Configureer OpenID Connect in Workspace ONE Access voor uw externe identiteitsprovider zodat gebruikers hun verificatiegegevens kunnen gebruiken voor Single Sign-On.

Voorwaarden

  • Zorg ervoor dat Workspace ONE Access is geregistreerd als een OAuth2-client of als een OAuth2-applicatie bij een externe identiteitsprovider.
    • De toestemming authorization_code grant moet zijn ingeschakeld.
    • De redirect_uri is ingesteld op het eindpunt voor callback van Workspace ONE Access.

    Deze registratie genereert de client-ID-naam en het clientgeheim. Deze waarden zijn vereist wanneer u de externe identiteitsprovider in de Workspace ONE Access-console configureert. Raadpleeg de documentatie van de identiteitsprovider over hoe u de OAuth2-clients en -applicaties kunt registreren.

  • Zorg dat u de URL van het bekende gepubliceerde OpenID Connect-adres van de identiteitsprovider kent als u automatische ontdekking gebruikt om OpenID Connect-eindpunten te configureren.
  • Zorg dat u de URL's voor het OpenID Connect-autorisatie-eindpunt, het tokeneindpunt, de uitgevers-ID en de JWKS-URL van de openbare sleutel van de verificatieserver kent als u het handmatige configuratieproces gebruikt.
  • Als u just-in-time-provisioning inschakelt, identificeert u de domeinen vanwaar gebruikers afkomstig zijn. De domeinnaam wordt in het vervolgkeuzemenu op de aanmeldingspagina weergegeven. Als meer dan één domein is geconfigureerd, moeten de domeingegevens zich in het token bevinden dat naar Workspace ONE Access wordt verzonden.

Procedure

  1. Klik op TOEVOEGEN en selecteer OpenID Connect IDP op de pagina Integraties > Identiteitsproviders in de Workspace ONE Access-console.
  2. Configureer de volgende instellingen.
    Formulieritem Beschrijving
    Naam van identiteitsprovider Voer een beschrijvende naam in voor deze OpenID Connect-identiteitsproviderinstantie.
    Verificatieconfiguratie

    Selecteer Automatische ontdekking als de identiteitsprovider de mogelijkheid biedt om de bekende gepubliceerde OpenID Connect-URL te gebruiken om de URL's van de OpenID Connect-eindpuntconfiguratie te verkrijgen. Voer de URL in als https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Selecteer Handmatige configuratie om het eindpunt van de OpenID Connect-URL handmatig toe te voegen, als automatische ontdekking niet mogelijk is of onjuiste informatie bevat.

    De volgende eindpunt-URL's worden geconfigureerd met automatische ontdekking. Voor handmatige configuratie voegt u de URL's voor elk van de eindpunten toe.

    • URL van verificatie-eindpunt waar de verificatiecode kan worden opgehaald met behulp van de machtigingscode van de autorisatie.
    • URL van tokeneindpunt wordt gebruikt om toegangstokens en vernieuwingstokens te verkrijgen.
    • De id-URL van de verlener is de URL van de entiteit die een reeks claims uitgeeft.
    • JWKS-URL is de URL van de publieke sleutel van de verificatieserver in JSON Web Key Set (JWKS)-indeling
    Clientgegevens
    • Client-ID. De door de identiteitsprovider gegenereerde client-ID die de unieke ID voor Workspace ONE Access is.
    • Clientgeheim. Het clientgeheim dat is gegenereerd door de OpenID Connect-identiteitsprovider. Dit geheim is alleen bekend voor de identiteitsprovider en de Workspace ONE Access-service.

      Als dit clientgeheim wordt gewijzigd op de server van de identiteitsprovider, zorg er dan voor dat u het clientgeheim op de Workspace ONE Access-server bijwerkt.

