Konfigurieren Sie OpenID Connect in Workspace ONE Access für Ihren Identitätsdrittanbieter, damit Benutzer ihre Anmeldedaten für Single Sign-On verwenden können.

Voraussetzungen

  • Stellen Sie sicher, dass Workspace ONE Access als OAuth2-Client oder als OAuth2-Anwendung auf dem Identitätsdrittanbieter registriert ist.
    • Die authorization_code-Gewährung muss aktiviert sein
    • Der redirect_uri ist auf den Workspace ONE Access Callback-Endpoint festgelegt.

    Diese Registrierung generiert den Client-ID-Namen und den geheimen Clientschlüssel. Diese Werte sind erforderlich, wenn Sie den Identitätsdrittanbieter in der Workspace ONE Access-Konsole konfigurieren. Informationen zum Registrieren von OAuth2-Clients und Anwendungen finden Sie in der Dokumentation zum Identitätsanbieter.

  • Sie müssen die URL der bekannten veröffentlichten OpenID Connect-Adresse des Identitätsanbieters kennen, wenn Sie die automatische Ermittlung verwenden, um OpenID Connect-Endpoints zu konfigurieren.
  • Sie müssen die URLs für den OpenID Connect-Autorisierungsendpunkt, den Token-Endpoint, die Ausstelleridentifikation und die JWKS-URL des öffentlichen Schlüssels des Autorisierungsservers kennen, wenn Sie den manuellen Konfigurationsvorgang verwenden.
  • Wenn Sie die Just-in-Time-Bereitstellung aktivieren, identifizieren Sie die Domänen, von denen aus die Benutzer kommen. Der Domänenname wird im Dropdown-Menü auf der Anmeldeseite angezeigt. Wenn mehrere Domänen konfiguriert sind, müssen sich die Domäneninformationen in dem Token befinden, das an Workspace ONE Access gesendet wird.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Seite Komponenten > Identitätsanbieter den Identitätsanbieter mit der Bezeichnung OpenID Connect-IDP erstellen aus und konfigurieren Sie die Einstellungen des Identitätsanbieters.
    Formularelement Beschreibung
    Name des Identitätsanbieters Geben Sie einen Anzeigenamen für diese OpenID Connect-Identitätsanbieterinstanz ein.
    Authentifizierungskonfiguration

    Wählen Sie Automatische Ermittlung aus, wenn der Identitätsanbieter die Funktion bietet, die bekannte veröffentlichte OpenID Connect-URL zum Abrufen der OpenID Connect-Endpoint-Konfigurations-URLs verwendet. Geben Sie die URL als https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration ein.

    Wählen Sie Manuelle Konfiguration aus, um den OpenID Connect-URL-Endpoint manuell hinzuzufügen, wenn die automatische Ermittlung nicht möglich ist oder falsche Informationen enthält.

    Die folgenden Endpoint-URLs sind mit der automatischen Ermittlung konfiguriert. Fügen Sie für die manuelle Konfiguration die URLs für jeden der Endpoints hinzu.

    • Autorisierungsendpunkt-URL zum Abrufen des Autorisierungscodes unter Verwendung der Gewährung „Autorisierungscode“.
    • Die Token-Endpoint-URL wird verwendet, um Zugriffstoken zu erhalten und Token zu aktualisieren.
    • Die URL für die Ausstelleridentifikation ist die URL der Entität, die einen Anforderungssatz ausstellt.
    • JWKS-URL ist die URL des öffentlichen Schlüssels des Autorisierungsservers im JSON Web Key Set(JWKS)-Format.
    Passthrough-Beanspruchungen Aktivieren Sie Passthrough-Beanspruchungen, um die Verwendung von nicht standardmäßigen OpenID Connect-Beanspruchungen zu unterstützen.

    Der OpenID Connect-Identitätsdrittanbieter sendet die nicht standardmäßigen Beanspruchungen an Workspace ONE Access. Workspace ONE Access fügt diese Beanspruchungen dem generierten Token hinzu.

    Client-ID Die vom Identitätsanbieter generierte Client-ID, die der eindeutige Bezeichner für Workspace ONE Access ist.
    Geheimer Client-Schlüssel Der vom OpenID Connect-Identitätsanbieter generierte geheime Clientschlüssel. Dieser geheime Schlüssel ist nur dem Identitätsanbieter und dem Workspace ONE Access-Dienst bekannt.

    Falls der geheime Clientschlüssel auf dem Server des Identitätsanbieters geändert wird, stellen Sie sicher, dass Sie den geheimen Clientschlüssel auf dem Workspace ONE Access-Server aktualisieren.
    Benutzer-Nachschlageattribute Wählen Sie in der Spalte Attribut für OpenID-Benutzer-ID das Benutzerattribut in den Identitätsanbieterdiensten für die Zuordnung zu den Benutzeridentifizierungsattributen von Workspace ONE Access aus. Die zugeordneten Attributwerte werden verwendet, um das Benutzerkonto in Workspace ONE Access zu suchen.

    Sie können ein benutzerdefiniertes Attribut eines Drittanbieters hinzufügen und es einem Benutzerattributwert im Workspace ONE Access-Dienst zuordnen.

    JIT-Bereitstellung Wenn die Just-in-Time-Bereitstellung aktiviert ist, werden Benutzer in Workspace ONE Access erstellt und dynamisch aktualisiert, wenn sie sich auf der Basis des vom Identitätsanbieter gesendeten Tokens anmelden.

    Wenn Sie JIT aktivieren, konfigurieren Sie Folgendes.

    • Verzeichnisname. Geben Sie den Namen des JIT-Verzeichnisses ein, in dem Benutzerkonten hinzugefügt werden.
    • Domänen. Geben Sie die Domänen ein, zu denen authentifizierte Benutzer gehören. Wenn mehrere Domänen konfiguriert sind, müssen sich die Domäneninformationen in dem Token befinden, das an Workspace ONE Access gesendet wird.
    • Ordnen Sie die Benutzerattribute zu. Klicken Sie auf +, um OpenID-Ansprüche den Workspace ONE Access-Attributen zuzuordnen. Diese Werte werden hinzugefügt, wenn das Benutzerkonto im Workspace ONE Access-Verzeichnis erstellt wird.
    Benutzer Wenn Sie die JIT-Bereitstellung nicht aktivieren, wählen Sie die Verzeichnisse mit den Benutzern aus, die sich mit diesem Identitätsanbieter authentifizieren können.
    Netzwerk Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt.

    Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

    Name der Authentifizierungsmethode

    Geben Sie einen Namen ein, um die OpenID Connect-Drittanbieter-Authentifizierungsmethode in der Zugriffsrichtlinie zu identifizieren.

    Wenn Sie die Regeln für die Zugriffsrichtlinie erstellen, wählen Sie diese Authentifizierungsmethode aus, um Benutzer zur Authentifizierung beim OpenID Connect-Autorisierungsserver umzuleiten.
  2. Klicken Sie auf Hinzufügen.

Nächste Maßnahme

Navigieren Sie in der Konsole zur Seite „Ressourcen“ > „Richtlinien“ und bearbeiten Sie die Standardzugriffsrichtlinie, um eine Richtlinienregel hinzuzufügen, um den Namen der OpenID Connect-Authentifizierungsmethode als zu verwendende Authentifizierungsmethode auszuwählen.