OpenID Connect アプリケーションでのシングル・サインオンの構成

オンラインで編集

OpenID Connect を使用すると、 IBM® Verifyによる認証応答コールバックに基づいて、ユーザーのアプリケーション ID 検証を行うことができます。 さらに、ユーザーはアプリケーションでアカウントを登録する必要がありません。 ユーザーは、ログインのために Verify にリダイレクトされます。 Verifyは、ユーザーの ID を検査し、ID トークンを介して情報を送信し、ユーザーがリソースへのアクセスと使用を許可されていることを依拠当事者に確認します。 このアプリケーションは、ディスカバリー・エンドポイント https://<tenant-host>/oauth2/.well-known/openid-configurationを持つ新しい OpenID Connect プロバイダーを使用します。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • 少なくとも 2 つのブラウザー・ウィンドウを開いて、セットアップを完了します。 1 つは Verify 管理コンソール用で、もう 1 つはターゲット・アプリケーションの管理コンソール用です。
    • Verify 管理コンソールにログインします。
    • 管理者アカウントでターゲット・アプリケーション管理コンソールにログインします。
  • 一般タブで、アプリケーション・インスタンスの基本情報をセットアップする必要があります。 基本アプリケーションの詳細設定を参照してください。

このタスクについて

アプリケーションを検査する際は、 Connect テンプレートを選択し、アプリケーションをConnect OpenIDOpenID の依存先として動作させるか、ユーザーの認証をConnectに委任するクライアントアプリケーション Verifyとして動作させるように構成します。

Verifyと依拠当事者が相互に対話するように構成します。 OpenID Connect シングル・サインオンを有効にするには、以下を指定する必要があります。

  • 依拠当事者からの特定のデータを含むVerify
  • Verifyからの特定のデータを持つ依拠当事者。

IBM Verify Accessおよびモバイル・アプリケーションを OpenID Connect リライング・パーティーとして構成できます。

手順

  1. 「サインオン」 タブにナビゲートします。
  2. 依拠当事者に関する基本情報を検証に提供します。
    フィールド 説明
    URL

    これは OpenID の依拠当事者にログインするために使用されるシングルサインURL です。

    アプリケーションは、この URL を使用して、ユーザーの詳細が含まれている ID トークンを Verify に要求します。

    ユーザーがこの URL を介してアプリケーションにアクセスすると、ユーザーは認証のために Verify にリダイレクトされます。

    この情報は、許可プロバイダー または OpenID Connect プロバイダー をそのサイトで構成するときに、依拠当事者 から取得できます。
    付与タイプ

    これは、 依拠当事者Verifyから ID トークンを取得するために使用できるメカニズムを示します。

    OpenID Connect は、以下の付与タイプをサポートします。
    • 許可コード
    • 暗黙的
    • デバイス・フロー
    • クライアント資格情報
    • 許可コードと暗黙的 (ハイブリッド・フロー)
    • リソース所有者パスワード資格情報 (ROPC)
    • トークン交換
    • JWT ベアラー
    • コンテキスト・ベースの許可

    少なくとも 1 つの付与タイプを選択する必要があります。 グラントの種類を参照して、サポートされているグラントの種類を簡単に比較し、アプリケーションに設定するグラントの種類を決定してください。
    応答タイプ 応答タイプは、必要な許可処理フローを許可サーバーに通知します。
    注: 応答タイプが構成されていない既存のアプリケーションを編集する場合、デフォルトでは、有効にされた付与タイプに適用されるすべての応答タイプになります。
    OpenID Connect は、以下の応答タイプをサポートします。
    • none
    • code
    • token
    • id_token
    • code token
    • code id_token
    • token id_token
    • code token id_token

    応答タイプcodeまたはnoneが選択されている場合、応答モードqueryが有効になります。 それ以外の場合、応答モード query はクリアされ、使用不可になります。
    応答モード 応答モードは、Authorization Server が許可エンドポイントから結果パラメーターを返す方法を示します。
    OpenID Connect は、以下の応答モードをサポートします。
    • 照会
    • 断片
    • フォーム POST
    • JWT の照会
    • フラグメント JWT
    • フォーム POST JWT
    クライアント ID

    これは、 クライアント・アプリケーション( OpenID Connect 依拠当事者) に割り当てられる固有の公開 ID です。 許可サーバーはこの情報を使用して、依拠当事者と許可要求を識別します。

