Passport-Konfiguration mit OneLogin

  • nP
  • EF

Wenn Sie Probleme mit Passport und OneLogin haben, lesen Sie unseren Artikel zur Fehlerbehebung bei Passport mit OneLogin , um weitere Informationen zu erhalten.

Die Anzahl der OIDC-Apps, die Sie in OneLogin erstellen müssen, hängt vom Authentifizierungsmodus ab, den Ihr Passport-Library Item verwendet.

  • Wenn Sie die mehrstufige Authentifizierung (MFA) mit OneLogin nicht verwenden, müssen Sie nur eine OIDC-App (für die Kennwortsynchronisierung) konfigurieren.  

  • Wenn Sie die mehrstufige Authentifizierung (MFA) mit OneLogin verwenden, müssen Sie zwei Apps erstellen: die oben erwähnte App und eine zusätzliche OIDC-App für den Authentifizierungsmodus Web Login. 

Die Anzahl der OIDC-Apps, die Sie in OneLogin erstellen müssen, hängt vom Authentifizierungsmodus ab, den Ihr Passport-Bibliothekselement verwendet. Führen Sie die folgenden Schritte aus, um die App zu konfigurieren, die Passport verwendet, um das Mac-Passwort mit dem OneLogin-Passwort zu synchronisieren. Dies ist für beide Authentifizierungsmodi (Mac Login und Web Login) erforderlich.

Sie können den von Ihnen erstellten OIDC-Apps beliebige Namen zuweisen. In unserer Dokumentation werden die folgenden Namen verwendet:

  • Kandji Passport Mac Login

  • Kandji Passport Web-Login

Laut dem OneLogin-Support-Artikel Einführung in die App-Verwaltung müssen Sie zum Hinzufügen von Apps ein OneLogin-Konto verwenden, das entweder ein Superuser oder ein Kontoinhaber ist.

Wenn Sie Passport bereits für die erste Version von Kandji Passport konfiguriert haben, können Sie direkt zum Abschnitt gehen: Configure an OIDC app for Kandji Passport Web Login

Konfigurieren einer OIDC-App für die Mac-Anmeldung bei Kandji Passport

Führen Sie die folgenden Schritte aus, um die App zu konfigurieren, die Passport verwendet, um das Mac-Passwort mit dem OneLogin-Passwort zu synchronisieren. Dies ist für beide Authentifizierungsmodi (Mac Login und Web Login) erforderlich.

  1. Melden Sie sich bei OneLogin als Kontoinhaber oder Superuser an.

  2. Navigieren Sie in Ihrer OneLogin-Verwaltungskonsole zur Seite Anwendungen

  3. Klicken Sie in der oberen rechten Ecke auf App hinzufügen.  

  4. Geben Sie im Suchfeld in der oberen linken Ecke OIDC ein.

  5. Wählen Sie OpenId Connect (OIDC) aus.  

  6. Geben Sie im Feld Anzeigename einen aussagekräftigen Namen ein, z. B. Kandji Passport Mac Login.

  7. Klicken Sie auf den Schalter Im Portal sichtbar auf die Position Aus . Diese App muss nicht sichtbar sein, damit Passport funktioniert, und es kann für einen Benutzer verwirrend sein, diese App in seinem OneLogin-Portal zu sehen.

  8. Klicken Sie auf Speichern.  

  9. Klicken Sie in der linken Seitenleiste auf Konfiguration.  

  10. Geben Sie im Feld Umleitungs-URI Folgendes ein:

    https://localhost.redirect

    HINWEIS: Passport erfordert diesen Wert nicht, aber Sie können die App-Konfiguration nicht speichern, ohne einen Wert im Feld "Umleitungs-URI" anzugeben. 

  11. Klicken Sie in der linken Seitenleiste auf SSO.

  12. Klicken Sie auf das Menü Anwendungstyp und wählen Sie Nativ aus.

  13. Klicken Sie auf das Menü Token-Endpunkt , und wählen Sie Keine (PKCE) aus.

  14. Klicken Sie auf Speichern

  15. Öffnen Sie ein sicheres Textdokument, in dem Sie Werte für diese OIDC-App speichern können. Sie benötigen die Details zur Client-ID und zur Aussteller-URL, wenn Sie das Passport-Bibliothekselement konfigurieren (Sie benötigen den geheimen Clientschlüssel nicht).

  16. Klicken Sie rechts neben dem Feld Client-ID auf die Schaltfläche In Zwischenablage kopieren (sieht aus wie eine Zwischenablage).

  17. Fügen Sie die Client-ID in das sichere Textdokument ein.

  18. Klicken Sie mit der rechten Maustaste (oder bei gedrückter Ctrl-Taste) auf den Link Bekannte Konfiguration , und kopieren Sie den Wert. 

    HINWEIS: Die Aussteller-URL enthält den Start der bekannten Konfiguration für diese OIDC-App, die das folgende Muster verwendet:

    https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration

  19. Fügen Sie die Aussteller-URL in das sichere Textdokument ein.

  20. Speichern Sie das sichere Textdokument.

  21. Weisen Sie die App in OneLogin den Benutzern oder Gruppen zu, die Passport verwenden, um sich bei ihren Macintosh-Computern anzumelden.

  22. Wenn Sie Kandji Passport Web Login verwenden, fahren Sie mit dem nächsten Abschnitt fort. Wenn Sie Kandji Passport Web Login nicht verwenden, gehen Sie zur Kandji Web App, um das Element Passport-Bibliothek zu konfigurieren.

Konfigurieren einer OIDC-App für die Kandji Passport-Webanmeldung

Konfigurieren Sie die POST OIDC-App, die Passport verwendet, so, dass Benutzer einen zusätzlichen Authentifizierungsfaktor eingeben können, wenn sie sich bei ihrem Mac anmelden.

