Configure OpenID Connect en Workspace ONE Access para que el proveedor de identidades externo permita a los usuarios utilizar sus credenciales en el inicio de sesión único.

Requisitos previos

  • Asegúrese de que Workspace ONE Access esté registrado como un cliente de OAuth2 o como una aplicación de OAuth2 en el proveedor de identidades externo.
    • La concesión de authorization_code debe estar habilitada.
    • redirect_uri se debe establecer en el endpoint de devolución de llamada de Workspace ONE Access.

    Este registro genera el nombre del ID de cliente y el secreto de cliente. Estos valores son obligatorios cuando se configura el proveedor de identidades externo en la consola de Workspace ONE Access. Consulte la documentación del proveedor de identidades sobre cómo registrar los clientes y las aplicaciones de OAuth2.

  • Si utiliza la detección automática para configurar los endpoints de OpenID Connect, sepa cuál es la dirección URL de la dirección de OpenID Connect publicada que se conoce.
  • Si utiliza el proceso de configuración manual, sepa cuáles son las direcciones URL del endpoint de autorización de OpenID Connect, el identificador del token, el identificador del emisor y la dirección URL de JWKS de la clave pública del servidor de autorización.
  • Si habilita el aprovisionamiento Just-In-Time, identifique los dominios de donde provienen los usuarios. El nombre de dominio se mostrará en el menú desplegable de la página de inicio de sesión. Si se configura más de un dominio, la información de dominio debe estar en el token que se envía a Workspace ONE Access.

Procedimiento

  1. En la pestaña Administración de acceso e identidad de la consola de Workspace ONE Accessseleccione Proveedores de identidades.
  2. Haga clic en Agregar proveedor de identidades y seleccione Crear IDP de OpenID Connect.
  3. Configure el formulario del proveedor de identidades de OpenID Connect.
    Elemento del formulario Descripción
    Nombre del proveedor de identidades Escriba un nombre descriptivo para esta instancia del proveedor de identidades de OpenID Connect.
    Configuración de autenticación

    Seleccione Detección automática si el proveedor de identidades ofrece la capacidad de utilizar la dirección URL de OpenID Connect publicada bien conocida para obtener las direcciones URL de configuración de los endpoints de OpenID Connect. Introduzca la dirección URL como https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Seleccione Configuración manual para agregar manualmente las URL de los endpoints de OpenID Connect si no es posible usar la detección automática o si contiene información que no es correcta.

    Las siguientes direcciones URL de los endpoints están configuradas con la detección automática. Para la configuración manual, agregue las direcciones URL de cada uno de los endpoints.

    • Dirección URL del endpoint de autorización donde se obtiene el código de autorización mediante la concesión de código de autorización.
    • Dirección URL del endpoint de token, que se utiliza para obtener tokens de acceso y tokens de actualización.
    • Dirección URL del identificador de emisor, que es la dirección URL de la entidad que emite un conjunto de notificaciones.
    • URL de JWKS, que es la dirección URL de la clave pública del servidor de autorización en formato de conjunto de claves web de JSON (JWKS).
    Notificaciones de acceso directo Habilite las notificaciones de acceso directo para permitir el uso de notificaciones no estándar de OpenID Connect.

    El proveedor de identidades de OpenID Connect externo envía las notificaciones no estándar a Workspace ONE Access. Workspace ONE Access agrega estas notificaciones al token que se genera.

    ID del cliente El identificador de cliente generado por el proveedor de identidades que es el identificador único de Workspace ONE Access.
    Secreto de cliente El secreto de cliente que genera el proveedor de identidades de OpenID Connect. Este secreto solo lo conoce el proveedor de identidades y el servicio de Workspace ONE Access.

    Si este secreto de cliente se modifica en el servidor del proveedor de identidades, asegúrese de actualizar el secreto del cliente en el servidor de Workspace ONE Access.

    Atributos de búsqueda de usuarios En la columna Atributo de identificador de usuario de OpenID, seleccione el atributo de usuario en los servicios del proveedor de identidades que se va a asignar a los atributos de identificador de usuario de Workspace ONE Access. Los valores de atributos asignados se utilizan para buscar la cuenta de usuario en Workspace ONE Access.

    Puede agregar un atributo personalizado de terceros y asignarlo a un valor de atributo de usuario en el servicio de Workspace ONE Access.

    Habilitar aprovisionamiento JIT Cuando se habilita el aprovisionamiento Just-in-Time, se crean usuarios en Workspace ONE Access y se actualizan de forma dinámica cuando inician sesión, según el token que envía el proveedor de identidades.

    Si habilita JIT, configure las siguientes opciones.

    • Nombre de directorio. Escriba el nombre del directorio JIT donde se agregan las cuentas de usuario.
    • Dominios. Introduzca los dominios a los que pertenecen los usuarios autenticados. Si se configura más de un dominio, la información de dominio debe estar en el token que se envía a Workspace ONE Access.
    • Asignar atributos de usuario. Haga clic en + para asignar las notificaciones de OpenID a los atributos de Workspace ONE Access. Estos valores se agregan cuando se crea la cuenta de usuario en el directorio de Workspace ONE Access.
    Usuarios Si no habilita el aprovisionamiento JIT, seleccione los directorios que incluyen a los usuarios que pueden autenticarse con este proveedor de identidades.
    Red Incluye una lista de los rangos de redes existentes configurados en el servicio.

    Seleccione los rangos de redes para los usuarios en función de sus direcciones IP que desea dirigir a esta instancia de proveedor de identidades para la autenticación.

    Nombre del método de autenticación

    Introduzca un nombre para identificar el método de autenticación de OpenID Connect externo en la directiva de acceso.

    Cuando se crean las reglas de la directiva de acceso, hay que seleccionar este método de autenticación para redirigir a los usuarios y que se autentiquen con el servidor de autorización de OpenID Connect.

Qué hacer a continuación

Vaya a la página Administración de acceso e identidad > Administrar > Directivas y, en la regla de la directiva de acceso predeterminada, seleccione el nombre del método de autenticación de OpenID Connect como el método de autenticación que se utilizará.