사용자가 Single Sign-On에 대한 자격 증명을 사용할 수 있도록 타사 ID 제공자의 Workspace ONE Access에서 OpenID Connect를 구성합니다.

사전 요구 사항

  • 타사 ID 제공자에서 Workspace ONE Access를 OAuth2 클라이언트 또는 OAuth2 애플리케이션으로 등록했는지 확인합니다.
    • authorization_code 권한 부여를 사용하도록 설정해야 합니다.
    • Redirect_uri는 Workspace ONE Access 콜백 끝점으로 설정됩니다.

    이 등록은 클라이언트 ID 이름 및 클라이언트 암호를 생성합니다. 이러한 값은 Workspace ONE Access 콘솔에서 타사 ID 제공자를 구성할 때 필요합니다. OAuth2 클라이언트 및 애플리케이션을 등록하는 방법에 대해서는 ID 제공자 설명서를 참조하십시오.

  • 자동 검색을 사용하여 OpenID Connect 끝점을 구성하는 경우 ID 제공자의 잘 알려진 게시된 OpenID Connect 주소에 대한 URL을 알고 있어야 합니다.
  • 수동 구성 프로세스를 사용하는 경우 인증 서버의 공개 키에 대한 OpenID Connect 인증 끝점, 토큰 끝점, 발급자 식별자 및 JWKS URL에 대한 URL을 알고 있어야 합니다.
  • Just-in-time 프로비저닝을 사용하도록 설정하는 경우 사용자가 속하는 도메인을 식별합니다. [로그인] 페이지의 드롭다운 메뉴에 도메인 이름이 표시됩니다. 둘 이상의 도메인이 구성된 경우 도메인 정보가 Workspace ONE Access에 전송된 토큰에 있어야 합니다.

프로시저

  1. Workspace ONE Access 콘솔의 통합 > ID 제공자 페이지에서 추가를 클릭하고 OpenID Connect IDP를 선택합니다.
  2. 다음 설정을 구성하십시오.
    양식 항목 설명
    ID 제공자 이름 이 OpenID Connect ID 제공자 인스턴스의 이름을 입력합니다.
    인증 구성

    ID 제공자가 잘 알려진 게시된 OpenID Connect URL을 사용하여 OpenID Connect 끝점 구성 URL을 가져오는 기능을 제공하는 경우 자동 검색을 선택합니다. URL을 https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration으로 입력합니다.

    자동 검색을 사용할 수 없거나 잘못된 정보가 포함된 경우에는 수동 구성을 선택하여 OpenID Connect URL 끝점을 수동으로 추가합니다.

    다음 끝점 URL은 자동 검색을 사용하여 구성됩니다. 수동 구성의 경우 각 끝점에 대한 URL을 추가합니다.

    • 끝점 인증 코드 부여를 사용하여 인증 코드를 가져올 인증 끝점 URL입니다.
    • 토큰 끝점 URL은 액세스 토큰을 가져오고 토큰을 새로 고침하는 데 사용됩니다.
    • 발급자 식별자 URL은 클레임 집합을 발급하는 엔티티의 URL입니다.
    • JWKS URL. JWKS(JSON Web Key Set) 형식의 인증 서버 공용 키 URL입니다.
    클라이언트 세부 정보
    • 클라이언트 ID. Workspace ONE Access에 대한 고유 식별자에 해당하는 ID 제공자에서 생성한 클라이언트 ID입니다.
    • 클라이언트 암호. OpenID Connect ID 제공자에 의해 생성된 클라이언트 암호입니다. 이 암호는 ID 제공자와 Workspace ONE Access 서비스에만 알려져 있습니다.

      ID 제공자 서버에서 이 클라이언트 암호가 변경된 경우 Workspace ONE Access 서버에서 클라이언트 암호를 업데이트해야 합니다.

    사용자 조회 특성 OpenID 사용자 식별자 특성 열에서 Workspace ONE Access 사용자 식별자 특성에 매핑할 ID 제공자 서비스의 사용자 특성을 선택합니다. 매핑된 특성 값은 Workspace ONE Access 서비스에서 사용자 계정을 조회하는 데 사용됩니다.

    사용자 지정 타사 특성을 추가하여 Workspace ONE Access 서비스의 사용자 특성 값에 매핑할 수 있습니다.

    Just-in-Time 사용자 프로비저닝 Just-in-Time 프로비저닝을 사용하도록 설정한 경우 사용자는 ID 제공자가 전송한 토큰을 기준으로, Workspace ONE Access에서 생성되고 로그인할 때 동적으로 업데이트됩니다.

    Just-in-Time을 사용하도록 설정하면 Just-in-Time 디렉토리를 생성합니다.

    • 디렉토리 이름. 사용자 계정이 추가되는 JIT 디렉토리 이름을 입력합니다.
    • 도메인. 인증된 사용자가 속하는 도메인을 입력합니다. 둘 이상의 도메인이 구성된 경우 도메인 정보가 Workspace ONE Access에 전송된 토큰에 있어야 합니다.
    • 사용자 특성을 매핑합니다. + 추가를 클릭하여 OpenID 클레임을 Workspace ONE Access 특성에 매핑합니다. 이러한 값은 Workspace ONE Access 디렉토리에 사용자 계정이 생성될 때 추가됩니다.
    사용자 JIT 프로비저닝을 사용하도록 설정하지 않은 경우 이 ID 제공자를 사용하여 인증할 수 있는 사용자가 포함된 디렉토리를 선택합니다.
    네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다.

    사용자 IP 주소를 기반으로 사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.

    인증 방법

    인증 방법 이름 텍스트 상자에 액세스 정책에서 타사 OpenID Connect 인증 방법을 식별하는 이름을 입력합니다. 액세스 정책 규칙을 생성할 때 이 인증 방법을 선택하여 사용자를 OpenID Connect 인증 서버에 대해 인증을 받도록 리디렉션합니다.

    인증 방법 설명 텍스트 상자에 사용자가 이 인증 방법을 선택하는 데 도움이 되는 인증 방법에 대한 설명을 작성합니다. 이 타사 ID 제공자 인증 방법이 액세스 정책 규칙의 인증 선택 옵션인 경우 설명 텍스트 상자의 텍스트가 [인증 선택] 로그인 프롬프트 페이지에 표시됩니다. 인증 액세스 정책 규칙 선택 설정의 내용을 참조하십시오.

    이 텍스트는 최종 사용자의 브라우저에서 지정한 언어로 자동 변환되지 않습니다. 그러나 [설명] 텍스트 상자에서는 로그인 프롬프트 페이지의 인증 방법 아래에 표시되는 컨텐츠를 여러 언어로 단일 항목으로 작성할 수 있습니다.

    클레임 통과 클레임 통과를 사용하도록 설정하여 비표준 OpenID Connect 클레임 사용을 지원합니다.

    타사 OpenID Connect ID 제공자는 Workspace ONE Access에 비표준 클레임을 전송합니다. Workspace ONE Access는 이러한 클레임을 생성된 토큰에 추가합니다.

    리디렉션 URI 리디렉션 URI는 사용자가 로그인한 후 요청에 대한 응답이 전송되는 위치입니다. URI가 나열됩니다.
  3. 저장을 클릭합니다.

다음에 수행할 작업

콘솔에서 [리소스] > [정책] 페이지로 이동하고 기본 액세스 정책을 편집하여 사용할 인증 방법으로 OpenID Connect 인증 방법 이름을 선택하는 정책 규칙을 추가합니다.