Настройте OpenID Connect в Workspace ONE Access для стороннего поставщика удостоверений, чтобы разрешить пользователям использовать свои учетные данные для единого входа.

Необходимые условия

  • Убедитесь, что Workspace ONE Access зарегистрирован в качестве клиента OAuth2 или приложения OAuth2 для стороннего поставщика удостоверений.
    • Необходимо включить предоставление authorization_code.
    • Требуется redirect_uri, заданный в качестве конечной точки ответного звонка Workspace ONE Access.

    Регистрация позволяет создать идентификатор и секретный ключ клиента. Эти значения требуются при настройке стороннего поставщика удостоверений в консоли Workspace ONE Access. Регистрация клиентов и приложений OAuth2 описана в документации по поставщику удостоверений.

  • Если для настройки конечных точек OpenID Connect используется автоматическое обнаружение, узнайте URL-адрес известного опубликованного адреса OpenID Connect поставщика удостоверений.
  • Если настройка выполняется вручную, узнайте URL-адреса конечной точки авторизации OpenID Connect, конечной точки маркера и идентификатора издателя, а также URL-адрес JWKS открытого ключа сервера авторизации.
  • Если включена моментальная регистрация, определите домены, из которых поступают пользователи. Имя домена отображается в раскрывающемся меню на странице входа. Если настроено несколько доменов, сведения о домене должен содержать маркер, который отправляется в Workspace ONE Access.

Процедура

  1. В консоли Workspace ONE Access на странице Интеграции > Поставщики удостоверений щелкните ДОБАВИТЬ, а затем выберите Поставщик удостоверений OpenID Connect.
  2. Выполните следующие настройки.
    Элемент формы Описание
    Имя поставщика удостоверений Введите понятное имя этого экземпляра поставщика удостоверений OpenID Connect.
    Настройка проверки подлинности

    Выберите Автоматическое обнаружение, если поставщик удостоверений предлагает возможность использовать известный опубликованный URL-адрес OpenID Connect, чтобы получить URL-адреса для настройки конечных точек OpenID Connect. Введите URL-адрес https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration.

    Выберите Настройка вручную, чтобы добавить URL-адрес конечной точки OpenID Connect вручную, если функция автоматического обнаружения недоступна или содержит неверную информацию.

    Приведенные ниже URL-адреса конечных точек настраиваются путем автоматического обнаружения. Для настройки вручную добавьте URL-адреса для каждой из конечных точек.

    • URL-адрес конечной точки авторизации для получения кода авторизации посредством предоставления кода авторизации.
    • URL-адрес конечной точки маркера используется для получения маркеров доступа и маркеров обновления.
    • URL-адрес издателя представляет собой URL-адрес объекта, выпускающего набор утверждений.
    • URL-адрес JWKS — это URL-адрес открытого ключа сервера авторизации в формате JSON Web Key Set (JWKS).
    Сведения о клиенте
    • Идентификатор клиента. Идентификатор клиента, созданный поставщиком удостоверений, который представляет собой уникальный идентификатор для Workspace ONE Access.
    • Секретный ключ клиента. Секретный ключ клиента, созданный поставщиком удостоверений OpenID Connect. Этот секретный ключ известен только поставщику удостоверений и службе Workspace ONE Access.

      Если секретный ключ клиента изменен на сервере поставщика удостоверений, обязательно обновите секретный ключ клиента на сервере Workspace ONE Access.

    Атрибут поиска пользователя В столбце Атрибут идентификатора пользователя Open ID выберите атрибут пользователя в службах поставщика удостоверений для сопоставления с атрибутом идентификатора пользователя Workspace ONE Access. Сопоставленные значения атрибутов используются для поиска учетной записи пользователя в службе Workspace ONE Access.

    Можно добавить настраиваемый сторонний атрибут и сопоставить его со значением атрибута пользователя в службе Workspace ONE Access.

    Моментальная регистрация пользователей Если включена моментальная регистрация, пользователи создаются в Workspace ONE Access и обновляются динамически при входе в систему на основе маркера, отправленного поставщиком удостоверений.

    При включении параметра По запросу создайте каталог моментальной регистрации.

    • Имя каталога. Введите имя каталога моментальной регистрации, в который добавляются учетные записи пользователей.
    • Домены. Введите домены, к которым относятся пользователи, прошедшие проверку подлинности. Если настроено несколько доменов, сведения о домене должен содержать маркер, который отправляется в Workspace ONE Access.
    • Сопоставьте атрибуты пользователей. Щелкните + ДОБАВИТЬ, чтобы сопоставить утверждения OpenID с атрибутами Workspace ONE Access. Эти значения добавляются при создании учетной записи пользователя в каталоге Workspace ONE Access.
    Пользователи Если моментальная регистрация не включена, выберите каталоги, включающие пользователей, которые могут проходить проверку подлинности с помощью этого поставщика удостоверений.
    Сеть Перечисляются существующие сетевые диапазоны, настроенные в службе.

    Выберите сетевые диапазоны для пользователей на основе их IP-адресов, которые вы хотите направлять в этот экземпляр поставщика удостоверений для проверки подлинности.

    Метод проверки подлинности

    Введите имя, чтобы идентифицировать сторонний метод проверки подлинности OpenID Connect в политике доступа.

    При создании правил политики доступа необходимо выбрать этот метод проверки подлинности, чтобы перенаправлять пользователей для проверки подлинности на сервере авторизации OpenID Connect.

    Сквозная передача утверждений Включите сквозную передачу утверждений для поддержки использования нестандартных утверждений OpenID Connect.

    Сторонний поставщик удостоверений OpenID Connect отправляет нестандартные утверждения в Workspace ONE Access. В Workspace ONE Access эти утверждения добавляются в создаваемый маркер.

    Код URI перенаправления Код URI перенаправления — это место, куда отправляется ответ на запрос после входа пользователя в систему. Отображается код URI.
  3. Нажмите кнопку СОХРАНИТЬ.

Дальнейшие действия

В консоли перейдите на страницу «Ресурсы» > «Политики» и измените политику доступа по умолчанию: добавьте правило политики, чтобы выбрать имя метода проверки подлинности OpenID Connect в качестве используемого метода проверки подлинности.