ユーザーがシングル サインオンの認証情報を使用できるようにするには、サードパーティの ID プロバイダに対して Workspace ONE Access で OpenID Connect を構成します。

前提条件

  • Workspace ONE Access が、OAuth2 クライアントとして登録されていること、またはサードパーティの ID プロバイダに OAuth2 アプリケーションとして登録されていることを確認します。
    • 認証コードの付与が有効になっていること
    • Workspace ONE Access のコールバック エンドポイントへのリダイレクト用 URI が設定されていること

    この登録により、クライアント ID 名とクライアント シークレットが生成されます。これらの値は、Workspace ONE Access コンソールでサードパーティの ID プロバイダを構成するときに必要です。OAuth2 クライアントとアプリケーションの登録方法については、ID プロバイダのドキュメントを参照してください。

  • OpenID Connect エンドポイントを構成するために自動検出を使用している場合は、ID プロバイダの既知の公開された OpenID Connect アドレスの URL を確認します。
  • 手動構成プロセスを使用している場合は、OpenID Connect 認証エンドポイント、トークン エンドポイント、発行者 ID の URL および認証サーバのパブリック キーの JWKS URL を把握しておいてください。
  • Just-In-Time プロビジョニングを有効にする場合は、ユーザーの送信元のドメインを特定します。ドメイン名は、ログイン ページのドロップダウン メニューに表示されます。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。

手順

  1. Workspace ONE Access コンソールの [ID とアクセス管理] タブで、[ID プロバイダ] を選択します。
  2. [ID プロバイダを追加] をクリックして、[OpenID Connect IDP の作成] を選択します。
  3. OpenID Connect ID プロバイダ フォームを構成します。
    フォーム項目 説明
    ID プロバイダ名 OpenID Connect ID プロバイダ インスタンスのわかりやすい名前を入力します。
    認証の設定

    ID プロバイダが既知の公開された OpenID Connect URL を使用して OpenID Connect エンドポイントの構成 URL を取得する機能を備えている場合は、[自動検出] を選択します。URL には、https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration を入力します。

    自動検出を使用できない場合、または誤った情報が含まれている場合は、[手動構成] を選択して OpenID Connect URL エンドポイントを手動で追加します。

    次のエンドポイント URL は、自動検出を使用して構成されます。手動構成の場合は、各エンドポイントの URL を追加します。

    • 認証コードの付与を使用して認証コードを取得する認証エンドポイント URL。
    • トークン エンドポイント URL は、アクセス トークンを取得してトークンを更新するために使用されます。
    • 発行者 ID URL は、一連の要求を発行するエンティティの URL です。
    • JWKS URL は、JSON Web Key Set (JWKS) 形式の認証サーバのパブリック キーの URL です。
    パススルー要求 非標準の OpenID Connect 要求の使用をサポートするパススルー要求を有効にします。

    サードパーティの OpenID Connect ID プロバイダは、非標準の要求を Workspace ONE Access に送信します。Workspace ONE Access は、生成されたトークンにこれらの要求を追加します。

    クライアント ID Workspace ONE Access の一意の識別子である ID プロバイダによって生成されたクライアント ID。
    クライアント シークレット OpenID Connect ID プロバイダによって生成されたクライアン トシークレット。このシークレットは、ID プロバイダと Workspace ONE Access サービスにのみ知られています。

    このクライアント シークレットが ID プロバイダ サーバ上で変更された場合は、Workspace ONE Access サーバでクライアント シークレットを更新してください。

    ユーザー検索の属性 [Open ID ユーザー ID 属性] 列で、ID プロバイダ サービスのユーザー属性を選択し、Workspace ONE Access ユーザー ID 属性にマッピングします。マッピングされた属性値は、Workspace ONE Access 内のユーザー アカウントを検索するために使用されます。

    カスタムのサードパーティ属性を追加し、Workspace ONE Access サービスのユーザー属性値にマッピングすることができます。

    JIT プロビジョニングを有効にする Just-in-Time プロビジョニングが有効になっている場合、ユーザーは Workspace ONE Access で作成され、ID プロバイダから送信されるトークンに基づいて、ログイン時に動的に更新されます。

    JIT を有効にする場合は、以下を設定します。

    • [ディレクトリ名]。ユーザー アカウントの追加先となる JIT ディレクトリ名を入力します。
    • [ドメイン]。認証されたユーザーが属するドメインを入力します。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。
    • ユーザー属性をマップします。[+] をクリックして、OpenID 要求を Workspace ONE Access 属性にマッピングします。これらの値は、ユーザー アカウントが Workspace ONE Access ディレクトリに作成されたときに追加されます。
    ユーザー JIT プロビジョニングを有効にしない場合は、この ID プロバイダを使用して認証できるユーザーを含むディレクトリを選択します。
    ネットワーク サービスに構成されている既存のネットワーク範囲が表示されます。

    この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

    認証方法名

    アクセス ポリシーでサードパーティの OpenID Connect 認証方法を識別するための名前を入力します。

    アクセス ポリシー ルールを作成するときは、この認証方法を選択して、OpenID Connect 認証サーバに対して認証するようにユーザーをリダイレクトします。

次のタスク

[ID とアクセス管理] > [管理] > [ポリシー] ページに移動し、デフォルトのアクセス ポリシー ルールで、使用する認証方法として OpenID Connect 認証方法の名前を選択します。