  1. Navigieren Sie in Ihrer OneLogin-Verwaltungskonsole zur Seite Anwendungen.

  2. Klicken Sie in der oberen rechten Ecke auf App hinzufügen.

    HINWEIS: Wenn die Schaltfläche "App hinzufügen" nicht angezeigt wird, haben Sie möglicherweise zuvor auf "Liste der neuen Apps anzeigen" geklickt. Damit OneLogin die Schaltfläche "App hinzufügen“ anzeigt, entfernen Sie die Zeichenfolge /admin2 aus der URL. Verwenden Sie z. B. anstelle von https://accuhive.onelogin.com/admin2/apps https://accuhive.onelogin.com/apps.

  3. Geben Sie im Suchfeld in der oberen linken Ecke OIDC ein.

  4. Wählen Sie OpenID Connect (OIDC) aus .

  5. Geben Sie im Feld Anzeigename einen aussagekräftigen Namen ein, z. B. Kandji Passport Web Login.

  6. Klicken Sie auf den Schalter Im Portal sichtbar auf die Position Aus . Diese App muss nicht sichtbar sein, damit Passport funktioniert, und es kann für einen Benutzer verwirrend sein, diese App in seinem OneLogin-Portal zu sehen. 

  7. Klicken Sie auf Speichern.

  8. Klicken Sie in der linken Seitenleiste auf Konfiguration.

  9. Geben Sie im Feld Umleitungs-URI Folgendes ein:

    https://localhost.redirect

  10. Klicken Sie in der linken Seitenleiste auf SSO.

  11. Klicken Sie auf das Menü Anwendungstyp und wählen Sie Nativ aus.

  12. Klicken Sie im Abschnitt Tokenendpunkt auf das Menü Authentifizierungsmethode und wählen Sie POST aus. 

  13. Klicken Sie auf Speichern.

  14. Öffnen Sie ein sicheres Textdokument, in dem Sie Werte für diese OIDC-App speichern können. Sie benötigen die Client-ID und den geheimen Clientschlüssel für diese POST-App, wenn Sie das Passport-Library Item konfigurieren. Wenn Sie bereits ein sicheres Dokument aus der Konfiguration der vorherigen OIDC-App geöffnet haben, fügen Sie einen Hinweis hinzu, dass die neuen Werte für die OIDC-App für den Authentifizierungsmodus Web Login gelten.

  15. Kopieren Sie den Inhalt des Feldes Client-ID .

  16. Fügen Sie die Client-ID in das sichere Textdokument ein.

  17. Klicken Sie auf Geheimen Clientschlüssel anzeigen.

  18. Kopieren Sie den geheimen Clientschlüssel.

  19. Fügen Sie den geheimen Clientschlüssel in das sichere Textdokument ein.

  20. Speichern Sie das sichere Dokument.

  21. Weisen Sie in OneLogin die App den Benutzern oder Gruppen zu, die Passport verwenden, um sich mit dem Passport-Library Item bei ihren Mac-Computern anzumelden, wobei der Authentifizierungsmodus auf Webanmeldung festgelegt ist.

Konfigurieren eines Benutzerkontotyps nach Identitätsanbietergruppe in OneLogin

Wenn Sie konfigurieren, ob es sich bei einem Benutzer um einen Standardbenutzer oder einen Admin-Benutzer handelt, müssen Sie den folgenden Schritt ausführen.

  1. Melden Sie sich bei Ihrer OneLogin-Konsole an. Auswählen von Benutzern > Rollen

  2. Wählen Sie oben rechts auf dem Bildschirm Neue Rolle aus, und benennen Sie Ihre Rolle.  (Sie sollten sicherstellen, dass Ihr Rollenname mit dem IDP-Gruppennamen übereinstimmt, den Sie in Ihrer Kandji Passport-Konfiguration verwenden.)  In diesem Beispiel habe ich Passport Admin Users verwendet. Wählen Sie abschließend Ihre Kandji Passport-App aus, die Sie in OneLogin erstellt haben, und klicken Sie oben rechts auf dem Bildschirm auf Speichern.

  3. Navigieren Sie als Nächstes zur Kandji Passport-App, die Sie in OneLogin erstellt haben.  Wählen Sie den Parameter-Link und klicken Sie auf das Feld Gruppen.

  4. Wählen Sie im Abschnitt "Standard, wenn kein Wert ausgewählt ist" die Option Benutzerrollen aus der Dropdown-Liste aus und stellen Sie sicher, dass die Option Eingabe mit Semikolon getrennt ausgewählt ist.  Klicken Sie auf Speichern

  5. Stellen Sie abschließend sicher, dass Ihre Benutzer Teil der Rolle sind, die Sie erstellen, sowie ein Mitglied der Kandji Passport-Anwendung in OneLogin.  Um einer Rolle einen Benutzer hinzuzufügen, müssen Sie in meinem Beispiel Benutzer>Rollen>Passport-Administratorbenutzer auswählen, den Link Benutzer auswählen, nach dem Benutzer suchen, auf das blaue Kontrollkästchen klicken, auf den Link Zur Rolle hinzufügen klicken und dann oben rechts auf der Seite auf Speichern klicken.

  6. So sollte Ihr Passport-Library Item aussehen, wenn Sie die oben erstellte Rolle verwenden, um Admin-Benutzer zu erstellen.

Wenn die OneLogin-Konfiguration abgeschlossen ist, gehen Sie zur Kandji-Web-App, um das Element Passport-Bibliothek zu konfigurieren.

Fehlerbehebung bei Problemen mit Passport & OneLogin

Wenn Sie Probleme mit Passport und OneLogin haben, lesen Sie unseren Artikel zur Fehlerbehebung bei Passport mit OneLogin, um weitere Informationen zu erhalten.