Pour configurer une application basée sur OpenID Connect (OIDC) dans PingIdentity pour l'authentification unique (SSO, Single Sign-On), suivez les étapes de cette procédure.
Conditions préalables
Assurez-vous de disposer d'un compte PingOne pour vous connecter.
Note : Actuellement,
SASE Orchestrator prend en charge PingOne en tant que partenaire d'identité (IDP). Cependant, tous les produits PingIdentity prenant en charge OIDC peuvent être facilement configurés.
Procédure
Connectez-vous à votre compte PingOne en tant qu'utilisateur admin.
L'écran d'accueil
PingOne s'affiche.
Pour créer une application :
Dans la barre de navigation supérieure, cliquez sur Applications.
Dans l'onglet Mes applications (My Applications), sélectionnez OIDC, puis cliquez sur Ajouter une application (Add Application).
La fenêtre contextuelle
Ajouter une application OIDC (Add OIDC Application) s'affiche.
Fournissez des détails de base tels que le nom, une description courte et la catégorie de l'application, puis cliquez sur Suivant (Next).
Sous AUTHORIZATION SETTINGS, sélectionnez Code d'autorisation (Authorization Code) comme types d'attributions autorisés et cliquez sur Suivant (Next).
Notez également l'URL de découverte et les informations d'identification de client (ID de client et clé secrète de client) à utiliser lors de la configuration SSO dans
SASE Orchestrator.
Sous SSO FLOW AND AUTHENTICATION SETTINGS, fournissez des valeurs valides pour l'URL de démarrage SSO (Start SSO URL) et l'URL de redirection (Redirect URL), puis cliquez sur Suivant (Next).
Dans l'application
SASE Orchestrator, en bas de l'écran
Configurer l'authentification (Configure Authentication), vous trouverez le lien d'URL de direction. Idéalement, l'URL de direction de
SASE Orchestrator est au format suivant : https://<Orchestrator URL>/login/ssologin/openidCallback. L'URL de démarrage SSO est au format suivant : https://<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin.
Sous DEFAULT USER PROFILE ATTRIBUTE CONTRACT, cliquez sur Ajouter un attribut (Add Attribute) pour ajouter des attributs de profil d'utilisateur supplémentaires.
Dans la zone de texte Nom d'attribut (Attribute Name), entrez group_membership, puis cochez la case Requis (Required) et sélectionnez Suivant (Next).
Note : L'attribut
group_membership est requis pour récupérer des rôles à partir de PingOne.
Sous CONNECT SCOPES, sélectionnez les étendues qui peuvent être demandées pour votre application SASE Orchestrator pendant l'authentification, puis cliquez sur Suivant (Next).
Sous Mappage d'attributs (Attribute Mapping), mappez vos attributs de référentiel d'identités aux réclamations disponibles pour votre application SASE Orchestrator.
Note : Les mappages minimaux requis pour que l'intégration fonctionne sont email, given_name, family_name, phone_number, sub et group_membership (mappés à memberOf).
Sous Accès des groupes (Group Access), sélectionnez tous les groupes d'utilisateurs qui doivent avoir accès à votre application SASE Orchestrator, puis cliquez sur Terminé (Done).
L'application est ajoutée à votre compte et elle sera disponible sur l'écran
Mon application (My Application).
Résultats
Vous avez terminé la configuration d'une application basée sur OIDC dans PingOne pour SSO.
Que faire ensuite
Configurez l'authentification unique dans SASE Orchestrator.