OIDCアプリケーションの基本設定

オンラインで編集

OpenID Connectの設定を行うこのテナント上の OpenID Connectアプリケーションに適用されるプロバイダー設定を設定します。

手順

  1. 「アプリケーション 」>「 アプリケーション設定 」>「 OIDC 一般設定」 を選択します。
  2. Verifyに、一般設定に関する基本情報を入力してください。
    フィールド 説明
    発行者のホスト名 JWT発行元のホスト名。 テナントのホスト名か、あるいはカスタムホスト名のいずれかでしょう。 https://{issuerHostname}/oidc/endpoint/default発行者の文字列全体は次のとおりです。
    MTLS エンドポイントの基本 URL MTLSエンドポイント用の基本 URL には、次のような https プロトコルスキーマを含める必要があります。
    IDトークンの有効期間 IDトークンの有効期間(秒単位)。 最大値は2147483647、最小値は1です。
    リフレッシュトークンのフォールトトレランスオプション リフレッシュトークンが使用された後に実行される処理。 この属性には2つのオプションがあります。
    リフレッシュトークンのフォールトトレランス有効期間
    Refresh token fault tolerance lifetimeRefresh token fault tolerance lifetime使用済みのリフレッシュトークンの残存有効期間が の値よりも長い場合は、 を の値に減らす。
    取り消し
    使用済みのリフレッシュトークンは直ちに無効化されます。 残りの有効期間は無視されます。
    回転させないでください
    更新処理中は、新しいリフレッシュトークンは生成されません。 レスポンスには同じリフレッシュトークンが返され、元のトークンの有効期限を引き継ぎます。
    リフレッシュトークンのフォールトトレランス有効期間 リフレッシュトークンが使用された後、有効である期間(秒単位)。 トークンの更新中にクライアントが新しいトークンを受け取らなかった場合、リフレッシュトークンを再度使用することができます。 リフレッシュトークンの残存有効期間がこれより短い場合、この値は使用されません。 最大値は2147483647、最小値は1です。
    JWTの検証時間のずれ iat受信したJWTにおいて、, nbf, および exp が検証される際に使用される秒単位のオフセット。
    iat
    トークンが作成された時刻。
    nbf
    トークンは開始時刻になるまで使用できません。
    exp
    JWTの有効期限。
    例えば、クライアント認証用の秘密鍵JWT、リクエストオブジェクト、およびJWTベアラートークンなどです。
    デバイスのポーリング間隔 デバイスフローのポーリング間隔(秒単位)。 最大3600、最小2。
    デバイスのフローコードの有効期間 デバイスフローにおけるデバイスコードおよびユーザーコードの有効期間(秒単位)。 最大 1800、最小1。
    クライアントシークレットの長さ 自動生成されるクライアントシークレットの長さ。 最大25名、最小8名。
    回転された秘密の有効期間 デフォルトのクライアントシークレットの有効期間(日数)。 最大90、最小0。
    デバイス認証エンドポイントでクライアント認証を適用する OAuth デバイスの認証グラントフローがトリガーされた際に、クライアント認証を強制する設定。
    署名用のデフォルト鍵 デフォルトのJWT署名キー。
    暗号化用のデフォルト鍵 デフォルトのJWT暗号化キー。
    JWKS 出力で 'x5c' を除外 JWKSで「 x5c 」を除外する設定。
    JWKS 出力で 'x5t' と 'x5t#S256' を除外 JWKSにおいて「 x5t 」および「 x5t#S256 」を除外する設定。
    アクセストークンをSSOセッションと交換できるようにする SSOセッション用のアクセストークンの交換。

    許可:アクセストークンをSSOセッションと交換できます。

    トークンの許可と失効:アクセストークンはSSOセッションと交換できますが、そのトークンは失効します。

    拒否:アクセストークンをSSOセッションと交換することはできません。
    OpenID プロバイダーのメタデータに他のプロパティを追加する 
    
{
	"additionalMetadata": "some value"
}
    トークン交換 IDトークンの正式な有効期限の前後にある、数秒単位の短い期間。 システム間のクロックスキューやネットワーク遅延の可能性を考慮しています。 このウィンドウは、トークン発行者と検証者の間でわずかなタイミングのずれが生じたために、有効なトークンが誤って拒否されるのを防ぐのに役立ちます。
    マッピングの範囲 Associates OAuth または OpenID スコープを、クレームと呼ばれる特定のユーザー情報フィールドに関連付けます。 クライアントが特定のスコープを要求した場合、認証サーバーはこのマッピングを使用して、発行するトークンやユーザー情報レスポンスにどのクレームを含めるかを決定します。
  3. Verify に汎用的なトークン交換設定を指定します。
    フィールド 説明
    IDトークンの有効期限の許容範囲 有効期限が切れた後、IDトークンをトークン交換に使用できる残り時間(秒単位)。 設定されていない場合、IDトークンの有効期限は確認されません。 最大86400、最小5。
  4. 「変更を保存」 をクリックします。