Para configurar una aplicación basada en OpenID Connect (OIDC) en PingIdentity para Single Sign On (SSO), realice los pasos de este procedimiento.
Requisitos previos
Asegúrese de tener una cuenta de PingOne para iniciar sesión.
Nota: Actualmente,
SASE Orchestrator admite PingOne como socio de identidad (Identity Partner, IDP). Sin embargo, es posible configurar fácilmente cualquier producto PingIdentity compatible con OIDC.
Procedimiento
Inicie sesión en la cuenta de PingOne como usuario administrador.
Se mostrará la pantalla de inicio de
PingOne.
Para crear una nueva aplicación:
En la barra de navegación superior, haga clic en Aplicaciones (Applications).
En la pestaña Mis aplicaciones (My Applications), seleccione OIDC y haga clic en Agregar aplicación (Add Application).
Se abrirá la ventana emergente
Agregar aplicación de OIDC (Add OIDC Application).
Proporcione detalles básicos, como el nombre, una descripción breve y la categoría de la aplicación, y haga clic en Siguiente (Next).
En CONFIGURACIÓN DE AUTORIZACIÓN (AUTHORIZATION SETTINGS), seleccione Código de autorización (Authorization Code) para Tipos de concesión permitidos (Allowed grant types) y haga clic en Siguiente (Next).
Además, anote la URL de detección y las credenciales del cliente (Identificador de cliente (Client ID) y Secreto de cliente (Client Secret)) que se utilizarán durante la configuración de SSO en
SASE Orchestrator.
En FLUJO DE SSO Y CONFIGURACIÓN DE AUTORIZACIÓN (SSO FLOW AND AUTHORIZATION SETTINGS), proporcione valores válidos para URL de SSO de inicio (Start SSO URL) y URL de redireccionamiento (Redirect URL), y haga clic en Siguiente (Next).
En la aplicación
SASE Orchestrator, en la parte inferior de la pantalla
Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de
SASE Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback. La URL de SSO de inicio tendrá el siguiente formato: https://<URL de Orchestrator>/<nombre de dominio>/login/doEnterpriseSsoLogin.
En CONTRATO DE ATRIBUTO DE PERFIL DE USUARIO PREDETERMINADO (DEFAULT USER PROFILE ATTRIBUTE CONTRACT), haga clic en Agregar atributo (Add Attribute) para agregar atributos de perfil de usuario adicionales.
En el cuadro de texto Nombre de atributo (Attribute Name), introduzca group_membership. A continuación, seleccione la casilla de verificación Obligatorio (Required) y seleccione Siguiente (Next).
Nota: Se requiere el atributo
group_membership para recuperar las funciones de PingOne.
En ÁMBITOS DE CONEXIÓN (CONNECT SCOPES), seleccione los ámbitos que se pueden solicitar para la aplicación SASE Orchestrator durante la autenticación y haga clic en Siguiente (Next).
En Asignación de atributos (Attribute Mapping), asigne los atributos del repositorio de identidades a las notificaciones disponibles para la aplicación SASE Orchestrator.
Nota: Las asignaciones mínimas requeridas para que la integración funcione son: email, given_name, family_name, phone_number, sub y group_membership (asignado a memberOf).
En Acceso de grupo (Group Access), seleccione todos los grupos de usuarios que deben tener acceso a la aplicación SASE Orchestrator y haga clic en Listo (Done).
La aplicación se agregará a su cuenta y estará disponible en la pantalla
Mi aplicación (My Application).
Resultados
Completó la configuración de una aplicación basada en OIDC en PingOne para SSO.