SSO(싱글 사인온)에 대해 PingIdentity에서 OIDC(OpenID Connect) 기반 애플리케이션을 설정하려면 이 절차의 단계를 수행하십시오.
사전 요구 사항
로그인할 PingOne 계정이 있는지 확인합니다.
참고: 현재
SASE Orchestrator에서는 PingOne을 IDP(ID 파트너)로 지원합니다. 그러나 OIDC를 지원하는 모든 PingIdentity 제품은 쉽게 구성할 수 있습니다.
프로시저
- 새 애플리케이션을 생성하려면 다음을 수행합니다.
- 위쪽 탐색 모음에서 애플리케이션(Applications)을 클릭합니다.
- 내 애플리케이션(My Applications) 탭에서 OIDC를 선택하고 애플리케이션 추가(Add Application)를 클릭합니다.
OIDC 애플리케이션 추가(Add OIDC Application) 팝업 창이 나타납니다.
- 애플리케이션의 이름, 간단한 설명 및 범주와 같은 기본 세부 정보를 제공하고 다음(Next)을 클릭합니다.
- 인증 설정(AUTHORIZATION SETTINGS)에서 허용되는 인증 유형으로 인증 코드(Authorization Code)를 선택하고 다음(Next)을 클릭합니다.
또한 SASE Orchestrator에서 SSO 구성 중에 사용할 검색 URL 및 클라이언트 자격 증명(클라이언트 ID 및 클라이언트 암호)을 적어 둡니다.
- SSO 흐름 및 인증 설정(SSO FLOW AND AUTHENTICATION SETTINGS)에서 시작 SSO URL 및 리디렉션 URL에 유효한 값을 제공하고 다음(Next)을 클릭합니다.
SASE Orchestrator 애플리케이션에서 인증 구성(Configure Authentication) 화면의 아래쪽에 있는 리디렉션 URL 링크를 찾을 수 있습니다. 이상적인 SASE Orchestrator 리디렉션 URL은 https://<Orchestrator URL>/login/ssologin/openidCallback 형식입니다. 시작 SSO URL은 https://<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin 형식이 됩니다.
- 기본 사용자 프로필 특성 계약(DEFAULT USER PROFILE ATTRIBUTE CONTRACT)에서 특성 추가(Add Attribute)를 클릭하여 추가 사용자 프로필 특성을 추가합니다.
- 특성 이름(Attribute Name) 텍스트 상자에 group_membership을 입력한 다음, 필수(Required) 확인란을 선택하고 다음(Next)을 선택합니다.
참고: group_membership 특성은 PingOne에서 역할을 검색하는 데 필요합니다.
- 연결 범위(CONNECT SCOPES)에서 인증하는 동안 SASE Orchestrator 애플리케이션에 대해 요청할 수 있는 범위를 선택하고 다음(Next)을 클릭합니다.
- 특성 매핑(Attribute Mapping)에서 SASE Orchestrator 애플리케이션에 사용할 수 있는 클레임에 ID 저장소 특성을 매핑합니다.
참고: 통합이 작동하는 데 필요한 최소 매핑은 email, given_name, family_name, phone_number, sub 및 group_membership(memberOf에 매핑)입니다.
- 그룹 액세스(Group Access)에서 SASE Orchestrator 애플리케이션에 액세스할 수 있어야 하는 모든 사용자 그룹을 선택하고 완료(Done)를 클릭합니다.
애플리케이션이 계정에 추가되고 내 애플리케이션(My Application) 화면에서 사용할 수 있게 됩니다.
- 위쪽 탐색 모음에서 애플리케이션(Applications)을 클릭합니다.
결과
SSO를 위해 PingOne에서 OIDC 기반 애플리케이션 설정을 완료했습니다.
다음에 수행할 작업
SASE Orchestrator에서 싱글 사인온을 구성합니다.
