Konfigurieren Sie OpenID Connect in Workspace ONE Access für Ihren Identitätsdrittanbieter, damit Benutzer ihre Anmeldedaten für Single Sign-On verwenden können.

Voraussetzungen

  • Stellen Sie sicher, dass Workspace ONE Access als OAuth2-Client oder als OAuth2-Anwendung auf dem Identitätsdrittanbieter registriert ist.
    • Die authorization_code-Gewährung muss aktiviert sein.
    • Der redirect_uri ist auf den Workspace ONE Access Callback-Endpoint festgelegt.

    Diese Registrierung generiert den Client-ID-Namen und den geheimen Clientschlüssel. Diese Werte sind erforderlich, wenn Sie den Identitätsdrittanbieter in der Workspace ONE Access-Konsole konfigurieren. Informationen zum Registrieren von OAuth2-Clients und -Anwendungen finden Sie in der Dokumentation zum Identitätsanbieter.

  • Sie müssen die URL der bekannten veröffentlichten OpenID Connect-Adresse des Identitätsanbieters kennen, wenn Sie die automatische Ermittlung verwenden, um OpenID Connect-Endpoints zu konfigurieren.
  • Sie müssen die URLs für den OpenID Connect-Autorisierungsendpunkt, den Token-Endpoint, die Ausstelleridentifikation und die JWKS-URL des öffentlichen Schlüssels des Autorisierungsservers kennen, wenn Sie den manuellen Konfigurationsvorgang verwenden.
  • Wenn Sie die Just-in-Time-Bereitstellung aktivieren, identifizieren Sie die Domänen, von denen aus die Benutzer kommen. Der Domänenname wird im Dropdown-Menü auf der Anmeldeseite angezeigt. Wenn mehrere Domänen konfiguriert sind, müssen sich die Domäneninformationen in dem Token befinden, das an Workspace ONE Access gesendet wird.

Prozedur

  1. Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Integrationen > Identitätsanbieter auf HINZUFÜGEN und wählen Sie OpenID Connect-Identitätsanbieter aus.
  2. Konfigurieren Sie die folgenden Einstellungen.
    Formularelement Beschreibung
    Name des Identitätsanbieters Geben Sie einen Anzeigenamen für diese OpenID Connect-Identitätsanbieterinstanz ein.
    Authentifizierungskonfiguration

    Wählen Sie Automatische Ermittlung aus, wenn der Identitätsanbieter die Funktion bietet, die bekannte veröffentlichte OpenID Connect-URL zum Abrufen der OpenID Connect-Endpoint-Konfigurations-URLs verwendet. Geben Sie die URL als https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration ein.

    Wählen Sie Manuelle Konfiguration aus, um den OpenID Connect-URL-Endpoint manuell hinzuzufügen, wenn die automatische Ermittlung nicht möglich ist oder falsche Informationen enthält.

    Die folgenden Endpoint-URLs sind mit der automatischen Ermittlung konfiguriert. Fügen Sie für die manuelle Konfiguration die URLs für jeden der Endpoints hinzu.

    • Autorisierungsendpunkt-URL zum Abrufen des Autorisierungscodes unter Verwendung der Gewährung „Autorisierungscode“.
    • Die Token-Endpoint-URL wird verwendet, um Zugriffstoken zu erhalten und Token zu aktualisieren.
    • Die URL für die Ausstelleridentifikation ist die URL der Entität, die einen Anforderungssatz ausstellt.
    • JWKS-URL ist die URL des öffentlichen Schlüssels des Autorisierungsservers im JSON Web Key Set(JWKS)-Format.
    Client-Details
    • Client-ID.Die vom Identitätsanbieter generierte Client-ID, die der eindeutige Bezeichner für Workspace ONE Access ist.
    • Geheimer Client-Schlüssel. Der vom OpenID Connect-Identitätsanbieter generierte geheime Clientschlüssel. Dieser geheime Schlüssel ist nur dem Identitätsanbieter und dem Workspace ONE Access-Dienst bekannt.

