OIDC エンタープライズ ID プロバイダーの構成

オンラインで編集

OIDCプロトコルをサポートするIDプロバイダーであれば、どれでもOIDCエンタープライズIDプロバイダーとして利用できます。 ID提供者は、IBM® Verifyへのアクセス権限を付与する前に、このID提供者のデータに対してユーザー IDを認証します。

手順

  1. 選択 認証 > IDプロバイダー.
  2. 「OIDC Enterprise」 を選択してください。
  3. [一般] ページで、以下の情報を入力してください。
    名前
    IDプロバイダーに分かりやすい名前を付けてください。
    レルムおよび発行者
    URL をIDプロバイダーに提供してください。 例:
    https://accounts.OIDC-IDP.com
    これはクラウドディレクトリに使用されるレルムであり、既知のエンドポイントが指定されていない場合、OIDCフローの発行者としても機能します。
    ID
    この ID は、構成を保存した後に作成されます。
    有効
    このチェックボックスをオンにすると、この IDプロバイダー を使用してサインインできます。
  4. 「次へ」 を選択します。
  5. urlID プロバイダー」ページで、リダイレクトURLをコピーします。
    シングルサインオン用にアプリケーションを登録する際、これを url IDプロバイダーに提供します。
  6. 「次へ」 を選択します。
  7. 「IDプロバイダー」 ページで、以下の情報を入力してください。
    1. (任意): ログイン画面 Verify ( URL )に表示されるIDプロバイダーIDの代わりに使用する、わかりやすい名前を指定します。
    2. IDプロバイダーにアプリケーションを登録した際に受け取ったクライアントIDクライアントシークレットを入力してください。
    3. オプション: スコープを追加または削除して、アプリケーションの使用方法を制御します。
      注: 管理コンソールにスコープを追加するたびに、Windows™の場合は「」、 Return Mac OSの場合は「」を選択 Enter してください。
    4. アプリケーションを登録した際に受け取った情報 endpoints についてご記入ください。
      既知のエンドポイント
      ディスカバリー文書で OIDC クライアントを構成するには、この属性を使用します。 https://myco.com例えば、.

      endpointよく知られているものを使用しない場合は、以下の情報を提供する必要があります。

      • 許可エンドポイント
      • トークン・エンドポイント
      • ユーザー情報エンドポイント
    5. オプション: IDプロバイダーが対応している場合、 PKCE機能を有効にし、JWKS URIを指定することができます。
      アイデンティティー・プロバイダーの既知の構成で指定されていない場合は、JWKS URI を追加します。
    6. 認証方式を選択します。
      • クライアント秘密鍵 Basic
      • クライアント秘密鍵 POST
      • クライアントシークレットJWT - 暗号化用の署名アルゴリズムも選択する必要があります。
      • JWTの秘密鍵 - さらに、暗号化に使用する署名アルゴリズムを選択し、署名用証明書を選択する必要があります。
    7. 任意: promptlogin hint利用可能な場合は、シングルサインオンフロー中に、、、 max age のパラメータをIDプロバイダーに転送することができます。
  8. 「次へ」 を選択します。
  9. オプション: ジャストインタイム・プロビジョニング 」を選択します。
    このオプションは、 SAML のIDに関連付けられているプライマリ IDプロバイダー のレルム内に、ユーザーアカウントを作成および更新します。
  10. オプション: 一意のユーザー識別子 」メニューから、IDプロバイダーのユーザー登録情報に基づいてユーザーを識別する属性を指定します。
    「このIDプロバイダーでIDリンクを有効にする」 を選択する場合は、UUIDを入力する必要があります。
  11. オプション: 一意のユーザー識別子を変換するための変換値を選択するか、デフォルト値の「 なし 」のままにします。
  12. オプション: このIDプロバイダーに対してIDリンクを有効にする 」を選択します。
    1. 「一意のユーザー識別子」リンクから、 アカウントに使用する一意の識別子を選択してください。
      注: UUID は、OIDCクレームオブジェクト内でユーザーを一意に識別するものであれば、どのような値でも構いません。
    2. 「外部ID」属性フィールドに値を入力して、 UUID を設定してください。
      デフォルト値は sub です。
    3. 「External ID」属性の値を変換するには、変換値を選択するか、デフォルト値の「 なし 」のままにしてください。
  13. 「次へ」 を選択します。
  14. (任意) :[ 属性マッピング ] ページで、OIDCプロバイダーの属性をさらに属性に Verify マッピングします。
    1. 「属性マッピングの追加」 を選択します。
    2. メニューから OIDC 属性を選択します。
      OIDCプロバイダーが、標準以外のOIDC対応属性をサポートしている場合は、 「属性を選択 」フィールドに値を入力できます。
    3. Verify メニューから属性を選択してください。
    4. 属性の使用方法を選択します。
    5. マップする属性ごとに、このプロセスを繰り返します。
  15. (オプション): ユーザーアクセス権限グループのソースを指定するには、以下の「 グループメンバーシップのソース 」からいずれか1つを選択してください。
    • クラウド・ディレクトリー - ユーザー・アクセス許可は、クラウド・ディレクトリー内のユーザー・グループから派生します。
    • クラウドディレクトリおよびIDプロバイダー - ユーザーのアクセス権限は、クラウドディレクトリ内のユーザーグループおよび IDプロバイダー のトークン(クレームを含む groupIds )に基づいて決定されます。
    • IDソース - ユーザーのアクセス権限は、クレーム groupIds を含む IDプロバイダー のトークンに基づいて決定されます。
      注: IDプロバイダー のトークンにこの groupIds クレームが含まれていない場合、グループメンバーシップに関する権限は一切付与されません。
    • カスタムルール「カスタムルール」 を選択した場合は、ルールエディタにカスタムルールを入力し、 「OK」 をクリックして保存してください。 ユーザー・アクセス許可は、カスタム・ルールに基づいて導出されます。
  16. 「次へ」 を選択します。
  17. オプション: CI-108233 のパブリックプレビューを有効にした場合は、ユーザーへの招待を有効にするかどうかを選択してください。
    招待状はAPIを使用して POST /v1.0/usc/user/invitation 作成・送信されます。 「ユーザーの招待」 を参照してください。 「ユーザー招待を有効にする」 チェックボックスをオンにすると、他のユーザーを新規ユーザーとして登録するよう招待できます。 また、招待を受け入れる際の一環として、ユーザーがさらに情報を入力できるよう、ユーザープロファイルを選択することもできます。 「ユーザープロファイルの管理」 を参照してください。
  18. 「完了」をクリックします。
  19. (任意): OIDC IDプロバイダーを編集します。
    1. 選択 認証 > IDプロバイダー.
    2. 「ソース」 のリストからIDプロバイダーを選択してください。
    3. 変更を行います。
      ID およびリダイレクト URL を変更することはできません。
    4. 「変更を保存」 を選択します。
  20. (任意): OIDC IDプロバイダーを削除します。
    1. 選択 認証 > IDプロバイダー.
    2. 「ソース」 のリストからIDプロバイダーを選択してください。
    3. 削除 」アイコンを選択してください。
    4. 「削除」 を選択して、IDプロバイダーを削除することを確認してください。