Configuration du SSO OpenID pour PingOne

Ces étapes vous montrent comment configurer la fonctionnalité d’authentification unique (SSO) en utilisant OpenID entre ManageEngine ADSelfService Plus et PingOne.

Prérequis

1. Connectez-vous à ADSelfService Plus en tant qu’administrateur.
2. Allez à Configuration > Synchronisation de mot de passe / Authentification unique et cliquez sur Ajouter une application. Sélectionnez PingOne dans la liste.
Note : Vous pouvez également utiliser la barre de recherche en haut à gauche de la page pour rechercher l’application.
3. Cliquez sur Détails IdP et sélectionnez l’onglet SSO (OAuth/OpenID Connect) .
4. Copiez les informations suivantes : Client ID, Client Secret, Émetteur, URL du point de terminaison d’autorisation, URL du point de terminaison du jeton, et URL du point de terminaison utilisateur .

Étapes de configuration de PingOne (fournisseur de service)

1. Connectez-vous à PingOne avec des identifiants administrateur.
2. Cliquez sur l’icône PingOne for Customers à côté de l’environnement End User Sandbox .



3. Allez à Connexions > Fournisseurs d’identité > Ajouter un fournisseur.



4. Sélectionnez OpenID Connect sous Personnalisé. Cliquez sur Suivant.



5. Sous Créer un profil IdP, saisissez un nom et une description appropriés pour ADSelfService Plus. Vous pouvez également personnaliser l’icône et le bouton de connexion ici.
6. Cliquez sur Continuer.
7. Sur la page Configurer les connexions OpenID Connect , copiez l’URL de RAPPEL (CALLBACK URL) car elle sera nécessaire à une étape ultérieure.
8. Remplissez les champs requis avec les détails copiés à l’étape 4 des prérequis:
1. CLIENT ID : Client ID
2. CLIENT SECRET : Secret client
3. ÉMETTEUR : Émetteur
4. POINT DE TERMINAISON D’AUTORISATION : URL du point de terminaison d’autorisation
5. POINT DE TERMINAISON DU JETON : URL du point de terminaison du jeton
6. POINT DE TERMINAISON USERINFO : URL du point de terminaison utilisateur
7. POINT DE TERMINAISON JWKS : URL du point de terminaison des clés



9. Cliquez sur Enregistrer et continuer.
10. Sur la page Cartographier les attributs , cliquez sur Enregistrer et terminer.

Étapes de configuration ADSelfService Plus (fournisseur d’identité)

1. Revenez à la page de configuration PingOne d’ADSelfService Plus.



2. Saisissez le Nom de l’application et la Description selon vos préférences.
3. Saisissez le Nom de domaine de votre compte PingOne. Par exemple, si votre nom d’utilisateur PingOne est johnwatts@thinktodaytech.com, alors thinktodaytech.com est votre nom de domaine.
4. Sur la page Dans le champ Attribuer des politiques
Note : , sélectionnez les politiques pour lesquelles vous souhaitez activer le SSO. ADSelfService Plus vous permet de créer des politiques basées sur les OU et les groupes pour vos domaines AD. Pour créer une politique, allez à
5. Configuration > Libre-service > Configuration des politiques > Ajouter une nouvelle politique. Sous l’onglet OAuth/OpenID Connect , sélectionnez.
6. Activer OAuth/OpenID Connect Saisissez l’URL de connexion du portail PingOne dans le champ URL de début de connexion SP (SP Login Initiate URL).
Note : PingOne exige que la connexion commence depuis leur page de connexion, appelée connexion initiée par le fournisseur de service (SP-initiated login). Les utilisateurs sont d’abord dirigés vers la page de connexion PingOne, spécifiée dans le champ URL de début de connexion SP , après quoi PingOne les redirige vers ADSelfService Plus (le fournisseur d’identité) pour authentification.
7. Saisissez l’URL de rappel copiée à l’étape 7 de la configuration PingOne dans le champ URL de redirection SSO (SSO Redirect URL) URL de début de connexion SP (SP Login Initiate URL).
8. . Dans la liste déroulante Scopes , sélectionnezopenid
Note : , qui est la portée requise pour l’authentification OIDC. Vous pouvez également spécifier des portées telles que profile ou email pour inclure des informations supplémentaires sur l’utilisateur dans la requête d’autorisation.
9. Cliquez sur Ajouter une application Les scopes spécifient le niveau d’accès du jeton d’accès. Ils sont généralement inclus dans la requête d’autorisation. Spécifiez les scopes pour lesquels vous souhaitez autoriser l’accès à votre jeton d’autorisation en utilisant la liste déroulante.

pour enregistrer la configuration. L’URL de configuration bien connue (Well-known Configuration URL) dans les détails IdP de la fenêtre contextuelle contient toutes les valeurs de points de terminaison, les scopes supportés, les modes de réponse, les modes d’authentification client, ainsi que les détails du client. Ceci n’est activé qu’après que vous ayez terminé la configuration de l’application pour le SSO dans ADSelfService Plus. Vous pouvez fournir cette URL à votre fournisseur de service si nécessaire.