Users Guide
a. 名称 - OIDC 客户端的名称。
b. 查找 URI - OIDC 提供程序的统一资源标识符
c. 验证类型 - 选择访问令牌必须用来访问设备的以下方法之一:
i. 初始访问令牌 - 提供初始访问令牌
ii. 用户名和密码 - 提供用户名和密码
d. (可选)证书验证复选框 - 您可以选中该复选框然后上传 OIDC 提供程序的证书,方法是单击浏览并找到证书,或者将证书拖
放到虚线框中。
e. (可选)测试连接 - 单击测试 URI 和 SSL 连接以测试与 OpenID Connect 提供程序的连接。
注: 测试连接不依赖于用户名和密码或初始访问令牌详细信息,因为它只检查提供的查找 URI 的有效性。
f. (可选)“启用”复选框 - 您可以选中该复选框以允许授权客户端访问令牌登录到设备。
3. 单击完成。
在“应用程序设置 > 用户 > OpenID Connect 提供程序”页面中列出了新添加的 OpenID Connect 提供程序,并且客户端 ID 可以位于
右侧窗格中。
后续步骤:
在 PingFederate 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限 页面上的 127
在 Keycloak 中配置 OpenID Connect 提供程序策略,以提供基于角色的 OpenManage Enterprise 访问权限 页面上的 127
在 PingFederate 中配置 OpenID Connect 提供程序策略,以提供基于角
色的 OpenManage Enterprise 访问权限
要启用使用 PingFederate 的 OpenManage Enterprise OpenID Connect 登录,您必须添加范围 dxcua(用户验证的戴尔扩展声明)并
将其映射到客户端 ID,然后按如下所示定义用户权限:
注: 默认的分配算法应为 RS256(使用 SHA-256 的 RSA 签名)。
1. 在 OAuth 设置中的“范围管理”下添加名为 dxcua 的“独占”或“默认”范围。
2. 按照以下步骤映射在 OpenID Connect 策略 > 管理策略中创建的范围:
a. 启用在令牌中包括用户信息
b. 在属性范围中,添加范围和属性值为 dxcua。
c. 在“合同履行”中,添加 dxcua 并选择类型为“文本”。然后,使用以下属性之一定义 OpenManage Enterprise OpenID
Connect 提供程序登录的用户权限:
i. 管理员:dxcua : [{“Role": "AD"}]
ii. 设备管理者:dxcua : [{“Role": "DM"}]
iii. 查看者:dxcua : [{“Role": "VE"}]
d. 如果在 OpenManage Enterprise 中注册客户端后配置了“独占”范围,请在 PingFederate 中编辑已配置的客户端,并启用创
建的“dxcua”独占范围。
3. 应在 PingFederate 中为 OpenManage Enterprise 客户端注册启用动态客户端注册。如果在 OpenID Connect 提供程序客户端设置中
未选择“需要初始访问令牌”选项,注册将使用用户名和密码。如果启用了此选项,则注册将仅使用初始访问令牌。
在 Keycloak 中配置 OpenID Connect 提供程序策略,以提供基于角色的
OpenManage Enterprise 访问权限
要启用使用 Keycloak 的 OpenManage Enterprise OpenID Connect 登录,您必须先添加范围 dxcua 并将其映射到客户端 ID,然后按如
下所示定义用户权限:
注: 在 OpenID Connect 提供程序配置向导中指定的查找 URI 应具有列出的提供程序的有效端点。
1. 在 Keycloak 用户的属性部分中,使用以下属性之一为 OpenManage Enterprise 登录角色定义“键和值”:
● 管理员:dxcua : [{"Role": "AD"}]
● 设备管理者:dxcua : [{"Role": "DM"}]
● 查看者: dxcua : [{"Role": "VE"}]
管理 OpenManage Enterprise 设备设置 127