Workspace ONE Access 中為第三方身分識別提供者設定 OpenID Connect,以允許使用者使用其認證進行單一登入。

必要條件

  • 確保 Workspace ONE Access 在第三方身分識別提供者上登錄為 OAuth2 用戶端或 OAuth2 應用程式。
    • 必須啟用 authorization_code 授與
    • redirect_uri 設定為 Workspace ONE Access 回撥端點

    此登錄會產生用戶端識別碼名稱和用戶端密碼。您在 Workspace ONE Access 主控台中設定第三方身分識別提供者時,需要這些值。請參閱身分識別提供者說明文件,以瞭解如何登錄 OAuth2 用戶端和應用程式。

  • 如果您是使用自動探索來設定 OpenID Connect 端點,請瞭解身分識別提供者已知已發佈 OpenID Connect 位址的 URL。
  • 如果您是使用手動組態程序,請瞭解 OpenID Connect 授權端點、權杖端點的 URL,簽發者識別碼和授權伺服器之公開金鑰的 JWKS URL。
  • 如果啟用即時佈建,請識別使用者的來源網域。網域名稱會顯示在登入頁面的下拉式功能表中。如果已設定多個網域,則網域資訊一定是位於傳送至 Workspace ONE Access 的權杖中。

程序

  1. Workspace ONE Access 主控台的元件 > 身分識別提供者頁面中,選取標示為建立 OpenID Connect IDP 的身分識別提供者,然後設定身分識別提供者的設定。
    表單項目 說明
    身分識別提供者名稱 輸入此 OpenID Connect 身分識別提供者執行個體的名稱。
    驗證組態

    如果身分識別提供者提供使用已知的已發佈 OpenID Connect URL 來取得 OpenID Connect 端點設定 URL 的功能,請選取自動探索。以 https://{oauth-provider-hostname}/{local-oauth-api-path}/.well-known/openid-configuration 形式輸入 URL。

    如果自動探索無法使用或包含不正確的資訊,請選取手動組態,以手動新增 OpenID Connect URL 端點。

    已使用自動探索設定下列端點 URL。對於手動組態,請新增每個端點的 URL。

    • 授權端點 URL,在其中使用授權碼授與以取得授權碼。
    • 權杖端點 URL 用於取得存取權杖和重新整理權杖。
    • 簽發者識別碼 URL 是發出一組宣告之實體的 URL。
    • JWKS URL。為 JSON Web 金鑰集 (JWKS) 格式的授權伺服器公開金鑰 URL。
    通過宣告 啟用通過宣告以支援使用非標準 OpenID Connect 宣告。

    第三方 OpenID Connect 身分識別提供者會將非標準宣告傳送至 Workspace ONE AccessWorkspace ONE Access 會將這些宣告新增至產生的權杖。

    用戶端識別碼 身分識別提供者產生的用戶端識別碼,對 Workspace ONE Access 來說是唯一的識別碼。
    用戶端密碼 OpenID Connect 身分識別提供者產生的用戶端密碼。此密碼僅身分識別提供者和 Workspace ONE Access 服務知道。

    如果在身分識別提供者伺服器上變更此用戶端密碼,請確定您更新 Workspace ONE Access 伺服器中的用戶端密碼。

    使用者查詢屬性 OpenID 使用者識別碼屬性欄中,選取身分識別提供者服務中的使用者屬性,以對應至 Workspace ONE Access 使用者識別碼屬性。對應的屬性值用於在 Workspace ONE Access 中查詢使用者帳戶。

    您可以新增自訂第三方屬性,並將其對應至 Workspace ONE Access 服務中的使用者屬性值。

    啟用 JIT 佈建 啟用即時佈建時,會在 Workspace ONE Access 中建立使用者,並在其登入時,根據身分識別提供者所傳送的權杖動態更新。

    如果啟用 JIT,請設定下列項目。

    • 目錄名稱。輸入新增使用者帳戶所在 JIT 的目錄名稱。
    • 網域。輸入已驗證使用者所屬的網域。如果已設定多個網域,則網域資訊一定是位於傳送至 Workspace ONE Access 的權杖中。
    • 對應使用者屬性。按一下 +,將 OpenID 宣告對應至 Workspace ONE Access 屬性。在 Workspace ONE Access 目錄中建立使用者帳戶時會新增這些值。
    使用者 如果不啟用 JIT 佈建,請選取包含可使用此身分識別提供者進行驗證之使用者的目錄。
    網路 列出了服務中設定的現有網路範圍。

    根據使用者的 IP 位址,為使用者選取想要導向至此身分識別提供者執行個體的網路範圍,以便進行驗證。

    驗證方法名稱

    輸入名稱以識別存取原則中的第三方 OpenID Connect 驗證方法。

    建立存取原則規則時,您可以選取此驗證方法,以將使用者重新導向,對 OpenID Connect 授權伺服器進行驗證。

  2. 按一下新增

下一步

在主控台中,移至 [資源] > [原則] 頁面,然後編輯預設存取原則,以新增原則規則,從而選取 OpenID Connect 驗證方法名稱作為要使用的驗證方法。