WeChat または WeChat モバイル・アイデンティティー・プロバイダーの追加

オンラインで編集

Webフロー、モバイルフロー、または両方のいずれかを使用 WeChat™ するように設定できますが、少なくともいずれか1つのフローを設定する必要があります。

始める前に

WeChatでアプリケーションを構成します。 アプリケーションの設定については WeChat、. を参照してください。 アプリケーションに関する特定のデータをソーシャル・アイデンティティー・プロバイダーに提供します。 アプリケーションを登録したら、ソーシャル・アイデンティティー・プロバイダーによって割り当てられた情報をコピーします。 その情報を Verify に提供する必要があります。

手順

  1. 認証 > IDプロバイダー を選択します。 ID プロバイダーの追加を選択します。
  2. ソーシャル・アイデンティティー・プロバイダーのリストから WeChat を選択し、 「次へ」を選択します。
  3. 基本情報を指定します。
    表 1. 基本情報
    情報 説明
    名前

    Microsoft™ Active Directory、 その他のIDプロバイダー が使用するユーザー Microsoft AzureActive Directory 登録情報を表すために割り当てる名前。

    構成されて使用可能になっているアイデンティティー・プロバイダーが複数ある場合は、アイデンティティー・プロバイダー名が Verify サインイン・ページに表示されます。

    この情報は、 ディレクトリ > ユーザーとグループ > ユー ザータブ、 ユーザー追加ダイアログボックスで、 IDプロバイダー を選択した際にも表示されます。
    レルム

    これは、同じユーザー名を持つ複数の ID プロバイダーからユーザーを区別するのに役立つ ID プロバイダー属性です。

    「WeChat」の場合、レルム値は www.wechat.com です。
    有効

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    「オフ」にした場合、アイデンティティー・ プロバイダー はサインイン・オプションとして構成されません。 ユーザーは、構成された ID プロバイダー を使用してターゲット・アプリケーションにサインインすることができません。

    「オン」にすると、部分的に有効になります。 この設定は、すべてのアプリケーションに対してこのソースを自動的に有効にするものではありません。 個々のアプリケーションに対してこのソースを選択する必要があります。
    ID 「保存」を選択すると、ID プロバイダー の ID が生成されます。
  4. 続行するには、 「次へ」 をクリックします。構成を変更するには、 「戻る」 をクリックします。
  5. アイデンティティー・プロバイダーに送信します。 シングル・サインオンを登録する WeChat Web サイトで、アプリケーションの構成に進みます。 アプリケーションに関する情報を WeChat に提供し、テナントで提供される許可されたコールバック・ドメインを提供する必要があります。
  6. 続行するには、 「次へ」 をクリックします。構成を変更するには、 「戻る」 をクリックします。
  7. アイデンティティー・プロバイダーから。 構成タイプを選択します。
    いずれかの構成を選択することも、両方を選択することもできます。
    注: 各フローは別個の登録です。
    • Web 構成
      1. WeChat Web 構成を有効にするには、スイッチを 「オン」 にします。
      2. 登録時に受け取った AppID および AppSecret を必須フィールドに指定します。
    • モバイル構成
      1. WeChat モバイル構成を有効にするには、スイッチを「オン」にします。
      2. Verifyによって受信されるソーシャル JWT の 発行者 を指定します。 検証が行われるには、指定する発行者が、受け取られた発行者と一致する必要があります。
      3. メニューから、ソーシャル JWT の検証に使用する 「検証証明書」 を選択します。
      4. WeChat モバイル・アプリケーションが受け取るトークンを構成します。
        アクセス・トークン存続時間 (秒)
        アクセス・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

        アクセス・トークンの有効期限を設定して、クライアント・アプリケーション で情報漏えいがあったときに、攻撃者が盗まれたトークンを使用してリソースにアクセスできる時間を制限します。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 許可される最小値は 1 秒で、最大値は 2147483647 秒です。

        アクセス・トークンの形式
        アクセス・トークンが不透明なストリングとして生成されるかどうかを示します。Default設定、またはJWT(JSON Web Token) 形式。
        リフレッシュ・トークンの生成
        クライアント・アプリケーションリフレッシュ・トークン を要求して使用し、 OpenID Connect ID プロバイダーの許可サーバーから新しい アクセス・トークン を取得できるかどうかを示します。

        このオプションは、アプリケーションが Verify API を使用して操作を実行するためにアクセス・トークンを使用する予定の場合にのみ使用してください。

        前のアクセス・トークンが期限切れになった場合にのみ、新規アクセス・トークンを取得する必要があります

        リフレッシュ・トークン存続時間
        リフレッシュ・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

        リフレッシュ・トークンの有効期限を設定して、一定の時間が経過した後にユーザーが Verify に対して完全なシングル・サインオン操作を実行することを要求します。 存続時間は、アイドル時間を含む合計経過時間に基づきます。

        このオプションは、「リフレッシュ・トークンの生成 (Generate refresh token)」を有効にしない限り、表示はされていますが無効になっています。

        リフレッシュ・トークンは、保護リソースへのアクセスを継続するための新規アクセス・トークンを取得するために使用されます。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 最小値は、「アクセス・トークン存続時間 (Access token expiry)」値と等しいか、それよりも大きくなければなりません。最大値は 2147483647 秒です。

      5. イントロスペクション・エンドポイントおよび JWT アクセス・トークンのペイロードに含める属性をマップします。
        Attribute Name
        依拠当事者が使用し、 Verifyから要求する属性の名前。
        ソース属性

        設定 > 属性 で各タイプに対して定義したすべての属性ソースを一覧表示します。

        選択した属性ソースの値は、ID トークンの定義済み依拠当事者の属性名の属性値として割り当てられます。

      6. 「API アクセスの構成」を選択して、アクセス・トークンに付与される API アクセス権を指定します。 特定の API アクセス権を選択することも、「すべて選択」トグルを「オン」に設定してすべてのアクセス権を選択することもできます。
  8. オプション: アプリケーションの使用方法を制御するためにスコープを追加または削除します。
    追加した各スコープの後に Enter キーを押すことを忘れないでください。
  9. 続行するには 「次へ」 をクリックし、構成を変更するには 「戻る」 をクリックします。
  10. ID リンクを使用可能にするには、スイッチを 「オン」 にして、以下の情報を指定します。
    固有ユーザー ID
    リンクされたアカウントの ID として機能するユーザー属性。
    JIT プロビジョニング
    ユーザー・アカウントが 1 次 ID ソースで見つからない場合、スイッチを「オン」にして、その 1 次レルム内にシャドー・アカウントを作成します。
    外部 SoD
    WeChat ユーザー・リポジトリー内でユーザーを一意的に識別するために使用する識別子。
  11. 「保存」を選択します。