Workspace ONE Access での OpenID Connect サードパーティの ID プロバイダの追加と構成 (クラウドのみ)

ユーザーがシングルサインオンの認証情報を使用できるようにするには、サードパーティの ID プロバイダに対して Workspace ONE Access で OpenID Connect を構成します。

前提条件

Workspace ONE Access が、OAuth2 クライアントとして登録されていること、またはサードパーティの ID プロバイダに OAuth2 アプリケーションとして登録されていることを確認します。
- authorization_code の付与が有効になっていること。
- Workspace ONE Access のコールバックエンドポイントへの redirect_uri が設定されていること。
この登録により、クライアント ID 名とクライアントシークレットが生成されます。これらの値は、Workspace ONE Access コンソールでサードパーティの ID プロバイダを構成するときに必要です。OAuth2 クライアントとアプリケーションの登録方法については、ID プロバイダのドキュメントを参照してください。
OpenID Connect エンドポイントを構成するために自動検出を使用している場合は、ID プロバイダの既知の公開された OpenID Connect アドレスの URL を確認します。
手動構成プロセスを使用している場合は、OpenID Connect 認証エンドポイント、トークンエンドポイント、発行者 ID の URL および認証サーバのパブリックキーの JWKS URL を把握しておいてください。
Just-In-Time プロビジョニングを有効にする場合は、ユーザーの送信元のドメインを特定します。ドメイン名は、ログインページのドロップダウンメニューに表示されます。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。

手順

Workspace ONE Access コンソールの [統合] > [ID プロバイダ] ページで、[追加] をクリックし、[OpenID Connect IDP] を選択します。

次の設定を行います。


フォーム項目	説明
ID プロバイダ名	OpenID Connect ID プロバイダインスタンスのわかりやすい名前を入力します。
認証の構成	ID プロバイダが既知の公開された OpenID Connect URL を使用して OpenID Connect エンドポイントの構成 URL を取得する機能を備えている場合は、[自動検出] を選択します。URL には、`https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration` を入力します。自動検出を使用できない場合、または誤った情報が含まれている場合は、[手動構成] を選択して OpenID Connect URL エンドポイントを手動で追加します。次のエンドポイント URL は、自動検出を使用して構成されます。手動構成の場合は、各エンドポイントの URL を追加します。認証コードの付与を使用して認証コードを取得する認証エンドポイント URL。トークンエンドポイント URL は、アクセストークンを取得してトークンを更新するために使用されます。発行者 ID URL は、一連の要求を発行するエンティティの URL です。 JWKS URL は、JSON Web Key Set (JWKS) 形式の認証サーバのパブリックキーの URL です。
クライアントの詳細	[クライアント ID。]Workspace ONE Access の一意の識別子である ID プロバイダによって生成されたクライアント ID。 [クライアントシークレット]。OpenID Connect ID プロバイダによって生成されたクライアントシークレット。このシークレットは、ID プロバイダと Workspace ONE Access サービスにのみ知られています。このクライアントシークレットが ID プロバイダサーバ上で変更された場合は、Workspace ONE Access サーバでクライアントシークレットを更新してください。
ユーザー検索属性	[Open ID ユーザー ID 属性] 列で、[Workspace ONE Access ユーザー ID 属性] にマッピングする ID プロバイダサービスのユーザー属性を選択します。マッピングされた属性値は、Workspace ONE Access サービス内のユーザーアカウントを検索するために使用されます。カスタムのサードパーティ属性を追加し、Workspace ONE Access サービスのユーザー属性値にマッピングすることができます。
Just-in-Time ユーザープロビジョニング	Just-in-Time プロビジョニングが有効になっている場合、ユーザーは Workspace ONE Access で作成され、ID プロバイダから送信されるトークンに基づいて、ログイン時に動的に更新されます。 [Just-in-Time] を有効にすると、Just-in-Time ディレクトリが作成されます。 [ディレクトリ名]。ユーザーアカウントの追加先となる JIT ディレクトリ名を入力します。 [ドメイン]。認証されたユーザーが属するドメインを入力します。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。ユーザー属性をマップします。[+追加] をクリックして、OpenID 要求を Workspace ONE Access 属性にマッピングします。これらの値は、ユーザーアカウントが Workspace ONE Access ディレクトリに作成されたときに追加されます。
ユーザー	JIT プロビジョニングを有効にしない場合は、この ID プロバイダを使用して認証できるユーザーを含むディレクトリを選択します。
ネットワーク	サービス内で構成されている既存のネットワーク範囲が表示されます。この ID プロバイダインスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。
認証方法	アクセスポリシーでサードパーティの OpenID Connect 認証方法を識別するための名前を入力します。アクセスポリシールールを作成するときは、この認証方法を選択して、OpenID Connect 認証サーバに対して認証するようにユーザーをリダイレクトします。
パススルー要求	非標準の OpenID Connect 要求の使用をサポートするパススルー要求を有効にします。サードパーティの OpenID Connect ID プロバイダは、非標準の要求を Workspace ONE Access に送信します。Workspace ONE Access は、生成されたトークンにこれらの要求を追加します。
リダイレクト用 URI	リダイレクト用 URI は、ユーザーがログインした後に要求に対する応答が送信される場所です。URI がリストされます。

[保存] をクリックします。

次のタスク

コンソールで、[リソース] > [ポリシー] ページに移動し、デフォルトのアクセスポリシーを編集してポリシールールを追加し、使用する認証方法として OpenID 接続認証方法名を選択します。