OneLogin でシングル サインオン (SSO) のために OpenID Connect (OIDC) ベースのアプリケーションをセットアップするには、次の手順を実行します。
前提条件
ログインに必要な OneLogin アカウントがあることを確認します。
手順
- 新しいアプリケーションを作成するには、次の手順を実行します。
- 上部のナビゲーション バーで、[アプリケーション (Apps)] > [アプリケーションの追加 (Add Apps)] をクリックします。
- [アプリケーションの検索] テキスト ボックスで、「OpenId Connect」または「oidc」を検索し、[OpenId Connect (OIDC)] アプリケーションを選択します。
[OpenId Connect (OIDC) の追加 (Add OpenId Connect (OIDC))] 画面が表示されます。
- [表示名 (Display Name)] テキスト ボックスにアプリケーションの名前を入力し、[保存 (Save)] をクリックします。
- [設定 (Configuration)] タブで、ログイン URL (SSO の自動ログイン URL) と、SASE Orchestratorがコールバック エンドポイントとして使用するリダイレクト URI を入力し、[保存 (Save)] をクリックします。
- [ログイン URL (Login URL)]:ログイン URL は、https://<Orchestrator URL>/<Domain>/ login/doEnterpriseSsoLogin という形式になります。ここで、<Domain>は、SASE Orchestrator の SSO 認証を有効にするためにあらかじめ設定しておく必要があるエンタープライズのドメイン名です。ドメイン名は、エンタープライズ ポータル > [管理 (Administration)] > [システム設定 (System Settings)] > [全般情報 (General Information)] ページから取得できます。
- [リダイレクト URI (Redirect URI's)]:SASE Orchestratorリダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式になります。SASE Orchestrator アプリケーションの [認証 (Authentication)] 画面の下部にリダイレクト URL リンクがあります。
- [パラメータ (Parameters)] タブの [OpenId Connect (OIDC)] で、[グループ (Groups)] をダブルクリックします。
[フィールド グループの編集 (Edit Field Groups)] ポップアップが表示されます。
- 値「--No transform--(単一の値の出力)」を使用してグループ属性で送信するユーザー ロールを設定し、[保存 (Save)] をクリックします。
- [SSO] タブの [アプリケーション タイプ (Application Type)] ドロップダウン メニューで [Web] を選択します。
- [認証方法 (Authentication Method)] ドロップダウン メニューからトークン エンドポイントとして [POST] を選択し、[保存 (Save)] をクリックします。
また、 SASE Orchestrator での SSO の設定時に使用するクライアント認証情報(クライアント ID とクライアント シークレット)をメモしておきます。
- [アクセス (Access)] タブで、ログインが許可されるロールを選択し、[保存 (Save)] をクリックます。
結果
これで、OneLogin で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。
次のタスク
SASE Orchestrator でシングル サインオンを設定します。
