Configurez OpenID Connect dans Workspace ONE Access pour que votre fournisseur d'identité tiers autorise les utilisateurs à se servir de leurs informations d'identification pour Single Sign-On.

Conditions préalables

  • Assurez-vous que Workspace ONE Access est enregistré en tant que client OAuth2 ou en tant qu'application OAuth2 sur le fournisseur d'identité tiers.
    • Vous devez activer l'accord d'un authorization_code.
    • Vous devez définir le redirect_uri sur le point de terminaison de rappel Workspace ONE Access.

    Cet enregistrement génère le nom de l'ID client et la clé secrète du client. Ces valeurs sont requises lors de la configuration du fournisseur d'identité tiers dans la console Workspace ONE Access. Reportez-vous à la documentation du fournisseur d'identité sur l'enregistrement des clients et des applications OAuth2.

  • Vous devez connaître l'URL de l'adresse OpenID Connect publiée bien connue du fournisseur d'identité si vous utilisez la détection automatique pour configurer des points de terminaison OpenID Connect.
  • Vous devez connaître les URL du point de terminaison d'autorisation OpenID Connect, du point de terminaison de jeton, de l'identifiant de l'émetteur et l'URL JWKS de la clé publique du serveur d'autorisation si vous utilisez le processus de configuration manuelle.
  • Si vous activez le provisionnement juste-à-temps, identifiez les domaines à partir desquels les utilisateurs proviennent. Le nom de domaine s'affiche dans le menu déroulant de la page de connexion. En cas de configuration de plusieurs domaines, les informations de domaines doivent se trouver dans le jeton envoyé à Workspace ONE Access.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Fournisseurs d'identité, cliquez sur AJOUTER et sélectionnez IDP OpenID Connect.
  2. Configurez les paramètres suivants :
    Élément de formulaire Description
    Nom du fournisseur d'identité Entrez un nom convivial pour cette instance du fournisseur d'identité OpenID Connect.
    Configuration de l'authentification

    Sélectionnez Détection automatique si le fournisseur d'identité permet d'utiliser l'URL OpenID Connect publiée bien connue pour obtenir les URL de la configuration du point de terminaison OpenID Connect. Entrez l'URL en tant que https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Sélectionnez Configuration manuelle pour ajouter manuellement le point de terminaison d'URL OpenID Connect si l'utilisation de la découverte automatique n'est pas possible ou si elle contient des informations incorrectes.

    Les URL de point de terminaison suivantes sont configurées avec la découverte automatique. Pour la configuration manuelle, ajoutez les URL de chaque point de terminaison.

    • URL d'obtention du code d'autorisation, à l'aide de la concession du code d'autorisation.
    • L'URL du point de terminaison du jeton est utilisée pour obtenir des jetons d'accès et des jetons d'actualisation.
    • L'URL de l'identifiant de l'émetteur est celle de l'entité qui émet un ensemble de réclamations.
    • URL JWKS. est l'URL de la clé publique du serveur d'autorisation au format Jeu de clés Web JSON (JWKS).
    Détails du client
    • ID client. ID client généré par le fournisseur d'identité qui est l'identifiant unique de Workspace ONE Access.
    • Clé secrète du client. Clé secrète du client générée par le fournisseur d'identité OpenID Connect. Cette clé secrète n'est connue que du fournisseur d'identité et du service Workspace ONE Access.

      Si cette clé secrète du client est modifiée sur le serveur de fournisseur d'identité, assurez-vous de la mettre à jour dans le serveur Workspace ONE Access.
    Attribut de recherche d'utilisateur Dans la colonne Attribut d'identifiant d'utilisateur ID ouvert, sélectionnez l'attribut utilisateur dans les services du fournisseur d'identité à mapper à Attribut d'identifiant d'utilisateur de Workspace ONE Access. Les valeurs d'attribut mappées sont utilisées pour rechercher le compte d'utilisateur dans le service Workspace ONE Access.

    Vous pouvez ajouter un attribut tiers personnalisé et le mapper à une valeur d'attribut utilisateur dans le service Workspace ONE Access.

    Provisionnement d'utilisateurs juste-à-temps Lors de l'activation du provisionnement juste-à-temps, les utilisateurs sont créés dans Workspace ONE Access et mis à jour dynamiquement lorsqu'ils se connectent, en fonction du jeton envoyé par le fournisseur d'identité.

    Lorsque vous activez Juste-à-temps, créez l'annuaire Juste-à-temps.

    • Nom de l'annuaire. Entrez le nom de l'annuaire JIT dans lequel les comptes d'utilisateurs sont ajoutés.
    • Domaines. Entrez les domaines auxquels les utilisateurs authentifiés appartiennent. En cas de configuration de plusieurs domaines, les informations sur le domaine doivent se trouver dans le jeton envoyé à Workspace ONE Access.
    • Mappez les attributs utilisateur. Cliquez sur + AJOUTER pour mapper les réclamations OpenID aux attributs Workspace ONE Access. Ces valeurs sont ajoutées lors de la création du compte d'utilisateur dans l'annuaire Workspace ONE Access.
    Utilisateurs Si vous n'activez pas le provisionnement JIT, sélectionnez les annuaires qui incluent les utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité.
    Réseau Les plages réseau existantes configurées dans le service sont répertoriées.

    Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification.

    Méthode d'authentification

    Dans la zone de texte Nom de la méthode d'authentification, entrez un nom pour identifier la méthode d'authentification OpenID Connect tierce dans la stratégie d'accès. Lorsque vous créez les règles de stratégie d'accès, sélectionnez cette méthode d'authentification pour rediriger les utilisateurs afin qu'ils s'authentifient sur le serveur d'autorisation OpenID Connect.

    Dans la zone de texte Description de la méthode d'authentification, rédigez une description de la méthode d'authentification pour permettre aux utilisateurs de choisir cette méthode d'authentification. Le texte de la zone Description s'affiche sur la page d'invite de connexion Sélectionner une authentification lorsque cette méthode d'authentification de fournisseur d'identité tiers est une option de choix d'authentification dans une règle de stratégie d'accès. Reportez-vous à la section Configurer le choix des règles de stratégie d'accès d'authentification.

    Ce texte n'est pas automatiquement traduit dans les langues spécifiées par le navigateur de l'utilisateur final. Cependant, vous pouvez rédiger le contenu dans plusieurs langues sous la forme d'une entrée unique dans la zone de texte Description qui s'affiche sous la méthode d'authentification sur la page d'invite de connexion.

    Transmettre les réclamations Activez l'option Transmettre les réclamations pour prendre en charge l'utilisation de réclamations OpenID Connect non standard.

    Le fournisseur d'identité OpenID Connect tiers envoie les réclamations non standard à Workspace ONE Access. Workspace ONE Access ajoute ces réclamations au jeton généré.

    URI de redirection L'URI de redirection est l'emplacement où la réponse à la demande est envoyée lorsque l'utilisateur se connecte. L'URI est répertorié.
  3. Cliquez sur ENREGISTRER.

Que faire ensuite

Dans la console, accédez à la page Ressources > Stratégies et modifiez la stratégie d'accès par défaut pour ajouter une règle de stratégie afin de sélectionner le nom de la méthode d'authentification OpenID Connect comme méthode d'authentification à utiliser.