Configurez OpenID Connect dans Workspace ONE Access pour que votre fournisseur d'identité tiers autorise les utilisateurs à se servir de leurs informations d'identification pour Single Sign-On.

Conditions préalables

  • Assurez-vous que Workspace ONE Access est enregistré en tant que client OAuth2 ou en tant qu'application OAuth2 sur le fournisseur d'identité tiers.
    • Vous devez activer l'accord d'un authorization_code
    • Vous devez définir le redirect_uri sur le point de terminaison de rappel Workspace ONE Access

    Cet enregistrement génère le nom de l'ID client et la clé secrète du client. Ces valeurs sont requises lors de la configuration du fournisseur d'identité tiers dans la console Workspace ONE Access. Reportez-vous à la documentation du fournisseur d'identité sur l'enregistrement des clients et des applications OAuth2.

  • Vous devez connaître l'URL de l'adresse OpenID Connect publiée bien connue du fournisseur d'identité si vous utilisez la découverte automatique pour configurer des points de terminaison OpenID Connect.
  • Vous devez connaître les URL du point de terminaison d'autorisation OpenID Connect, du point de terminaison de jeton, de l'identifiant de l'émetteur et l'URL JWKS de la clé publique du serveur d'autorisation si vous utilisez le processus de configuration manuelle.
  • Si vous activez le provisionnement juste-à-temps, identifiez les domaines à partir desquels les utilisateurs proviennent. Le nom de domaine s'affiche dans le menu déroulant de la page de connexion. En cas de configuration de plusieurs domaines, les informations de domaines doivent se trouver dans le jeton envoyé à Workspace ONE Access.

Procédure

  1. Dans l'onglet Gestion des identités et des accès de la console Workspace ONE Access, sélectionnez Fournisseurs d'identité.
  2. Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP OpenID Connect.
  3. Configurez le formulaire du fournisseur d'identité OpenID Connect.
    Élément de formulaire Description
    Nom du fournisseur d'identité Entrez un nom convivial pour cette instance du fournisseur d'identité OpenID Connect.
    Configuration de l'authentification

    Sélectionnez Découverte automatique si le fournisseur d'identité permet d'utiliser l'URL OpenID Connect publiée bien connue pour obtenir les URL de la configuration du point de terminaison OpenID Connect. Entrez l'URL en tant que https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Sélectionnez Configuration manuelle pour ajouter manuellement le point de terminaison d'URL OpenID Connect si l'utilisation de la découverte automatique n'est pas possible ou si elle contient des informations incorrectes.

    Les URL de point de terminaison suivantes sont configurées avec la découverte automatique. Pour la configuration manuelle, ajoutez les URL de chaque point de terminaison.

    • URL d'obtention du code d'autorisation, à l'aide de la concession du code d'autorisation.
    • L'URL du point de terminaison du jeton est utilisée pour obtenir des jetons d'accès et des jetons d'actualisation.
    • L'URL de l'identifiant de l'émetteur est celle de l'entité qui émet un ensemble de réclamations.
    • URL JWKS. est l'URL de la clé publique du serveur d'autorisation au format Jeu de clés Web JSON (JWKS).
    Transmettre les réclamations Activez l'option Transmettre les réclamations pour prendre en charge l'utilisation de réclamations OpenID Connect non standard.

    Le fournisseur d'identité OpenID Connect tiers envoie les réclamations non standard à Workspace ONE Access. Workspace ONE Access ajoute ces réclamations au jeton généré.

    ID client ID client généré par le fournisseur d'identité qui est l'identifiant unique de Workspace ONE Access.
    Clé secrète du client Clé secrète du client générée par le fournisseur d'identité OpenID Connect. Cette clé secrète n'est connue que du fournisseur d'identité et du service Workspace ONE Access.

    Si cette clé secrète du client est modifiée sur le serveur de fournisseur d'identité, assurez-vous de la mettre à jour dans le serveur Workspace ONE Access.

    Attributs de recherche de l'utilisateur Dans la colonne Attribut d'identifiant d'utilisateur ID ouvert, sélectionnez l'attribut utilisateur dans les services du fournisseur d'identité à mapper aux attributs d'identifiant d'utilisateur Workspace ONE Access. Les valeurs d'attribut mappées sont utilisées pour rechercher le compte d'utilisateur dans Workspace ONE Access.

    Vous pouvez ajouter un attribut tiers personnalisé et le mapper à une valeur d'attribut utilisateur dans le service Workspace ONE Access.

    Activer le provisionnement JIT Lors de l'activation du provisionnement juste-à-temps, les utilisateurs sont créés dans Workspace ONE Access et mis à jour dynamiquement lorsqu'ils se connectent, en fonction du jeton envoyé par le fournisseur d'identité.

    Si vous activez JIT, configurez les éléments suivants.

    • Nom de l'annuaire. Entrez le nom de l'annuaire JIT dans lequel les comptes d'utilisateurs sont ajoutés.
    • Domaines. Entrez les domaines auxquels les utilisateurs authentifiés appartiennent. En cas de configuration de plusieurs domaines, les informations sur le domaine doivent se trouver dans le jeton envoyé à Workspace ONE Access.
    • Mappez les attributs utilisateur. Cliquez sur + pour mapper les réclamations OpenID aux attributs Workspace ONE Access. Ces valeurs sont ajoutées lors de la création du compte d'utilisateur dans l'annuaire Workspace ONE Access.
    Utilisateurs Si vous n'activez pas le provisionnement JIT, sélectionnez les annuaires qui incluent les utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité.
    Réseau Les plages réseau existantes configurées dans le service sont répertoriées.

    Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification.

    Nom de la méthode d'authentification

    Entrez un nom pour identifier la méthode d'authentification OpenID Connect tierce dans la stratégie d'accès.

    Lorsque vous créez les règles de stratégie d'accès, sélectionnez cette méthode d'authentification pour rediriger les utilisateurs afin qu'ils s'authentifient sur le serveur d'autorisation OpenID Connect.

Que faire ensuite

Accédez à la page Gestion des identités et des accès > Gérer > Stratégies et, dans la règle de stratégie d'accès par défaut, sélectionnez le nom de la méthode d'authentification OpenID Connect comme celle devant être utilisée.