Configurare OpenID Connect in Workspace ONE Access per il provider di identità di terze parti per consentire agli utenti di utilizzare le proprie credenziali per Single Sign-On.

Prerequisiti

  • Assicurarsi che Workspace ONE Access sia registrato come client OAuth2 o come applicazione OAuth2 nel provider di identità di terze parti.
    • È necessario abilitare la concessione autorization_code.
    • Redirect_uri deve essere impostato sull'endpoint di callback di Workspace ONE Access.

    Questa registrazione genera il nome dell'ID client e il segreto client. Questi valori sono obbligatori quando si configura il provider di identità di terze parti nella console di Workspace ONE Access. Per informazioni su come registrare i client e le applicazioni OAuth2, fare riferimento alla documentazione del provider di identità.

  • Se si utilizza Auto Discovery per configurare gli endpoint di OpenID Connect, è necessario conoscere l'URL dell'indirizzo di OpenID Connect pubblicato noto del provider di identità.
  • Se si utilizza il processo di configurazione manuale, è necessario conoscere gli URL per l'endpoint di autorizzazione di OpenID Connect, l'endpoint del token, l'identificatore dell'emittente e l'URL JWKS della chiave pubblica del server di autorizzazione.
  • Se si abilita il provisioning Just-in-Time, identificare i domini da cui provengono gli utenti. Il nome del dominio viene visualizzato nel menu a discesa nella pagina di accesso. Se sono configurati più domini, le informazioni del dominio devono trovarsi nel token inviato a Workspace ONE Access.

Procedura

  1. Nella pagina Integrazioni > Provider di identità della console di Workspace ONE Access, fare clic su AGGIUNGI e selezionare Provider di identità OpenID Connect.
  2. Configurare le impostazioni seguenti.
    Elemento del modulo Descrizione
    Nome del provider di identità Immettere un nome descrittivo per l'istanza del provider di identità di OpenID Connect.
    Configurazione autenticazione

    Selezionare Rilevamento automatico se il provider di identità offre la possibilità di utilizzare l'URL di OpenID Connect pubblicato noto per ottenere gli URL di configurazione dell'endpoint di OpenID Connect. Immettere l'URL come https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Selezionare Configurazione manuale per aggiungere manualmente l'endpoint dell'URL di OpenID Connect se non è possibile utilizzare Auto Discovery o contiene informazioni errate.

    I seguenti URL dell'endpoint vengono configurati con Auto Discovery. Per la configurazione manuale, aggiungere gli URL per ogni endpoint.

    • URL dell'endpoint di autorizzazione da cui ottenere il codice di autorizzazione utilizzando la concessione del codice di autorizzazione.
    • L'URL dell'endpoint del token viene utilizzato per ottenere i token di accesso e i token di aggiornamento.
    • L'URL dell'identificatore dell'emittente è l'URL dell'entità che emette un set di attestazioni.
    • L'URL JWKS è l'URL della chiave pubblica del server di autorizzazione nel formato JWKS (JSON Web Key Set).
    Dettagli client
    • ID client. ID client generato dal provider di identità che rappresenta l'identificatore univoco per Workspace ONE Access.
    • Segreto client. Segreto client generato dal provider di identità OpenID Connect. Questo segreto è noto solo al provider di identità e al servizio Workspace ONE Access.

      Se il segreto client viene modificato nel server del provider di identità, assicurarsi di aggiornare il segreto client nel server Workspace ONE Access.

    Attributo di ricerca utente Nella colonna Attributo identificatore utente di Open ID, selezionare l'attributo utente nei servizi del provider di identità da mappare a Attributo identificatore utente di Workspace ONE Access. I valori dell'attributo mappato vengono utilizzati per cercare l'account utente nel servizio Workspace ONE Access.

    È possibile aggiungere un attributo di terze parti personalizzato e mapparlo a un valore di attributo utente nel servizio Workspace ONE Access.

    Provisioning utente Just-in-Time Quando è abilitato il provisioning Just-in-Time, gli utenti vengono creati in Workspace ONE Access e vengono aggiornati dinamicamente quando eseguono l'accesso, in base al token inviato dal provider di identità.

    Quando si abilita Just-in-Time, creare la directory Just-in-Time.

    • Nome directory. Immettere il nome della directory JIT in cui sono stati aggiunti gli account utente.
    • Domini. Immettere i domini a cui appartengono gli utenti autenticati. Se sono configurati più domini, le informazioni del dominio devono trovarsi nel token inviato a Workspace ONE Access.
    • Mappa attributi utente. Fare clic su + AGGIUNGI per mappare le attestazioni di OpenID agli attributi di Workspace ONE Access. Questi valori vengono aggiunti quando l'account utente viene creato nella directory di Workspace ONE Access.
    Utenti Se non si abilita il provisioning JIT, selezionare le directory che includono gli utenti che possono eseguire l'autenticazione utilizzando questo provider di identità.
    Rete Sono elencati gli intervalli di rete esistenti configurati nel servizio.

    Selezionare, in base ai rispettivi indirizzi IP, gli intervalli di rete degli utenti che si desidera indirizzare a questa istanza di provider di identità per l'autenticazione.

    Metodo di autenticazione

    Nella casella di testo Nome metodo di autenticazione, immettere un nome per identificare il metodo di autenticazione di terze parti OpenID Connect nel criterio di accesso. Quando si creano le regole del criterio di accesso, si seleziona questo metodo di autenticazione per reindirizzare gli utenti all'autenticazione nel server di autorizzazione di OpenID Connect

    Nella casella di testo Descrizione metodo di autenticazione, scrivere una descrizione del metodo di autenticazione per consentire agli utenti di sceglierlo. Il testo nella casella di testo Descrizione viene visualizzato nella pagina di richiesta di accesso Seleziona autenticazione quando questo metodo di autenticazione del provider di identità di terze parti è una delle opzioni che possono essere scelte per l'autenticazione in una regola del criterio di accesso. Vedere Configurazione della scelta delle regole dei criteri di accesso di autenticazione.

    Questo testo non viene tradotto automaticamente nelle lingue specificate dal browser dell'utente finale. Tuttavia, è possibile inserire il contenuto in più lingue come una singola voce nella casella di testo Descrizione visualizzata sotto il metodo di autenticazione nella pagina della richiesta di accesso.

    Attestazioni pass-through Abilitare le attestazioni pass-through per supportare l'utilizzo di attestazioni non standard di OpenID Connect.

    Il provider di identità di terze parti OpenID Connect invia le attestazioni non standard a Workspace ONE Access. Workspace ONE Access aggiunge queste attestazioni al token che viene generato.

    URI di reindirizzamento L'URI di reindirizzamento è quello utilizzato per inviare la risposta alla richiesta dopo l'accesso dell'utente. Viene indicato l'URI.
  3. Fare clic su SALVA.

Operazioni successive

Nella pagina Risorse > Criteri della console, modificare il criterio di accesso predefinito per aggiungere una regola del criterio e selezionare il nome del metodo di autenticazione OpenID Connect come metodo di autenticazione da utilizzare.