    この情報は、 OpenID Connect アプリケーションを保存した後に自動的に生成されます。 アプリケーションの管理コンソールでVerifyを OpenID Connect プロバイダーとして構成する場合は、この情報を依拠当事者に提供する必要があります。

    依拠当事者は、アクセス・トークンを要求するたびにクライアント ID を使用します。
    パブリック・クライアント (クライアント秘密鍵なし)

    アプリケーションが提供する必要がある秘密鍵がクライアントにないことを示します。

    クライアント秘密鍵を生成するのは、クライアント・タイプが機密の場合のみです。 機密クライアントは、クライアント ID とクライアント秘密鍵をセキュアな方法で保持でき、これらの資格情報を無許可の関係者に表示することはありません。

    クライアント・シークレットは、クライアント・アプリケーションと許可サーバーにのみ認識される必要があります。

    注: このオプションを選択すると、 「クライアント・シークレット」 フィールドは非表示になります。
    クライアント秘密鍵

    このデータは、依拠当事者を認証し、ID トークンの許可コードを交換するために、クライアント ID とともに使用されます。

    この情報は、 OpenID Connect アプリケーションを保存した後に自動的に生成されます。 アプリケーションの管理コンソールでVerifyを OpenID Connect プロバイダーとして構成する場合は、この情報を依拠当事者に提供する必要があります。
    リダイレクト URI (Redirect URIs) *

    これはコールバック URL であり、Verifyがその認証応答を依拠当事者に送信するアドレスです。

    ユーザーは、Verify によって認証および許可された後、この URL にリダイレクトされます。

    少なくとも 1 つの URI を指定する必要があります。

    最大 400 個の URI を追加できます。

    この情報は、サイトで許可プロバイダーまたは OpenID Connect プロバイダーを構成するときに、依拠当事者から取得できます。
    クライアント認証方式
    Verify は、以下のクライアント認証方式をサポートしています。
    • デフォルト
    • クライアント秘密鍵 Basic
    • クライアント秘密鍵 POST
    • 秘密鍵 JWT
    • 相互TLS
    注: デフォルトのクライアント認証方式は defaultです。

    デフォルトのままにした場合、クライアント秘密鍵 Basic と POST の両方が許可されます。 このクライアントがパブリック・クライアントの場合、クライアント・シークレットの基本と POST は許可されません。 依拠当事者がサポートしている場合は、構成として秘密鍵 JWT または相互 TLS を使用します。 相互TLSクライアント認証の詳細については、 「相互TLSクライアント認証と証明書に紐づけられたアクセストークンの接続」 を OpenID 参照してください。
    クライアント・アサーション JTI の検証 (Validate client assertion JTI)

    クライアント・アサーション JWT 内の JTI が単一使用に対して検証されるかどうかを示します。 このオプションは、秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。
    クライアント・アサーション署名アルゴリズム *

