Webサービスを使用した認証のためのIDエージェントの設定
このタスクについて
非標準のデータソース(LDAP以外またはAD以外)にアクセスするWebサービスからユーザー属性およびグループを取得する、非標準のIDプロバイダー構成。
手順
- 認証の種類を選択します。認証タイプとは、エージェントがオンプレミスのWebサービスに対して自身を認証するために使用する方式のことです。
- OAUTH
- トークン・エンドポイント URL
- OAuth プロバイダーのトークンエンドポイントを入力してください。 このトークンエンドポイントは、エージェントがWebサービスに送信するアクセストークンを取得するために使用されます。
- トークン・エンドポイント認証方式
- トークンエンドポイント認証方法を入力してください:
- クライアントシークレットのPOSTリクエスト - エージェントは、POSTリクエストでクライアントの認証情報をトークンエンドポイントに送信します。
- クライアントシークレット(基本方式) - エージェントは、 base64 でエンコードされたクライアント認証情報を、リクエストヘッダー
authorization内に含めてトークンエンドポイントに送信します。
- クライアント ID とクライアント秘密鍵
- OAuth プロバイダーでの認証に使用するクライアント認証情報を入力してください。 認証局を指定することもできます。既存のIdentity Agentクライアントを編集する場合、以下のクライアントシークレットオプションを使用できます:
- クライアント秘密鍵を表示するには、
を選択します。 - クライアント秘密鍵を非表示にするには、
を選択します。 - を選択
すると、クライアントIDまたはシークレットがクリップボードにコピーされます。 - [選択]
をクリックして、回転されたクライアントシークレットを表示します。- リストから1つ以上のローテーション済みのクライアントシークレットを選択し、 「削除」 をクリックして削除してください。
- 新規クライアント・シークレットを生成するには、
を選択します。 クライアント秘密鍵が漏えいしたと思われる場合は、このオプションを使用します。 クライアント秘密鍵を再生成した場合は、アプリケーションのすべての OAuth クライアントにあるクライアント秘密鍵を更新する必要があります。- 「 現在のシークレットを保持する 」のチェックボックスを選択すると、現在のクライアントシークレットがローテーション対象のクライアントシークレットのリストに追加されます。
- 「 現在のシークレットを保持する」 チェックボックスがオンになっている場合は、クライアントシークレットの説明と有効期限(ブラウザのローカル時間)を選択してください。 有効期限が選択されていない場合、 アプリケーション設定で設定されたテナントの「ローテーションされたシークレットの有効期間」が適用されます。
- 更新されたクライアントシークレットはハッシュ化されており、もはや平文で復元することはできませんが、指定された有効期限までは引き続き使用可能です。
- 確認後、クライアントシークレットは直ちに更新されます。 新しいクライアントシークレットが画面に表示されます。
- クライアント秘密鍵を表示するには、
- 秘密鍵認証局(任意)
- オンプレミスエージェントが外部認証サービスのトランスポート層セキュリティ( TLS )接続を検証できるように、CA証明書チェーンを入力してください。
- スコープ資格 (オプション)
- アクセストークンに対して、1つ以上のスコープ権限を入力してください。
- 秘密鍵証明書名 (オプション)
- エージェント接続で相互 TLS (MTLS)認証を行う場合は、秘密鍵の証明書名を指定してください。
- JSON Web トークン (JWT)
- HTTP ヘッダー
- JWTが含まれている HTTP ヘッダーを入力してください。 例えば、
authorizationなどです。 - JWT ヘッダー値接頭部 (オプション)
- HTTP ヘッダー内のJWTの前に表示されるプレフィックス値を入力してください。 例えば、
Bearerなどです。注: プレフィックスとJWTの間には自動的にスペースが入らないため、指定されたプレフィックスの後に手動でスペースを入力する必要があります。 - サブクレーム
- JWTに含まれるサブクレームを入力してください。
- 署名アルゴリズム
- エージェントがJWTの署名に使用する署名アルゴリズムを選択してください。
対称署名アルゴリズム(HSXXX)の場合、対称署名鍵となる秘密鍵の値を入力してください。 入力する署名鍵は、 base64 形式でエンコードされている必要があります。
非対称署名アルゴリズム(ESXXX、PSXXX、またはRSXXX)を使用する場合は、JWTの署名に使用される秘密鍵のラベルである個人証明書名を入力してください。 Windows システムでは、このラベルは Windows キーストア内の秘密鍵証明書の値
Subjectに対応しています。/cert/{label}_cert[_{instance}].pemLinux® システムでは、この値はパスの一部labelに対応します。 - JWTの最大有効期間
- JWTの有効期間(秒単位)を入力してください。
- 認証局(任意)
- オンプレミスエージェントが外部認証サービス TLS への接続を検証できるように、CA証明書チェーンを入力してください。
- 基本認証
- ユーザー名およびパスワード
- Webサービスに対してエージェントを認証するために使用されるユーザー名とパスワード。
username:passwordBasic username:passwordauthorizationこれらは、 base64 でエンコードされた形式のヘッダーとしてWebサービスに送信されます。 - 認証局 (オプション)
- オンプレミスエージェントが外部認証サービス TLS への接続を検証できるように、CA証明書チェーンを入力してください。
- 秘密鍵証明書名 (オプション)
- エージェント接続でMTLS認証を行う場合は、秘密鍵の証明書名を指定してください。
- 証明書認証 (MTLS)
- 認証局 (オプション)
- CA証明書チェーンを入力してください。 この証明書チェーンは、 TLS を使用する Web サービスから提示される「 TLS 」証明書を検証するために、オンプレミス・エージェントによって使用されます。 この証明書チェーンは、 OAuth サーバーのトークンエンドポイント( URL )から提示される TLS 証明書をエージェントが検証する際にも使用されます。
- 秘密鍵証明書
- エージェントがMTLS中に使用する秘密鍵証明書の名前を入力してください。 MTLS 以外の認証タイプの場合、この値を設定すると、エージェントは既に指定されている認証タイプに加えて MTLS の実行を試みます。
Windows™ システムでは、ブリッジは Windows キーストア内の値
Subject:を確認します。 Linux システムでは、ブリッジは、ここに指定された値がラベルとなるパ/cert/{label}_cert[_{instance}].pemスを確認します。
- OAUTH
- Webサービスによって取得される属性を、Cloud Directoryの Verify 属性にマッピングします。IDエージェントを作成した後、エージェントのタイルにある編集機能
を使用して、マッピングを変更または更新できます。