若要在 OneLogin 中設定單一登入 (SSO) 的 OpenID Connect (OIDC) 型應用程式,請執行下列步驟:
必要條件
請確定您有 OneLogin 帳戶可進行登入。
程序
- 以管理員使用者身分登入您的 OneLogin 帳戶。
OneLogin 主畫面隨即出現。
- 若要建立新的應用程式:
- 在上方導覽列中,按一下應用程式 (Apps) > 新增應用程式 (Add Apps)。
- 在尋找應用程式 (Find Applications) 文字方塊中,搜尋「OpenId Connect」或「oidc」,然後選取 OpenId Connect (OIDC) 應用程式。
新增 OpenId Connect (OIDC) 畫面隨即出現。
- 在顯示名稱 (Display Name) 文字方塊中輸入應用程式的名稱,然後按一下儲存 (Save)。
- 在組態 (Configuration) 索引標籤上,輸入 [登入 URL (Login URL)] (用於 SSO 的自動登入 URL) 和 SASE Orchestrator 用作回撥端點的 [重新導向 URI (Redirect URI)],然後按一下儲存 (Save)。
- 登入 URL (Login URL) - 登入 URL 將採用以下格式:https://<Orchestrator URL>/<Domain>/login/doEnterpriseSsoLogin。其中,<Domain> 是您企業的網域名稱,您必須已設定該網域名稱才能為 SASE Orchestrator 啟用 SSO 驗證。您可以從企業入口網站的管理 (Administration) > 系統設定 (System Settings) > 一般資訊 (General Information) 頁面取得網域名稱。
- 重新導向 URI (Redirect URI) - SASE Orchestrator 重新導向 URL 將採用以下格式:https://<Orchestrator URL>/login/ssologin/openidCallback。在 SASE Orchestrator 應用程式的驗證 (Authentication) 畫面底部,您可以找到重新導向 URL 連結。
- 在參數 (Parameters) 索引標籤的 OpenId Connect (OIDC) 下,按兩下群組 (Groups)。
編輯欄位群組 (Edit Field Groups) 快顯視窗隨即出現。
- 設定值為「--無轉換-- (單一值輸出)」的使用者角色以在群組屬性中傳送,然後按一下儲存 (Save)。
- 在 SSO 索引標籤上,從應用程式類型 (Application Type) 下拉式功能表中選取 Web。
- 在驗證方法 (Authentication Method) 下拉式功能表中選取 POST 作為 Token 端點,然後按一下儲存 (Save)。
此外,請記下
SASE Orchestrator 中的 SSO 設定期間所要使用的用戶端認證 (用戶端識別碼和用戶端密碼)。
- 在存取 (Access) 索引標籤上選擇將可登入的角色,然後按一下儲存 (Save)。
- 若要將角色和使用者新增至您的 SASE Orchestrator 應用程式:
- 按一下使用者 (Users) > 使用者 (Users),然後選取使用者。
- 在應用程式 (Application) 索引標籤上,從左側的角色 (Role) 下拉式功能表中,選取要對應至使用者的角色。
- 按一下儲存使用者 (Save Users)。
結果
您已完成在 OneLogin 中設定以 OIDC 為基礎的應用程式以用於 SSO 的作業。
下一步
在 SASE Orchestrator 中設定單一登入。