Configurare OpenID Connect in Workspace ONE Access per il provider di identità di terze parti per consentire agli utenti di utilizzare le proprie credenziali per Single Sign-On.

Prerequisiti

  • Assicurarsi che Workspace ONE Access sia registrato come client OAuth2 o come applicazione OAuth2 nel provider di identità di terze parti.
    • È necessario abilitare la concessione authorization_code
    • Redirect_uri deve essere impostato sull'endpoint di callback di Workspace ONE Access

    Questa registrazione genera il nome dell'ID client e il segreto client. Questi valori sono obbligatori quando si configura il provider di identità di terze parti nella console di Workspace ONE Access. Per informazioni su come registrare i client e le applicazioni OAuth2, fare riferimento alla documentazione del provider di identità.

  • Se si utilizza Auto Discovery per configurare gli endpoint di OpenID Connect, è necessario conoscere l'URL dell'indirizzo di OpenID Connect pubblicato noto del provider di identità.
  • Se si utilizza il processo di configurazione manuale, è necessario conoscere gli URL per l'endpoint di autorizzazione di OpenID Connect, l'endpoint del token, l'identificatore dell'emittente e l'URL JWKS della chiave pubblica del server di autorizzazione.
  • Se si abilita il provisioning Just-in-Time, identificare i domini da cui provengono gli utenti. Il nome del dominio viene visualizzato nel menu a discesa nella pagina di accesso. Se sono configurati più domini, le informazioni del dominio devono trovarsi nel token inviato a Workspace ONE Access.

Procedura

  1. Nella pagina Componenti > Provider di identità della console di Workspace ONE Access, selezionare il provider di identità con etichetta Crea IDP di OpenID Connect e configurare le impostazioni del provider di identità.
    Elemento del modulo Descrizione
    Nome del provider di identità Immettere un nome descrittivo per l'istanza del provider di identità di OpenID Connect.
    Configurazione autenticazione

    Selezionare Auto Discovery se il provider di identità offre la possibilità di utilizzare l'URL di OpenID Connect pubblicato noto per ottenere gli URL di configurazione dell'endpoint di OpenID Connect. Immettere l'URL come https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Selezionare Configurazione manuale per aggiungere manualmente l'endpoint dell'URL di OpenID Connect se non è possibile utilizzare Auto Discovery o contiene informazioni errate.

    I seguenti URL dell'endpoint vengono configurati con Auto Discovery. Per la configurazione manuale, aggiungere gli URL per ogni endpoint.

    • URL dell'endpoint di autorizzazione da cui ottenere il codice di autorizzazione utilizzando la concessione del codice di autorizzazione.
    • L'URL dell'endpoint del token viene utilizzato per ottenere i token di accesso e i token di aggiornamento.
    • L'URL dell'identificatore dell'emittente è l'URL dell'entità che emette un set di attestazioni.
    • L'URL JWKS è l'URL della chiave pubblica del server di autorizzazione nel formato JWKS (JSON Web Key Set).
    Attestazioni pass-through Abilitare le attestazioni pass-through per supportare l'utilizzo di attestazioni non standard di OpenID Connect.

    Il provider di identità di terze parti OpenID Connect invia le attestazioni non standard a Workspace ONE Access. Workspace ONE Access aggiunge queste attestazioni al token che viene generato.

    ID client ID client generato dal provider di identità che rappresenta l'identificatore univoco per Workspace ONE Access.
    Segreto client Segreto client generato dal provider di identità OpenID Connect. Questo segreto è noto solo al provider di identità e al servizio Workspace ONE Access.

    Se il segreto client viene modificato nel server del provider di identità, assicurarsi di aggiornare il segreto client nel server Workspace ONE Access.
    Attributi di ricerca utente Nella colonna Attributo identificatore utente di Open ID, selezionare l'attributo utente nei servizi del provider di identità da mappare agli attributi dell'identificatore utente di Workspace ONE Access. I valori degli attributi mappati vengono utilizzati per cercare l'account utente in Workspace ONE Access.

    È possibile aggiungere un attributo di terze parti personalizzato e mapparlo a un valore di attributo utente nel servizio Workspace ONE Access.

    Abilita provisioning JIT Quando è abilitato il provisioning Just-in-Time, gli utenti vengono creati in Workspace ONE Access e vengono aggiornati dinamicamente quando eseguono l'accesso, in base al token inviato dal provider di identità.

    Se si abilita JIT, configurare quanto segue.

    • Nome directory. Immettere il nome della directory JIT in cui sono stati aggiunti gli account utente.
    • Domini. Immettere i domini a cui appartengono gli utenti autenticati. Se sono configurati più domini, le informazioni del dominio devono trovarsi nel token inviato a Workspace ONE Access.
    • Mappa attributi utente. Fare clic su + per mappare le attestazioni di OpenID agli attributi di Workspace ONE Access. Questi valori vengono aggiunti quando l'account utente viene creato nella directory di Workspace ONE Access.
    Utenti Se non si abilita il provisioning JIT, selezionare le directory che includono gli utenti che possono eseguire l'autenticazione utilizzando questo provider di identità.
    Rete Sono elencati gli intervalli di rete esistenti configurati nel servizio.

    Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione.

    Nome metodo di autenticazione

    Immettere un nome per identificare il metodo di autenticazione di terze parti di OpenID Connect nel criterio di accesso.

    Quando si creano le regole del criterio di accesso, si seleziona questo metodo di autenticazione per reindirizzare gli utenti all'autenticazione nel server di autorizzazione di OpenID Connect.
  2. Fare clic su Aggiungi.

Operazioni successive

Nella pagina Risorse > Criteri della console, modificare il criterio di accesso predefinito per aggiungere una regola del criterio e selezionare il nome del metodo di autenticazione OpenID Connect come metodo di autenticazione da utilizzare.