      Falls der geheime Clientschlüssel auf dem Server des Identitätsanbieters geändert wird, stellen Sie sicher, dass Sie den geheimen Clientschlüssel auf dem Workspace ONE Access-Server aktualisieren.

    Benutzersuchattribut Wählen Sie in der Spalte Attribut für OpenID-Benutzer-ID das Benutzerattribut in den Identitätsanbieterdiensten aus, das dem Attribut für Workspace ONE Access-Benutzer-ID zugeordnet werden soll. Die zugeordneten Attributwerte werden für die Suche nach dem Benutzerkonto im Workspace ONE Access-Dienst verwendet.

    Sie können ein benutzerdefiniertes Attribut eines Drittanbieters hinzufügen und es einem Benutzerattributwert im Workspace ONE Access-Dienst zuordnen.

    Just-in-Time-Benutzerbereitstellung Wenn die Just-in-Time-Bereitstellung aktiviert ist, werden Benutzer in Workspace ONE Access erstellt und dynamisch aktualisiert, wenn sie sich auf der Basis des vom Identitätsanbieter gesendeten Tokens anmelden.

    Wenn Sie Just-in-Time aktivieren, erstellen Sie das Just-in-Time-Verzeichnis.

    • Verzeichnisname. Geben Sie den Namen des JIT-Verzeichnisses ein, in dem Benutzerkonten hinzugefügt werden.
    • Domänen. Geben Sie die Domänen ein, zu denen authentifizierte Benutzer gehören. Wenn mehrere Domänen konfiguriert sind, müssen sich die Domäneninformationen in dem Token befinden, das an Workspace ONE Access gesendet wird.
    • Ordnen Sie die Benutzerattribute zu. Klicken Sie auf + HINZUFÜGEN, um OpenID-Ansprüche den Workspace ONE Access-Attributen zuzuordnen. Diese Werte werden hinzugefügt, wenn das Benutzerkonto im Workspace ONE Access-Verzeichnis erstellt wird.
    Benutzer Wenn Sie die JIT-Bereitstellung nicht aktivieren, wählen Sie die Verzeichnisse mit den Benutzern aus, die sich mit diesem Identitätsanbieter authentifizieren können.
    Netzwerk Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt.

    Wählen Sie die Netzwerkbereiche der Benutzer anhand ihrer IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.

    Authentifizierungsmethode

    Geben Sie einen Namen ein, um die OpenID Connect-Drittanbieter-Authentifizierungsmethode in der Zugriffsrichtlinie zu identifizieren.

    Wenn Sie die Regeln für die Zugriffsrichtlinie erstellen, wählen Sie diese Authentifizierungsmethode aus, um Benutzer zur Authentifizierung beim OpenID Connect-Autorisierungsserver umzuleiten.

    Passthrough-Beanspruchungen Aktivieren Sie Passthrough-Beanspruchungen, um die Verwendung von nicht standardmäßigen OpenID Connect-Beanspruchungen zu unterstützen.

    Der OpenID Connect-Identitätsdrittanbieter sendet die nicht standardmäßigen Beanspruchungen an Workspace ONE Access. Workspace ONE Access fügt diese Beanspruchungen dem generierten Token hinzu.

    Umleitungs-URI Die Umleitungs-URI ist der Ort, an den die Antwort auf die Anfrage gesendet wird, nachdem sich der Benutzer angemeldet hat. Der URI wird aufgelistet.
  3. Klicken Sie auf SPEICHERN.

Nächste Maßnahme

Navigieren Sie in der Konsole zur Seite „Ressourcen“ > „Richtlinien“ und bearbeiten Sie die Standardzugriffsrichtlinie, um eine Richtlinienregel hinzuzufügen, um den Namen der OpenID Connect-Authentifizierungsmethode als zu verwendende Authentifizierungsmethode auszuwählen.