WeChat または WeChat モバイル・アイデンティティー・プロバイダーの追加

オンラインで編集

WeChat™ では、Webフロー、モバイルフロー、あるいはその両方のいずれかを使用するように設定できますが、少なくともいずれか一方のフローを設定する必要があります。

始める前に

WeChat でアプリケーションを設定してください。 『 WeChat 』の「アプリケーションの設定 」を参照してください。 アプリケーションに関する特定のデータをソーシャル・アイデンティティー・プロバイダーに提供します。 アプリケーションを登録したら、ソーシャル・アイデンティティー・プロバイダーによって割り当てられた情報をコピーします。 その情報を Verify に提供する必要があります。

手順

  1. 「認証 」>「 IDプロバイダー 」を選択します。 ID プロバイダーの追加を選択します。
  2. ソーシャルIDプロバイダーのリストから「 WeChat 」を選択し、 「次へ」 をクリックします。
  3. 基本情報を指定します。
    表 1. 基本情報
    情報 説明
    名前

    Microsoft™ Active Directory、 Microsoft Azure、 Active Directory などのIDプロバイダー で使用されるユーザーレジストリを表すために割り当てる名前。

    構成されて使用可能になっているアイデンティティー・プロバイダーが複数ある場合は、アイデンティティー・プロバイダー名が Verify サインイン・ページに表示されます。

    この情報は、 ID プロバイダーを選択した場合、 [ディレクトリ] > [ユーザーとグループ] > [ユーザー] タブの [ユーザーの追加 ] ダイアログボックスにも表示されます。
    レルム

    これは、同じユーザー名を持つ複数のIDプロバイダーのユーザーを区別するのに役立つIDプロバイダー属性です。

    「WeChat」の場合、レルム値は www.wechat.com です。
    有効

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    「オフ」 に設定されている場合、そのID プロバイダー はサインインオプションとして設定されません。 ユーザーは、設定済みのID プロバイダー を使用してターゲットアプリケーションにサインインできません。

    「オン」にすると、部分的に有効になります。 この設定は、すべてのアプリケーションに対してこのソースを自動的に有効にするものではありません。 個々のアプリケーションに対してこのソースを選択する必要があります。
    ID 「保存」 を選択すると、ID プロバイダー用のIDが生成されます。
  4. 次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください
  5. IDプロバイダーへ。 WeChat のウェブサイトにアクセスし、シングルサインオンに登録して、アプリケーションの設定を進めてください。 WeChat に、ご自身のアプリケーションに関する情報を提供し、テナントで指定された承認済みコールバックドメインを指定する必要があります。
  6. 次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください
  7. IDプロバイダーから。 構成タイプを選択します。
    いずれかの構成を選択することも、両方を選択することもできます。
    注: 各フローは個別の登録となります。
    • Web 構成
      1. スイッチを「 オン」 に設定して、 WeChat のWeb設定を有効にしてください。
      2. 登録時に受け取った「 AppID 」と「 AppSecret 」を、指定された欄に入力してください。
    • モバイル構成
      1. WeChat モバイル構成を有効にするには、スイッチを「オン」にします。
      2. Verifyが受信したソーシャルJWT の発行元を指定してください。 検証が行われるには、指定する発行者が、受け取られた発行者と一致する必要があります。
      3. メニューから、ソーシャルJWTの検証に使用する検証証明書を選択してください。
      4. WeChat モバイルアプリケーションが受信するトークンを設定します。
        アクセス・トークン存続時間 (秒)
        アクセス・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

        アクセス・トークンの有効期限を設定して、クライアント・アプリケーション で情報漏えいがあったときに、攻撃者が盗まれたトークンを使用してリソースにアクセスできる時間を制限します。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 許可される最小値は 1 秒で、最大値は 2147483647 秒です。

        アクセス・トークンの形式
        アクセストークンが不透明な文字列として生成されるかどうかを示します。これは、Default設定、またはJWT( JSON Web Token ) 形式。
        リフレッシュ・トークンの生成
        クライアントアプリケーション、 OpenID Connect IDプロバイダーの認証サーバーから新しいアクセストークンを取得するために、 リフレッシュトークンを要求および使用できるかどうかを示します。

        このオプションは、アプリケーションがアクセストークンを使用してAPI経由 Verify で操作を実行する場合にのみ使用してください。

        前のアクセス・トークンが期限切れになった場合にのみ、新規アクセス・トークンを取得する必要があります

        リフレッシュ・トークン存続時間
        リフレッシュ・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

        リフレッシュトークンの有効期限を設定し、一定時間が経過した後に Verify ユーザーが完全なシングルサインオン操作を実行する必要があるようにします。 存続時間は、アイドル時間を含む合計経過時間に基づきます。

        このオプションは、「リフレッシュ・トークンの生成 (Generate refresh token)」を有効にしない限り、表示はされていますが無効になっています。

        リフレッシュ・トークンは、保護リソースへのアクセスを継続するための新規アクセス・トークンを取得するために使用されます。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 最小値は、「アクセス・トークン存続時間 (Access token expiry)」値と等しいか、それよりも大きくなければなりません。最大値は 2147483647 秒です。

      5. イントロスペクション・エンドポイントおよび JWT アクセス・トークンのペイロードに含める属性をマップします。
        Attribute Name
        Verify信頼先が使用し、. から要求する属性の名前。
        ソース属性

        設定 」>「 属性」 で各タイプに対して定義したすべての属性ソースを一覧表示します。

        選択した属性ソースの値は、ID トークンの定義済み依拠当事者の属性名の属性値として割り当てられます。

      6. 「API アクセスの構成」を選択して、アクセス・トークンに付与される API アクセス権を指定します。 特定の API アクセス権を選択することも、「すべて選択」トグルを「オン」に設定してすべてのアクセス権を選択することもできます。
  8. オプション: スコープを追加または削除して、アプリケーションの使用方法を制御します。
    追加した各スコープの後に Enter キーを押すことを忘れないでください。
  9. 「次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください。
  10. IDのリンクを有効にするには、スイッチを 「オン」 に設定し、以下の情報を入力してください。
    固有ユーザー ID
    リンクされたアカウントの ID として機能するユーザー属性。
    JIT プロビジョニング
    ユーザー・アカウントが 1 次 ID ソースで見つからない場合、スイッチを「オン」にして、その 1 次レルム内にシャドー・アカウントを作成します。
    外部 SoD
    WeChat ユーザー・リポジトリー内でユーザーを一意的に識別するために使用する識別子。
  11. 「保存」 を選択します。