Para configurar uma aplicação baseada no OpenID Connect (OIDC) no PingIdentity para o início de sessão único (SSO), execute os passos neste procedimento.

Pré-requisitos

Certifique-se de que tem uma conta PingOne para iniciar sessão.
Nota: Atualmente, o SASE Orchestrator suporta PingOne como parceiro de identidade (IDP); no entanto, qualquer produto PingIdentity que suporte OIDC pode ser facilmente configurado.

Procedimento

  1. Inicie sessão na conta PingOne como utilizador de administração.
    É apresentado o ecrã principal PingOne.
  2. Para criar uma nova aplicação:
    1. Na barra de navegação superior, clique em Aplicações (Applications).
    2. No separador As minhas aplicações (My Applications), selecione OIDC e, em seguida, clique em Adicionar aplicação (Add Application).
      É apresentada a janela pop-up Adicionar aplicação OIDC (Add OIDC Application).
    3. Forneça detalhes básicos como nome, breve descrição e categoria para a aplicação e clique em Seguinte (Next).
    4. Em DEFINIÇÕES DE AUTORIZAÇÃO (AUTHORIZATION SETTINGS), selecione Código de autorização (Authorization Code) como os tipos de concessões permitidos e clique em Seguinte (Next).
      Além disso, aponte o URL de descoberta e as credenciais de cliente (ID do cliente e segredo do cliente) para utilizar durante a configuração do SSO no SASE Orchestrator.
    5. Em DEFINIÇÕES DO FLUXO SSO E DE AUTENTICAÇÃO (SSO FLOW AND AUTHENTICATION SETTINGS), forneça valores válidos para o URL de início SSO e o URL de redirecionamento e clique em Seguinte (Next).
      Na aplicação SASE Orchestrator, na parte inferior do ecrã Configurar autenticação (Configure Authentication), pode encontrar a ligação URL de redirecionamento. Idealmente, o URL de redirecionamento do SASE Orchestrator estará neste formato: https://<Orchestrator URL>/login/ssologin/openidCallback. O URL de início SSO estará neste formato:: https://<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin.
    6. Em CONTRATO DE ATRIBUTO DE PERFIL DE UTILIZADOR PREDEFINIDO (DEFAULT USER PROFILE CONTRACT), clique em Adicionar atributo (Add Attribute) para adicionar atributos adicionais de perfil de utilizador.
    7. Na caixa de texto Nome do atributo (Attribute Name), introduza group_membership e, em seguida, selecione a caixa de verificação Necessário (Required) e selecione Seguinte (Next).
      Nota: O atributo group_membership é necessário para recuperar funções do PingOne.
    8. Em LIGAR ÂMBITOS (CONNECT SCOPES), selecione os âmbitos que podem ser solicitados para a aplicação SASE Orchestrator durante a autenticação e clique em Seguinte (Next).
    9. Em Mapeamento de atributos (Attribute Mapping), mapeie os atributos de repositório de identidade para as afirmações disponíveis para a aplicação SASE Orchestrator.
      Nota: Os mapeamentos mínimos necessários para a integração no trabalho são e-mail, given_name, family_name, phone_number, sub e group_membership (mapeado para memberOf).
    10. Em Acesso de grupo (Group Access), selecione todos os grupos de utilizadores que deverão ter acesso à aplicação SASE Orchestrator e clique em Concluído (Done).
      A aplicação será adicionada à conta e estará disponível no ecrã A minha aplicação (My Application).

Resultados

Completou a configuração de uma aplicação baseada no OIDC no PingOne para SSO.

Como proceder a seguir

Configurar um início de sessão único no SASE Orchestrator.