PingIdentity でシングル サインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な PingOne アカウントがあることを確認します。
注: 現在、 SASE Orchestrator は、ID パートナー (IDP) として PingOne をサポートしています。ただし、OIDC をサポートするすべての PingIdentity 製品は簡単に設定できます。

手順

  1. PingOne アカウントに管理者ユーザーとしてログインします。
    [PingOne] ホーム画面が表示されます。
  2. 新しいアプリケーションを作成するには、次の手順を実行します。
    1. 上部のナビゲーション バーで、[アプリケーション (Applications)] をクリックします。
    2. [マイ アプリケーション (My Applications)] タブで [OIDC] を選択し、[アプリケーションの追加 (Add Application)] をクリックします。
      [OIDC アプリケーションの追加 (Add OIDC Application)] ポップアップ ウィンドウが表示されます。
    3. アプリケーションの名前、短い説明、カテゴリなどの基本的な詳細を入力し、[次へ (Next)] をクリックします。
    4. [認証設定 (AUTHORIZATION SETTINGS)] で、許可された付与タイプとして [認証コード (Authorization Code)] を選択し、[次へ (Next)] をクリックします。
      また、 SASE Orchestrator での SSO の設定時に使用する検出 URL とクライアント認証情報(クライアント ID とクライアント シークレット)をメモしておきます。
    5. [SSO フローおよび認証設定 (SSO FLOW AND AUTHENTICATION SETTINGS)] で、SSO の開始 URL およびリダイレクト URL の有効な値を指定し、[次へ (Next)] をクリックします。
      SASE Orchestrator アプリケーションの [認証の設定 (Configure Authentication)] 画面の下部にリダイレクト URL リンクがあります。 SASE Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。SSO の開始 URL は https://<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin という形式になります。
    6. [デフォルトのユーザー プロファイル属性契約 (DEFAULT USER PROFILE ATTRIBUTE CONTRACT)][属性の追加 (Add Attribute)] をクリックして、ユーザー プロファイルの属性を追加します。
    7. [属性名 (Attribute Name)] テキスト ボックスに group_membership と入力し、[必須 (Required)] チェックボックスをオンにして、[次へ (Next)] を選択します。
      注: PingOne からロールを取得するには、 group_membership 属性が必要です。
    8. [接続範囲 (CONNECT SCOPES)] で、認証時に SASE Orchestrator アプリケーションに対して要求できる範囲を選択し、[次へ (Next)] をクリックします。
    9. [属性マッピング (Attribute Mapping)] で、ID リポジトリの属性を SASE Orchestrator アプリケーションで使用可能な要求にマッピングします。
      注: 統合が機能するために必要な最低限のマッピングは、email、given_name、family_name、phone_number、sub、および group_membership(memberOf にマッピングされる)です。
    10. [グループ アクセス (Group Access)] で、SASE Orchestrator アプリケーションにアクセスする必要があるすべてのユーザー グループを選択し、[完了 (Done)] をクリックします。
      アプリケーションがアカウントに追加され、 [マイ アプリケーション (My Application)] 画面で使用できるようになります。

結果

これで、PingOne で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のタスク

SASE Orchestrator でシングル サインオンを設定します。