    * このオプションは、 秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。
    TLS クライアント認証属性 認証に使用される証明書属性です。 このオプションは、相互 TLS クライアント認証方式が選択されている場合にのみ表示されます。
    • サブジェクト DN
    • SAN DNS
    • SAN URI
    • SAN IP
    • SAN E メール・アドレス
    TLS クライアント認証属性値 * 認証に使用される証明書内の属性の値です。 このオプションは、相互 TLS クライアント認証方式が選択されている場合にのみ表示されます。
    Proof Key for Code Exchange (PKCE) の検証が必要 PKCE は、許可コード傍受攻撃を軽減するために使用されます。 これは、許可コード・フローの続行前に、コードのチャレンジを必要とします。 このオプションが表示されるのは、許可コードの付与フローを選択したときのみです。
    プッシュされた許可要求 (PAR) が必要 PAR により、クライアントは、許可要求のペイロードを直接要求を介して許可サーバーにプッシュし、許可エンドポイントへの後続の呼び出しでデータへの参照として使用される要求 URI を許可サーバーに提供することができます。
    SSO セッションでのアクセス・トークンの交換を許可する SSO セッション用のアクセス・トークンの交換。
    • 許可: SSO セッションでアクセス・トークンを交換できます。
    • トークンの許可および取り消し: SSO セッションでアクセス・トークンを交換できますが、トークンは取り消されます。
    • 拒否: SSO セッションでアクセス・トークンを交換できません。
    • デフォルト: OIDC アプリケーションの一般設定は、SSO セッションでアクセス・トークンを交換できるかどうかを決定します。
    既存のアプリケーションを編集する場合は、次のクライアント秘密鍵オプションを使用できます。
    • クライアント秘密鍵を表示するには、表示を選択します。
    • クライアント秘密鍵を非表示にするには、非表示を選択します。
    • クライアントIDまたはシークレットをクリップボードにコピー コピー するには、[選択]をクリックしてください。
    • 回転したクライアントシークレットを表示 リスト するには、[選択]をクリックしてください。
      • リストから 1 つまたは複数のローテートされたクライアントシークレットを選択し、[削除]をクリックして削除します。
    • 新規クライアント・シークレットを生成するには、再生成を選択します。 クライアント秘密鍵が漏えいしたと思われる場合は、このオプションを使用します。 クライアント秘密鍵を再生成した場合は、アプリケーションのすべての OAuth クライアントにあるクライアント秘密鍵を更新する必要があります。
      • 現在の秘密を保持する]のチェックボックスを選択すると、現在のクライアント秘密がローテートされたクライアント秘密のリストに追加されます。
      • 現在のシークレットを保持する]チェックボックスが選択されている場合、クライアントシークレットの説明と有効期限(ブラウザのローカル時間)を選択します。 有効期限が選択されていない場合、アプリケーション設定で設定されたテナントの「ローテーションされた秘密の有効期限」が適用されます。
      • ローテーションされたクライアント秘密はハッシュ化され、プレーンテキストでは取得できなくなりますが、選択された有効期限まで使用することができます。
      • 確認後、クライアント秘密は直ちにローテートされる。 新しいクライアントシークレットが画面に表示されます。
  3. JWT 設定を構成します。
    表 1. JWT設定
    フィールド 説明
    JWKS URI 依拠当事者が JSON Web Key Set (JWKS) 形式で公開鍵を公開する URI。 この URI は、JWT 署名の検証または暗号化に使用されます。 システムは、到達不能または応答しない JWKS URI を拒否できます。 JWKS のサイズが大きすぎる場合も、システムは JWKS URL を拒否できます。 依拠当事者が JWKS URI を公開しない場合は、X509 証明書の形式で公開鍵をシステムに追加できます。 証明書の管理を参照してください。 パブリック証明書に関連付けられる「フレンドリー名」は、JWT の鍵 ID (kid) ヘッダーの値です。
    許可された署名検証鍵 (Allowed signature verification keys)

    クライアント・アサーション JWT の検証に使用できる署名検証鍵 ID。 このオプションは、秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。
    JWT ベアラー・ユーザー ID JWT ベアラー付与タイプでのみ使用可能です。 この構成は、当該 JWT ベアラー・トークンに関連付けられているユーザーを識別するための JWT ベアラー・サブジェクト (sub) の解釈をシステムに通知します。 サブには、ユーザーの IDUsername、または External IDを指定できます。
    JWT ベアラーのデフォルト ID ソース JWT ベアラー付与タイプでのみ使用可能です。 JWT がレルムを指定しない場合、デフォルトでは、サブによって識別されるユーザーが属する ID ソース・レルムになります。 JWT bearer user identificationオプションがUser IDに設定されている場合、この設定は適用されません。
  4. 要求オブジェクトの設定を構成します。
    表 2. リクエストオブジェクトの設定
    フィールド 説明
    請求オブジェクト・パラメーターのみ すべての請求パラメーターを請求オブジェクトに取り組めなければなりません。
    署名アルゴリズム 要求オブジェクトが署名されることを検査が予期するアルゴリズム。
    以下のハッシュ・アルゴリズムから選択して、署名を検証します。
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    有効期限請求が必要 要求オブジェクトに有効期限の'exp'プロパティーを含める必要があります。
    有効期間 (秒) 要求オブジェクトが有効である最大時間 (秒単位)。 これは、要求オブジェクト内の有効期限'exp'から not-before 'nbf'タイム・スタンプを差し引いて計算されます。
    請求URI 要求オブジェクトが含まれているリソースのURL。 許可要求時には、ここに登録された請求URIのみが許可されます。
  5. アクセス・トークンおよびリフレッシュ・トークンが盗まれた場合の無許可アクセスの時間を制限するために、これらのトークンの有効期限を構成します。

    アクセス・トークンは、保護リソースへのアクセスを許可するために使用されます。 アクセス・トークンの有効期限が切れると、許可は取り消されます。

    表 3. トークン設定
    フィールド 説明
    アクセス・トークン存続時間 (秒)

