3.7.5 外部製品との連携
インテリジェント統合管理基盤は,OpenID Connectを利用してJP1製品以外の外部製品と連携します。これによって,JP1製品と業務アプリをシングルサインオンで操作できるようになり,シームレスな運用統合を実現します。シングルサインオンするための認証サーバには,次に示すOpenIDプロバイダの認証情報を利用できます。
-
Keycloak
-
Okta(Okta Identity Cloud)
なお,業務アプリとJP1製品の両方を利用するユーザーの情報は,OpenIDプロバイダとJP1/Base(認証サーバ)の両方に登録する必要があります。
外部製品とのシングルサインオン連携が設定されている場合は,シングルサインオン用のログイン画面が表示されます。ユーザーは,JP1/Baseによる認証,OpenIDプロバイダによる認証のどちらかを使用して,インテリジェント統合管理基盤にログインします。
OpenIDプロバイダの認証でログインする場合は,JP1ユーザー名とパスワードによるJP1/Baseの認証は不要となり,OpenIDプロバイダの認証だけでインテリジェント統合管理基盤にアクセスできます。また,OpenIDプロバイダの認証を使用している他のサービスから,ログイン画面を経由しないでインテリジェント統合管理基盤にアクセスできるようになります。
なお,外部製品とシングルサインオンで連携するためにはJP1/Baseに登録されたユーザー情報が必要です。JP1/Baseのディレクトリサーバ連携で,JP1認証情報をディレクトリサーバで管理するDSユーザーは,シングルサインオン連携には使用できません。シングルサインオンマッピング定義ファイルにDSユーザーを設定して認証した場合,ユーザー認証の際にKAJY52027-Eエラーとなります。JP1/Baseのディレクトリサーバ連携の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
OpenIDプロバイダ認証による外部製品との連携の概要を,次の図に示します。
|
|
![[図データ]](GRAPHICS/DD032000.GIF)
また,他のサービスから,OpenIDプロバイダによる認証済みの認証情報を付与して,JP1/IMのREST APIを発行することもできます。
- 重要
-
OpenIDプロバイダによるシングルサインオンの可否は,OpenIDプロバイダ側のセッションの生存期間に依存します。インテリジェント統合管理基盤から,他サービスのWebコンソールを表示した際に,セッションが生存していればシングルサインオンによりシームレスにWebコンソールを表示できます。セッションが失効していた場合やWebブラウザーのCookieを削除した場合は,再度認証が必要となるためログイン画面が表示されます。この場合は,再度ログインする必要があります。
なお,認証されている状態でユーザーが離席した場合などは,第三者に不正使用される危険性が高くなります。システムの運用に応じてOpenIDプロバイダのセッション生存期間を適切に設定してください。