サード・パーティー OAuth プロバイダーの構成

サード・パーティーからの OAuth 認証を提供するセキュア・エンドポイントを入力します。

このタスクについて

OAuth プロバイダーを構成するには、以下のいずれかのロールが必要です。

  • 組織管理者
  • 所有者
  • 「設定」 > 「管理」 権限を持つカスタム役割

手順

  1. API Managerで、 リソース 「リソース」をクリックします。
  2. 「OAuth プロバイダー」 > 「追加」 > 「サード・パーティー OAuth プロバイダー」を選択します。
    1. 最初の画面で以下のパラメーターを入力し、 「次へ」をクリックします。
      フィールド 説明
      役職 ゲートウェイ・サービスの説明的なタイトルを入力します。 このタイトルは画面に表示されます。
      名前 このフィールドはシステムによって自動的に入力され、内部フィールド名として使用されます。
      サポートされる付与タイプ 次のオプションから選択します。
      • 暗黙: アクセス・トークンは、許可コードを交換するステップを追加で実行することなく、即時に返されます。
      • アプリケーション: アプリケーション間。 OAuth 権限付与タイプのクライアント資格情報に対応しています。 ユーザー・セキュリティーは必要ありません。
      • アクセス・コード: 許可コードが URL から抽出され、アクセス・コード用に交換されます。 OAuth 権限付与タイプの許可コードに対応しています。
      • リソース所有者 - パスワード: ユーザーのユーザー名およびパスワードがアクセス・トークン用に直接交換されます。そのため、ファースト・パーティーのクライアントのみが使用できます。
      • DataPower API Gateway のみリソース所有者-JWT: JSON Web Token (JWT) ベアラー・トークンは、OAuth 2.0 アクセス・トークンを要求する手段、および OAuth 2.0 クライアント認証および許可付与のための JSON Web Token (JWT) プロファイルで定義されているクライアント認証の手段として使用されます。
        注: 「リソース所有者-JWT」 オプションを使用するには、以下の手順を実行します。
        1. 「サポートされる権限付与タイプ」 フィールドで、 「リソース所有者-パスワード」「リソース所有者-JWT」の両方を選択します。
        2. API 定義を編集して、セキュリティー定義タイプとして oauth2 を指定するセキュリティー・スキームを追加し、フロー・タイプとして 「リソース所有者-パスワード」 を選択します。

          API の OAuth2 セキュリティー・スキームの定義については、 OAuth2 セキュリティー・スキーム・コンポーネントの定義 (OpenAPI 3) または OAuth2 セキュリティー・スキームの定義 (OpenAPI 2) を参照してください。
      ゲートウェイ・タイプ ゲートウェイ・タイプ DataPower® API Gatewayを選択します。
    2. エンドポイントの構成設定を指定して、 「次へ」をクリックします。
      フィールド 説明
      許可 URL

      リソース所有者が、保護リソースへのアクセスをクライアント・アプリケーションに許可するための許可 URL。 例:

      https://example.com/oauth2/authorize
      トークン URL

      クライアント・アプリケーションがアクセス・トークンの権限付与を交換するトークン要求 URL。 例:

      https://example.com/oauth2/token
      イントロスペクト URL

      イントロスペクション URL は、API ゲートウェイによりサード・パーティー・プロバイダーが発行したアクセス・トークンが検証される場所です。 例:

      https://example.com/oauth2/introspect
      イントロスペクションのためのサード・パーティー OAuth プロバイダーの統合について詳しくは、 サード・パーティー OAuth プロバイダーの OAuth イントロスペクションを参照してください。
      DataPower API Gateway のみイントロスペクト・キャッシュ・タイプ キャッシュ・タイプは、サード・パーティー・プロバイダーからの応答があった場合に、その応答をキャッシュに入れておく期間を決定します。 次のオプションのいずれかを選択します:
      • キャッシュなし (デフォルト): 応答はキャッシュに入れられません。
      • プロトコル: プロバイダーの応答内の cache-control ヘッダーによって定義されます。
      • 存続時間: プロバイダーによって定義されます。
      DataPower API Gateway のみキャッシュ存続時間 「イントロスペクト・キャッシュ・タイプ」が「存続時間」に設定されている場合に、プロバイダーの応答がキャッシュに入れられている時間の長さ (秒単位)。 デフォルト値は 900 です。
      TLS プロファイル (オプション) サード・パーティー・プロバイダーとの通信に使用するオプションの TLS プロファイルを選択します。
      セキュリティー デフォルトは基本認証です。
      基本認証要求ヘッダー名 x-introspect-basic-authorization-header を使用して、ユーザー構成の HTTP 基本許可ヘッダーを指定できます。
      DataPower API Gateway のみ基本認証ユーザー名 (オプション) HTTP 基本認証に使用されるデフォルトのユーザー名。
      DataPower API Gateway のみ基本認証パスワード (オプション) HTTP 基本認証に使用されるデフォルトのパスワード。
      DataPower API Gateway のみトークン検証 提供されたトークンを検証するためにサード・パーティー・サービスに送信されたイントロスペクション要求の成功の有無を判断するための方法を指定します。 次のオプションのいずれかを選択します:
      • 接続済み: 状況の戻りコードが 200 の場合、照会は成功しています。
      • アクティブ (デフォルト): 状況戻りコードが 200 で、応答 JSON 本体にプロパティー active: trueが含まれている場合、照会は成功します。
      DataPower API Gateway のみカスタム・ヘッダーのパターン (オプション) サード・パーティー・プロバイダーに渡される要求ヘッダーの正規表現 (例えば、 x-Introspect-*)。
      DataPower API Gateway のみ許可ヘッダーのパススルー ベアラー・トークンの Authorization ヘッダーを保持する場合は、このチェック・ボックスを選択します。 デフォルトの動作では、このヘッダーを削除します。
    3. 3 番目の画面にスコープを入力します。 スコープは、アクセス・トークンの要求および応答でオプションになります。 「追加」をクリックするとスコープのフィールドをさらに増やせます。。 済んだら、「次へ」をクリックしてください。
      フィールド 説明
      sample_scope_1 トークンのスコープ
      sample_scope_2 トークンのスコープ
      追加のスコープ (additional scopes) トークンのスコープ
    4. 「要約」 パネルで設定を確認します。
  3. 「保存と編集」 をクリックして、構成を完了します。