2.7.1 OIDCの接続設定手順
IdP連携で認証に使用するプロトコルにOIDCを使用する場合の接続設定手順について説明します。
OIDCを使用する場合、以下の条件を満たしている必要があります。
- IdPが認可コードフローに対応している
- IDトークンまたはUserInfoエンドポイントでユーザーID(username)、姓、名 、およびメールアドレスが取得できる
以下に、OIDCの接続設定手順を示します。
① Ops IのIdP連携の情報をIdPに提供
Ops I セキュリティ管理者はIdP管理者に、[リダイレクトURI]の情報を提供します。[リダイレクトURI]※は、Ops IのドメインとOIDCの接続設定の[ID]によって決まるため、事前に[ID]を決める必要があります。
リダイレクトURI:https://auth.Ops Iのドメイン/realms/opsi/broker/OIDCの接続設定の[ID]/endpoint
Ops I セキュリティ管理者はIdP管理者に、[リダイレクトURI]の情報を提供します。[リダイレクトURI]※は、Ops IのドメインとOIDCの接続設定の[ID]によって決まるため、事前に[ID]を決める必要があります。
リダイレクトURI:https://auth.Ops Iのドメイン/realms/opsi/broker/OIDCの接続設定の[ID]/endpoint
※IdPによってはリダイレクトURIがコールバックURLという名前の場合があります。
② Ops IのIdP連携の情報をIdPに登録
IdP管理者はOps Iをリライングパーティ(RP)として接続できるように、手順①で提供されたIdP連携の情報をIdPに登録します。
IdP管理者はOps Iをリライングパーティ(RP)として接続できるように、手順①で提供されたIdP連携の情報をIdPに登録します。
③ IdPの情報をOps Iに提供
IdP側のIdPの情報をOps Iセキュリティ管理者に提供します。Ops Iへの登録方法によって、提供してもらう情報が異なります。
IdP側のIdPの情報をOps Iセキュリティ管理者に提供します。Ops Iへの登録方法によって、提供してもらう情報が異なります。
- 手動で登録する場合
IdP管理者は各エンドポイントの情報、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。 - 一部自動で登録する場合
IdP管理者はディスカバリーエンドポイントの情報と、クライアントID、クライアントシークレットなどの接続に必要な情報をOps Iセキュリティ管理者に提供します。
④ OIDCの接続設定を追加し、IdPの情報をOps Iに登録
Ops Iセキュリティ管理者はOIDCの接続設定を追加し、そこに手順③で提供されたIdPの情報を登録します。ディスカバリーエンドポイントを使用する場合は、各エンドポイントなどの情報を自動で入力することが可能です。
ディスカバリーエンドポイントはOIDCの接続設定の新規追加時にのみ指定できます。
OIDCの接続設定の追加やディスカバリーエンドポイントの使用については「OIDCの追加」を参照してください。
Ops Iセキュリティ管理者はOIDCの接続設定を追加し、そこに手順③で提供されたIdPの情報を登録します。ディスカバリーエンドポイントを使用する場合は、各エンドポイントなどの情報を自動で入力することが可能です。
ディスカバリーエンドポイントはOIDCの接続設定の新規追加時にのみ指定できます。
OIDCの接続設定の追加やディスカバリーエンドポイントの使用については「OIDCの追加」を参照してください。
⑤ 属性/グループ/ロールのマッピングを登録
IdPのユーザー情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。
IdPのユーザー情報とOps Iユーザーの属性情報、およびグループ、ロールのマッピングを登録します。詳細については「属性/グループ/ロールのマッピング」を参照してください。