wählen Sie im Dropdown-Menü Authentifizierungsmethode (Authentication Method) die Option POST als den Token-Endpoint aus und klicken Sie auf Speichern (Save).
      Notieren Sie auch die Clientanmeldedaten (Client-ID und geheimer Clientschlüssel), die während der SSO-Konfiguration in SASE Orchestrator verwendet werden sollen.
    9. Wählen Sie auf der Registerkarte Zugriff (Access) die Rollen aus, die zur Anmeldung berechtigt sind, und klicken Sie auf Speichern (Save).
  3. So fügen Sie Ihrer SASE Orchestrator-Anwendung Rollen und Benutzer hinzu:
    1. Klicken Sie auf Benutzer (Users) > Benutzer (Users) und wählen Sie einen Benutzer aus.
    2. Wählen Sie auf der Registerkarte Anwendung (Application) im Dropdown-Menü Rollen (Roles) auf der linken Seite eine Rolle aus, die dem Benutzer zugeordnet werden soll.
    3. Klicken Sie auf Benutzer speichern (Save Users).

Ergebnisse

Sie haben die Einrichtung einer OIDC-basierten Anwendung in OneLogin für SSO abgeschlossen.

Nächste Maßnahme

Konfigurieren Sie Single Sign-On in SASE Orchestrator.