    アクセス・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

    アクセス・トークンの有効期限を設定して、クライアント・アプリケーションが暗号漏えいしたときに、盗まれたトークンを使用して攻撃者がリソースにアクセスできる時間を制限します。

    指定できるのは正の整数のみです。

    デフォルト値は 7200 秒です。 許可される最小値は 1 秒で、最大値は 2147483647 秒です。
    アクセス・トークンの形式 アクセス・トークンのフォーマットを指定します。 以下のオプションを使用できます。
    • デフォルト
    • JWT
    対象者 トークンの受信者とするターゲットを指定します。 これらの値は、JWT 形式のトークンの場合はaudクレームにリストされ、イントロスペクション・ペイロードには単一ストリングまたはストリングの配列のいずれかとしてリストされます。
    リフレッシュ・トークンの生成

    クライアント・アプリケーションがリフレッシュ・トークンを要求して使用し、 OpenID Connect ID プロバイダーの許可サーバーから新しいアクセス・トークンを取得できるかどうかを示します。

    このオプションは、アプリケーションが Verify API を使用して操作を実行するためにアクセス・トークンを使用する予定の場合にのみ使用してください。

    前のアクセス・トークンが期限切れになった場合にのみ、新規アクセス・トークンを取得する必要があります

    「暗黙的」が選択した唯一の付与タイプである場合、このオプションは関係ありません。
    リフレッシュ・トークン存続時間 (秒)

    リフレッシュ・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。 この設定は、ユーザーが再認証を必要とする頻度を決定します。

    リフレッシュ・トークンの有効期限を設定して、一定の時間が経過した後にユーザーが Verify に対して完全なシングル・サインオン操作を再試行するようにします。

    このオプションは、「リフレッシュ・トークンの生成」を有効にした場合にのみ表示されます。

    リフレッシュ・トークンは、保護リソースへのアクセスを継続するための新規アクセス・トークンを取得するために使用されます。

    指定できるのは正の整数のみです。

    デフォルト値は 604800 秒です。 許可される最小値は 1 秒で、最大値は 2147483647 秒です。
  6. ID トークン・シグニチャーおよび暗号化オプションを指定します。 依拠当事者は、署名を使用して、トークンに含まれているユーザー要求の保全性と認証性、およびトークンに署名した OpenID Connect ID プロバイダーを検証します。 トークンは、リライング・パーティーのみが復号できるように暗号化することができます。
    表 4. 署名と暗号化オプション
    フィールド 説明
    署名アルゴリズム

    Verifyが ID トークンに署名するために使用するアルゴリズム。 このアルゴリズムは、依拠当事者がVerifyに登録したアルゴリズムと一致している必要があります。

    以下のハッシュ・アルゴリズムから選択して、署名を検証します。
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    注:
    • ES256 署名アルゴリズムが選択されている場合、証明書は P-256 を指定した ECDSA でなければなりません。
    • ES384 署名アルゴリズムが選択されている場合、証明書は P-384 を指定した ECDSA でなければなりません。
    • ES512 署名アルゴリズムが選択されている場合、証明書は P-521を指定した ECDSA でなければなりません。
    署名証明書

    このオプションは、RS、ES、または PS 署名アルゴリズムのいずれかを選択した場合にのみ表示されます。

    この証明書を使用して、シングル・サインオン時に ID トークンに署名します。

    デフォルトの選択とは、で設定したデフォルトの個人 セキュリティ > 証明書 > 個人証明書証明書を指します。
    暗号化アルゴリズム コンテンツ暗号鍵 (CEK) の値を暗号化または決定するために使用される暗号アルゴリズム。
    以下のアルゴリズムがサポートされています。
    • RSA-OAEP
    • RSA-OAEP-256
    コンテンツ・アルゴリズム 暗号化テキストおよび認証タグを生成するために、プレーン・テキストで認証済み暗号化を実行するために使用されるコンテンツ暗号化アルゴリズム。
    以下のアルゴリズムがサポートされています。
    • A128GCM
    • A192GCM
    • A256GCM
    暗号鍵 暗号化に使用する鍵の証明書ラベルまたは鍵 ID。
  7. 所有権の証明の設定を構成します。 詳細については、 「所有権証明の提示」 DPoP を参照してください。
    表 5. 所持証明の設定
    フィールド 説明
    証明書にバインドされたアクセス・トークン 生成されたトークンが証明書にバインドされているかどうかを示します。 認証結合アクセストークンについては、Open ID Connect相互TLSクライアント認証と認証結合アクセストークンを参照してください。
    DPoP バインド・アクセス・トークンの適用 トークン要求に DPoP ヘッダーが必要かどうかを示します。
    DPoP JWT の JTI を検証する DPoP JWT 内の JTI が単一使用について妥当性検査されるかどうかを示します。
    DPoP JWT の署名アルゴリズム