    Zoekkenmerk voor gebruikers Selecteer in de kolom Gebruikersidentificatiekenmerk van ID openen het gebruikerskenmerk in de identiteitsproviderservices om toe te wijzen aan Kenmerk voor Workspace ONE Access-gebruikersidentificatie. De toegewezen kenmerkwaarden worden gebruikt om het gebruikersaccount in de Workspace ONE Access-service te zoeken.

    U kunt een aangepast kenmerk van derden toevoegen en dit toewijzen aan een gebruikerskenmerkwaarde in de Workspace ONE Access-service.

    Just-in-Time-gebruikers-provisioning Als just-in-time provisioning is ingeschakeld, worden gebruikers gemaakt in Workspace ONE Access en dynamisch bijgewerkt wanneer ze zich aanmelden, op basis van het token dat wordt verzonden door de identiteitsprovider.

    Wanneer u Just-in-time inschakelt, maakt u de just-in-time directory.

    • Directorynaam. Voer de JIT-directorynaam in waar gebruikersaccounts worden toegevoegd.
    • Domeinen. Voer de domeinen in waartoe geverifieerde gebruikers behoren. Als meer dan één domein is geconfigureerd, moeten de domeingegevens zich in het token bevinden dat naar Workspace ONE Access wordt verzonden.
    • Wijs de gebruikerskenmerken toe. Klik op + TOEVOEGEN om OpenID-claims toe te wijzen aan de Workspace ONE Access-kenmerken. Deze waarden worden toegevoegd wanneer het gebruikersaccount wordt gemaakt in de Workspace ONE Access-directory.
    Gebruikers Als u JIT-provisioning niet inschakelt, selecteert u de directory's die de gebruikers bevatten die zich kunnen verifiëren met deze identiteitsprovider.
    Netwerk De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven.

    Selecteer de netwerkbereiken voor de gebruikers op basis van hun IP-adressen die u naar deze identiteitsproviderinstantie wilt leiden voor verificatie.

    Verificatiemethode

    Voer in het tekstvak Naam verificatiemethode een naam in om de OpenID Connect-verificatiemethode van derden in het toegangsbeleid te identificeren. Wanneer u de toegangsbeleidsregels maakt, selecteert u deze verificatiemethode om gebruikers om te leiden voor verificatie bij de OpenID Connect-verificatieserver.

    Schrijf in het tekstvak Beschrijving van verificatiemethode een beschrijving van de verificatiemethode om gebruikers te helpen deze verificatiemethode te kiezen. De tekst in het tekstvak Beschrijving wordt weergegeven op de pagina met de aanmeldingsprompt Verificatie selecteren wanneer deze verificatiemethode van de externe identiteitsprovider een verificatieoptie is in een toegangsbeleidsregel. Zie Keuze van toegangsbeleidsregels voor verificatie instellen.

    Deze tekst wordt niet automatisch vertaald in de talen die zijn gespecificeerd door de browser van de eindgebruiker. U kunt de inhoud echter in meerdere talen als één invoer opstellen in het tekstvak Beschrijving, dat onder de verificatiemethode wordt weergegeven op de pagina met de aanmeldingsprompt.

    Claims doorgeven Schakel pass-throughclaims in om het gebruik van niet-standaard OpenID Connect-claims te ondersteunen.

    De OpenID Connect-identiteitsprovider van derden stuurt de niet-standaard claims naar Workspace ONE Access. Workspace ONE Access voegt deze claims toe aan het token dat wordt gegenereerd.

    URI-verwijzing De doorverwijzings-URI is de plaats waarnaar het antwoord op de aanvraag wordt verzonden nadat de gebruiker zich heeft aangemeld. De URI wordt weergegeven.
  3. Klik op OPSLAAN.

Volgende stappen

Ga naar de pagina Resources > Beleidsregels in de console en bewerk het standaardtoegangsbeleid om een beleidsregel toe te voegen en de naam van de OpenID Connect-verificatiemethode te selecteren als de verificatiemethode die moet worden gebruikt.