ユーザーがシングル サインオンの認証情報を使用できるようにするには、サードパーティの ID プロバイダに対して Workspace ONE Access で OpenID Connect を構成します。

前提条件

  • Workspace ONE Access が、OAuth2 クライアントとして登録されていること、またはサードパーティの ID プロバイダに OAuth2 アプリケーションとして登録されていることを確認します。
    • authorization_code の付与が有効になっていること。
    • Workspace ONE Access のコールバック エンドポイントへの redirect_uri が設定されていること。

    この登録により、クライアント ID 名とクライアント シークレットが生成されます。これらの値は、Workspace ONE Access コンソールでサードパーティの ID プロバイダを構成するときに必要です。OAuth2 クライアントとアプリケーションの登録方法については、ID プロバイダのドキュメントを参照してください。

  • OpenID Connect エンドポイントを構成するために自動検出を使用している場合は、ID プロバイダの既知の公開された OpenID Connect アドレスの URL を確認します。
  • 手動構成プロセスを使用している場合は、OpenID Connect 認証エンドポイント、トークン エンドポイント、発行者 ID の URL および認証サーバのパブリック キーの JWKS URL を把握しておいてください。
  • Just-In-Time プロビジョニングを有効にする場合は、ユーザーの送信元のドメインを特定します。ドメイン名は、ログイン ページのドロップダウン メニューに表示されます。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。

手順

  1. Workspace ONE Access コンソールの [統合] > [ID プロバイダ] ページで、[追加] をクリックし、[OpenID Connect IDP] を選択します。
  2. 次の設定を行います。
    フォーム項目 説明
    ID プロバイダ名 OpenID Connect ID プロバイダ インスタンスのわかりやすい名前を入力します。
    認証の構成

    ID プロバイダが既知の公開された OpenID Connect URL を使用して OpenID Connect エンドポイントの構成 URL を取得する機能を備えている場合は、[自動検出] を選択します。URL には、https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration を入力します。

    自動検出を使用できない場合、または誤った情報が含まれている場合は、[手動構成] を選択して OpenID Connect URL エンドポイントを手動で追加します。

    次のエンドポイント URL は、自動検出を使用して構成されます。手動構成の場合は、各エンドポイントの URL を追加します。

    • 認証コードの付与を使用して認証コードを取得する認証エンドポイント URL。
    • トークン エンドポイント URL は、アクセス トークンを取得してトークンを更新するために使用されます。
    • 発行者 ID URL は、一連の要求を発行するエンティティの URL です。
    • JWKS URL は、JSON Web Key Set (JWKS) 形式の認証サーバのパブリック キーの URL です。
    クライアントの詳細
    • [クライアント ID。]Workspace ONE Access の一意の識別子である ID プロバイダによって生成されたクライアント ID。
    • [クライアント シークレット]。OpenID Connect ID プロバイダによって生成されたクライアン トシークレット。このシークレットは、ID プロバイダと Workspace ONE Access サービスにのみ知られています。

      このクライアント シークレットが ID プロバイダ サーバ上で変更された場合は、Workspace ONE Access サーバでクライアント シークレットを更新してください。

    ユーザー検索属性 [Open ID ユーザー ID 属性] 列で、[Workspace ONE Access ユーザー ID 属性] にマッピングする ID プロバイダ サービスのユーザー属性を選択します。マッピングされた属性値は、Workspace ONE Access サービス内のユーザー アカウントを検索するために使用されます。

    カスタムのサードパーティ属性を追加し、Workspace ONE Access サービスのユーザー属性値にマッピングすることができます。

    Just-in-Time ユーザー プロビジョニング Just-in-Time プロビジョニングが有効になっている場合、ユーザーは Workspace ONE Access で作成され、ID プロバイダから送信されるトークンに基づいて、ログイン時に動的に更新されます。

    [Just-in-Time] を有効にすると、Just-in-Time ディレクトリが作成されます。

    • [ディレクトリ名]。ユーザー アカウントの追加先となる JIT ディレクトリ名を入力します。
    • [ドメイン]。認証されたユーザーが属するドメインを入力します。複数のドメインが構成されている場合、ドメイン情報は Workspace ONE Access に送信されるトークンに含まれている必要があります。
    • ユーザー属性をマップします。[+追加] をクリックして、OpenID 要求を Workspace ONE Access 属性にマッピングします。これらの値は、ユーザー アカウントが Workspace ONE Access ディレクトリに作成されたときに追加されます。
    ユーザー JIT プロビジョニングを有効にしない場合は、この ID プロバイダを使用して認証できるユーザーを含むディレクトリを選択します。
    ネットワーク サービス内で構成されている既存のネットワーク範囲が表示されます。

    この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

    認証方法

    [認証方法名] テキスト ボックスに、アクセス ポリシーでサードパーティの OpenID Connect 認証方法を識別するための名前を入力します。アクセス ポリシー ルールを作成するときは、この認証方法を選択して、OpenID Connect 認証サーバに対して認証するようにユーザーをリダイレクトします。

    [認証方法の説明] テキスト ボックスには、ユーザーがこの認証方法を選択するのに役立つ認証方法の説明を入力します。このサードパーティ ID プロバイダの認証方法がアクセス ポリシー ルールの認証選択オプションである場合は、[説明] テキスト ボックスのテキストが [認証の選択] ログイン プロンプト ページに表示されます。認証アクセス ポリシー ルールの選択の設定を参照してください。

    このテキストは、エンド ユーザーのブラウザで指定された言語に自動的に翻訳されません。ただし、ログイン プロンプト ページの認証方法の下に表示される [説明] テキスト ボックスで、複数の言語のコンテンツを 1 つのエントリとして作成できます。

    パススルー要求 非標準の OpenID Connect 要求の使用をサポートするパススルー要求を有効にします。

    サードパーティの OpenID Connect ID プロバイダは、非標準の要求を Workspace ONE Access に送信します。Workspace ONE Access は、生成されたトークンにこれらの要求を追加します。

    リダイレクト用 URI リダイレクト用 URI は、ユーザーがログインした後に要求に対する応答が送信される場所です。URI がリストされます。
  3. [保存] をクリックします。

次のタスク

コンソールで、[リソース] > [ポリシー] ページに移動し、デフォルトのアクセス ポリシーを編集してポリシー ルールを追加し、使用する認証方法として OpenID 接続認証方法名を選択します。