Per configurare un'applicazione basata su OpenID Connect (OIDC) per Single Sign-On (SSO) in PingIdentity, eseguire i passaggi descritti in questa procedura.
Prerequisiti
Assicurarsi di disporre di un account PingOne per accedere.
Nota: Al momento,
SASE Orchestrator supporta PingOne come provider di identità (IDP) ma qualsiasi prodotto PingIdentity che supporta OIDC può essere facilmente configurato.
Procedura
Accedere al proprio account di PingOne come utente amministratore.
Viene visualizzata la schermata principale di
PingOne.
Per creare una nuova applicazione:
Nella barra di navigazione superiore, fare clic su Applicazioni (Applications).
Nella scheda Applicazioni personali (My Applications), selezionare OIDC e fare clic su Aggiungi applicazione (Add Application).
Viene visualizzata la finestra popup
Aggiungi applicazione OIDC (Add OIDC Application).
Specificare i dettagli di base quali nome, descrizione breve e categoria per l'applicazione e fare clic su Avanti (Next).
In IMPOSTAZIONI DI AUTORIZZAZIONE (AUTHORIZATION SETTINGS), selezionare Codice di autorizzazione (Authorization Code) come tipi di concessioni consentite e fare clic su Avanti (Next).
Prendere inoltre nota dell'URL di rilevamento e delle credenziali del client (ID client e segreto client) da utilizzare durante la configurazione SSO in
SASE Orchestrator.
In IMPOSTAZIONI DI FLUSSO E AUTENTICAZIONE SSO (SSO FLOW AND AUTHENTICATION SETTINGS), specificare valori validi per l'URL SSO di avvio e URL di reindirizzamento, quindi fare clic su Avanti (Next).
Nell'applicazione
SASE Orchestrator, nella parte inferiore della schermata
Configura autenticazione (Configure Authentication) è disponibile il link dell'URL di reindirizzamento. Idealmente, l'URL di reindirizzamento di
SASE Orchestrator avrà questo formato: https://<URL Orchestrator>/login/ssologin/openidCallback. L'URL SSO di avvio sarà nel formato https://<URL Orchestrator>/<nome dominio>/login/doEnterpriseSsoLogin.
In CONTRATTO ATTRIBUTO PROFILO UTENTE PREDEFINITO (DEFAULT USER PROFILE ATTRIBUTE CONTRACT), fare clic su Aggiungi attributo (Add Attribute) per aggiungere attributi aggiuntivi per il profilo utente.
Nella casella di testo Nome attributo (Attribute Name), immettere group_membership, quindi selezionare la casella di controllo Obbligatorio (Required) e selezionare Avanti (Next).
Nota: L'attributo
group_membership è necessario per recuperare i ruoli da PingOne.
In AMBITI DI CONNESSIONE (CONNECT SCOPES), selezionare gli ambiti che possono essere richiesti per l'applicazione SASE Orchestrator durante l'autenticazione e fare clic su Avanti (Next).
In Mappatura attributi (Attribute Mapping), mappare gli attributi del repository di identità alle attestazioni disponibili per l'applicazione SASE Orchestrator.
Nota: Le mappature obbligatorie minime per il funzionamento dell'integrazione sono email, given_name, family_name, phone_number, sub e group_membership (mappato a memberOf).
In Accesso gruppi (Group Access), selezionare tutti i gruppi di utenti che devono poter accedere all'applicazione SASE Orchestrator e fare clic su Fine (Done).
L'applicazione verrà aggiunta al proprio account e sarà disponibile nella schermata
Applicazioni personali (My Application).
risultati
È stata completata l'impostazione di un'applicazione basata su OIDC in PingOne per SSO.