2.7.1 OIDCの接続設定手順
外部IdP連携で認証プロバイダーにOIDCを使用する場合の接続設定手順について説明します。
OIDCを使用する場合、以下の条件を満たしている必要があります。
- 外部IdPが認可コードフローに対応している
- IDトークンまたはUserInfoエンドポイントでユーザーID(username)、姓、名 、およびメールアドレスが取得できる
以下に、OIDCの接続設定手順を示します。
① Ops Iの外部IdP連携の情報を外部IdPに提供
Ops I セキュリティ管理者は外部IdP管理者に、[リダイレクトURI]の情報を提供します。[リダイレクトURI]※は、Ops IのドメインとOIDCの接続設定の[ID]によって決まるため、事前に[ID]を決める必要があります。
リダイレクトURI:https://auth.Ops Iのドメイン/realms/opsi/broker/OIDCの接続設定の[ID]/endpoint
Ops I セキュリティ管理者は外部IdP管理者に、[リダイレクトURI]の情報を提供します。[リダイレクトURI]※は、Ops IのドメインとOIDCの接続設定の[ID]によって決まるため、事前に[ID]を決める必要があります。
リダイレクトURI:https://auth.Ops Iのドメイン/realms/opsi/broker/OIDCの接続設定の[ID]/endpoint
※外部IdPによってはリダイレクトURIがコールバックURLという名前の場合があります。
② Ops Iの外部IdP連携の情報を外部IdPに登録
外部IdP管理者はOps Iをリライングパーティ(PR)として接続できるように、手順①で提供された外部IdP連携の情報を外部IdPに登録します。
外部IdP管理者はOps Iをリライングパーティ(PR)として接続できるように、手順①で提供された外部IdP連携の情報を外部IdPに登録します。
③ 外部IdPの情報をOps Iに提供
外部IdP側の外部IdPの情報をOps Iセキュリティ管理者に提供します。Ops Iへの登録方法によって、提供してもらう情報が異なります。
外部IdP側の外部IdPの情報をOps Iセキュリティ管理者に提供します。Ops Iへの登録方法によって、提供してもらう情報が異なります。
- 手動で登録する場合
外部IdP管理者は各エンドポイント情報、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。 - 一部自動で登録する場合
外部IdP管理者はディスカバリーエンドポイントの情報と、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。
④ OIDCの接続設定を追加し、外部IdPの情報をOps Iに登録
Ops Iセキュリティ管理者はOIDCの接続設定を追加し、そこに手順③で提供された外部IdPの情報を登録します。ディスカバリーエンドポイントを使用する場合は、各エンドポイントなどの情報を自動で入力することが可能です。
ディスカバリーエンドポイントはOIDCの接続設定の新規追加時にのみ指定できます。
OIDCの接続設定の追加やディスカバリーエンドポイントの使用については「OIDCの追加」を参照してください。
Ops Iセキュリティ管理者はOIDCの接続設定を追加し、そこに手順③で提供された外部IdPの情報を登録します。ディスカバリーエンドポイントを使用する場合は、各エンドポイントなどの情報を自動で入力することが可能です。
ディスカバリーエンドポイントはOIDCの接続設定の新規追加時にのみ指定できます。
OIDCの接続設定の追加やディスカバリーエンドポイントの使用については「OIDCの追加」を参照してください。
⑤ 属性/グループ/ロールのマッピングを登録
外部IdPユーザーの属性情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。
外部IdPユーザーの属性情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。