Configure OpenID Connect en Workspace ONE Access para que el proveedor de identidades externo permita a los usuarios utilizar sus credenciales en el inicio de sesión único.

Requisitos previos

  • Asegúrese de que Workspace ONE Access esté registrado como un cliente de OAuth2 o como una aplicación de OAuth2 en el proveedor de identidades externo.
    • La concesión de authorization_code debe estar habilitada.
    • redirect_uri está establecido en el endpoint de devolución de llamada de Workspace ONE Access.

    Este registro genera el nombre del ID de cliente y el secreto de cliente. Estos valores son obligatorios cuando se configura el proveedor de identidades externo en la consola de Workspace ONE Access. Consulte la documentación del proveedor de identidades sobre cómo registrar los clientes y las aplicaciones de OAuth2.

  • Si utiliza la detección automática para configurar los endpoints de OpenID Connect, sepa cuál es la dirección URL de la dirección de OpenID Connect publicada que se conoce.
  • Si utiliza el proceso de configuración manual, sepa cuáles son las direcciones URL del endpoint de autorización de OpenID Connect, el identificador del token, el identificador del emisor y la dirección URL de JWKS de la clave pública del servidor de autorización.
  • Si habilita el aprovisionamiento Just-In-Time, identifique los dominios de donde provienen los usuarios. El nombre de dominio se mostrará en el menú desplegable de la página de inicio de sesión. Si se configura más de un dominio, la información de dominio debe estar en el token que se envía a Workspace ONE Access.

Procedimiento

  1. En la página Integraciones > Proveedores de identidades de la consola de Workspace ONE Access, haga clic en Agregar y seleccione IDP de OpenID Connect.
  2. Configure las siguientes opciones.
    Elemento del formulario Descripción
    Nombre del proveedor de identidades Escriba un nombre descriptivo para esta instancia del proveedor de identidades de OpenID Connect.
    Configuración de autenticación

    Seleccione Detección automática si el proveedor de identidades ofrece la capacidad de utilizar la dirección URL de OpenID Connect publicada bien conocida para obtener las direcciones URL de configuración de los endpoints de OpenID Connect. Introduzca la dirección URL como https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Seleccione Configuración manual para agregar manualmente las URL de los endpoints de OpenID Connect si no es posible usar la detección automática o si contiene información que no es correcta.

    Las siguientes direcciones URL de los endpoints están configuradas con la detección automática. Para la configuración manual, agregue las direcciones URL de cada uno de los endpoints.

    • Dirección URL del endpoint de autorización donde se obtiene el código de autorización mediante la concesión de código de autorización.
    • Dirección URL del endpoint de token, que se utiliza para obtener tokens de acceso y tokens de actualización.
    • Dirección URL del identificador de emisor, que es la dirección URL de la entidad que emite un conjunto de notificaciones.
    • URL de JWKS, que es la dirección URL de la clave pública del servidor de autorización en formato de conjunto de claves web de JSON (JWKS).
    Detalles del cliente
    • ID de cliente. Identificador de cliente generado por el proveedor de identidades que es el identificador único de Workspace ONE Access.
    • Secreto de cliente. El secreto de cliente que genera el proveedor de identidades de OpenID Connect. Este secreto solo lo conoce el proveedor de identidades y el servicio de Workspace ONE Access.

      Si este secreto de cliente se modifica en el servidor del proveedor de identidades, asegúrese de actualizar el secreto del cliente en el servidor de Workspace ONE Access.
    Atributo de búsqueda de usuario En la columna Atributo de identificador de usuario de OpenID, seleccione el atributo de usuario de los servicios del proveedor de identidades que se va a asignar a Atributo de identificador de usuario de Workspace ONE Access. Los valores de atributo asignados se utilizan para buscar la cuenta de usuario en el servicio Workspace ONE Access.

    Puede agregar un atributo personalizado de terceros y asignarlo a un valor de atributo de usuario en el servicio de Workspace ONE Access.

    Aprovisionamiento de usuarios Just-in-Time Cuando se habilita el aprovisionamiento Just-in-Time, se crean usuarios en Workspace ONE Access y se actualizan de forma dinámica cuando inician sesión, según el token que envía el proveedor de identidades.

    Cuando habilite Just-in-Time, debe crear el directorio Just-in-Time.

    • Nombre de directorio. Escriba el nombre del directorio JIT donde se agregan las cuentas de usuario.
    • Dominios. Introduzca los dominios a los que pertenecen los usuarios autenticados. Si se configura más de un dominio, la información de dominio debe estar en el token que se envía a Workspace ONE Access.
    • Asignar atributos de usuario. Haga clic en + AGREGAR para asignar las notificaciones de OpenID a los atributos de Workspace ONE Access. Estos valores se agregan cuando se crea la cuenta de usuario en el directorio de Workspace ONE Access.
    Usuarios Si no habilita el aprovisionamiento JIT, seleccione los directorios que incluyen a los usuarios que pueden autenticarse con este proveedor de identidades.
    Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

    Seleccione los rangos de redes para los usuarios en función de sus direcciones IP que desea dirigir a esta instancia de proveedor de identidades para la autenticación.

    Método de autenticación

    Introduzca un nombre para identificar el método de autenticación de OpenID Connect externo en la directiva de acceso.

    Cuando se crean las reglas de la directiva de acceso, hay que seleccionar este método de autenticación para redirigir a los usuarios y que se autentiquen con el servidor de autorización de OpenID Connect.
    Notificaciones de acceso directo Habilite las notificaciones de acceso directo para permitir el uso de notificaciones no estándar de OpenID Connect.

    El proveedor de identidades de OpenID Connect externo envía las notificaciones no estándar a Workspace ONE Access. Workspace ONE Access agrega estas notificaciones al token que se genera.

    URI de redireccionamiento El URI de redireccionamiento es donde se envía la respuesta a la solicitud después de que el usuario inicie sesión. Se muestra el URI en cuestión.
  3. Haga clic en GUARDAR.

Qué hacer a continuación

En la consola, vaya a la página Recursos > Directivas y edite la directiva de acceso predeterminada para agregar una regla de directiva para seleccionar el nombre del método de autenticación OpenID Connect como método de autenticación que se utilizará.