Настройте OpenID Connect в Workspace ONE Access для стороннего поставщика удостоверений, чтобы разрешить пользователям использовать свои учетные данные для единого входа.

Необходимые условия

  • Убедитесь, что Workspace ONE Access зарегистрирован в качестве клиента OAuth2 или приложения OAuth2 для стороннего поставщика удостоверений.
    • Необходимо включить предоставление authorization_code.
    • Требуется redirect_uri, заданный в качестве конечной точки ответного звонка Workspace ONE Access.

    Регистрация позволяет создать идентификатор и секретный ключ клиента. Эти значения требуются при настройке стороннего поставщика удостоверений в консоли Workspace ONE Access. Регистрация клиентов и приложений OAuth2 описана в документации по поставщику удостоверений.

  • Если для настройки конечных точек OpenID Connect используется автоматическое обнаружение, узнайте URL-адрес известного опубликованного адреса OpenID Connect.
  • Если настройка выполняется вручную, узнайте URL-адреса конечной точки авторизации OpenID Connect, конечной точки маркера и идентификатора издателя, а также URL-адрес JWKS открытого ключа сервера авторизации.
  • Если включена моментальная регистрация, определите домены, из которых поступают пользователи. Имя домена отображается в раскрывающемся меню на странице входа. Если настроено несколько доменов, сведения о домене должен содержать маркер, который отправляется в Workspace ONE Access.

Процедура

  1. В консоли Workspace ONE Access на странице Компоненты > Поставщик удостоверений выберите поставщика удостоверений с пометкой Создать поставщика удостоверений OpenID Connect и настройте его параметры.
    Элемент формы Описание
    Имя поставщика удостоверений Введите понятное имя этого экземпляра поставщика удостоверений OpenID Connect.
    Настройка проверки подлинности

    Выберите Автоматическое обнаружение, если поставщик удостоверений предлагает возможность использовать известный опубликованный URL-адрес OpenID Connect, чтобы получить URL-адреса для настройки конечных точек OpenID Connect. Введите URL-адрес https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Выберите Настройка вручную, чтобы добавить URL-адрес конечной точки OpenID Connect вручную, если функция автоматического обнаружения недоступна или содержит неверную информацию.

    Приведенные ниже URL-адреса конечных точек настраиваются путем автоматического обнаружения. Для настройки вручную добавьте URL-адреса для каждой из конечных точек.

    • URL-адрес конечной точки авторизации для получения кода авторизации посредством предоставления кода авторизации.
    • URL-адрес конечной точки маркера используется для получения маркеров доступа и маркеров обновления.
    • URL-адрес издателя представляет собой URL-адрес объекта, выпускающего набор утверждений.
    • URL-адрес JWKS — это URL-адрес открытого ключа сервера авторизации в формате JSON Web Key Set (JWKS).
    Сквозная передача утверждений Включите сквозную передачу утверждений для поддержки использования нестандартных утверждений OpenID Connect.

    Сторонний поставщик удостоверений OpenID Connect отправляет нестандартные утверждения в Workspace ONE Access. В Workspace ONE Access эти утверждения добавляются в создаваемый маркер.

    Идентификатор клиента Идентификатор клиента, созданный поставщиком удостоверений, который представляет собой уникальный идентификатор для Workspace ONE Access.
    Секретный ключ клиента Секретный ключ клиента, созданный поставщиком удостоверений OpenID Connect. Этот секретный ключ известен только поставщику удостоверений и службе Workspace ONE Access.

    Если секретный ключ клиента изменен на сервере поставщика удостоверений, обязательно обновите секретный ключ клиента на сервере Workspace ONE Access.
    Атрибуты поиска пользователей В столбце Открыть атрибут идентификатора пользователя выберите атрибут пользователя в службах поставщика удостоверений для сопоставления с атрибутами идентификатора пользователя Workspace ONE Access. Сопоставленные значения атрибутов используются для поиска учетной записи пользователя в Workspace ONE Access.

    Можно добавить настраиваемый сторонний атрибут и сопоставить его со значением атрибута пользователя в службе Workspace ONE Access.

    Включить моментальную регистрацию Если включена моментальная регистрация, пользователи создаются в Workspace ONE Access и обновляются динамически при входе в систему на основе маркера, отправленного поставщиком удостоверений.

    При включении моментальной регистрации настройте приведенные ниже параметры.

    • Имя каталога. Введите имя каталога моментальной регистрации, в который добавляются учетные записи пользователей.
    • Домены. Введите домены, к которым относятся пользователи, прошедшие проверку подлинности. Если настроено несколько доменов, сведения о домене должен содержать маркер, который отправляется в Workspace ONE Access.
    • Сопоставьте атрибуты пользователей. Щелкните +, чтобы сопоставить утверждения OpenID с атрибутами Workspace ONE Access. Эти значения добавляются при создании учетной записи пользователя в каталоге Workspace ONE Access.
    Пользователи Если моментальная регистрация не включена, выберите каталоги, включающие пользователей, которые могут проходить проверку подлинности с помощью этого поставщика удостоверений.
    Сеть Перечисляются существующие сетевые диапазоны, настроенные в службе.

    Выберите сетевые диапазоны для пользователей на основе их IP-адресов, которые вы хотите направлять в этот экземпляр поставщика удостоверений для проверки подлинности.

    Имя метода проверки подлинности

    Введите имя, чтобы идентифицировать сторонний метод проверки подлинности OpenID Connect в политике доступа.

    При создании правил политики доступа необходимо выбрать этот метод проверки подлинности, чтобы перенаправлять пользователей для проверки подлинности на сервере авторизации OpenID Connect.
  2. Нажмите кнопку Добавить.

Дальнейшие действия

В консоли перейдите на страницу «Ресурсы» > «Политики» и измените политику доступа по умолчанию: добавьте правило политики, чтобы выбрать имя метода проверки подлинности OpenID Connect в качестве используемого метода проверки подлинности.