    DPoP JWT に対して予期される署名アルゴリズム。

    以下のアルゴリズムから選択します。

    • RS256

    • RS384

    • RS512

    • PS256

    • PS384

    • PS512

    • ES256

    • ES384

    • ES512
  8. JWT 保護許可応答モード (JARM) 構成オプションを指定します。 依拠当事者は、署名を使用して、JWT 応答に含まれているトークンの保全性と認証性を検証します。 JWT は、依拠当事者のみが暗号化解除できるように暗号化することもできます。
    表 6. JWTで保護された認証応答モード
    フィールド 説明
    署名アルゴリズム Verify が JWT 応答に署名するために使用するアルゴリズム。 このアルゴリズムは、依拠当事者が Verify に登録したアルゴリズムと一致する必要があります。
    以下のハッシュ・アルゴリズムから選択します。
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    注:
    • ES256 署名アルゴリズムが選択されている場合、証明書は P-256 を指定した ECDSA でなければなりません。
    • ES384 署名アルゴリズムが選択されている場合、証明書は P-384 を指定した ECDSA でなければなりません。
    • ES512 署名アルゴリズムが選択されている場合、証明書は P-521を指定した ECDSA でなければなりません。
    署名証明書 このオプションは、RS、ES、または PS 署名アルゴリズムのいずれかを選択した場合にのみ表示されます。 この証明書を使用して、シングル・サインオン時に JWT 応答に署名します。

    デフォルトの選択とは、設定したデフォルトの個人 セキュリティ > 証明書 > 個人証明書証明書を指します。
    暗号化アルゴリズム コンテンツ暗号鍵 (CEK) の値を暗号化または決定するために使用される暗号アルゴリズム。
    以下のアルゴリズムがサポートされています。
    • RSA-OAEP
    • RSA-OAPE-256
    コンテンツ・アルゴリズム 暗号化テキストおよび認証タグを生成するために、プレーン・テキストで認証済み暗号化を実行するために使用されるコンテンツ暗号化アルゴリズム。
    以下のアルゴリズムがサポートされています。
    • A128GCM
    • A192GCM
    • A256GCM
    暗号鍵 暗号化に使用する鍵の証明書ラベルまたは鍵 ID。
  9. トークン交換設定を構成します。
    表 7. トークン交換
    フィールド 説明
    サブジェクト・トークン サブジェクト・トークンのトークン・タイプ。これは、トークンが要求されているパーティーの ID を表します。
    アクター・トークン アクター・トークンのトークン・タイプ。これは、発行されたトークンのアクセス権が委任されるパーティーの ID を表します。
    要求されたトークン トークン交換の一部として生成することを要求できるトークンのタイプ。
    クライアント・グループ OpenID Connect クライアント・グループのリスト。 このクライアントによって生成されたトークンは、同じグループ内のトークン交換の対象トークンとして使用できます。 このリストが空の場合、どのクライアントも、このクライアントから生成されたトークンをトークン交換の対象トークンとして使用できます。
    アクタートークンを要求する トークン交換要求の一部としてアクタートークンを要求する。 このアクションは、委任シナリオを強制し、なりすましシナリオを禁止する。
  10. デバイス・フロー設定を構成します。
    表 8. デバイスフロー
    フィールド 説明
    デバイス・フローの QR コードを生成 QR コードがユーザー・コードと一緒に生成されるかどうかを示します。
  11. 各エンドポイントの要求と応答のマッピングを構成します。
    1. 許可エンドポイントの要求と応答のマッピングを構成します。
    2. トークン・エンドポイントの応答マッピングを構成します。
    3. イントロスペクト・マッピングを構成して、イントロスペクト・エンドポイントから返される属性を追加および変更します。
      Connect のイントロスペクション、ID OpenID トークン、およびユーザー情報マッピングを参照してください。
    4. ユーザー情報および ID トークン属性マッピングを構成して、 userinfo エンドポイントから返される属性および ID トークン内の属性を追加および変更します。
      Connect のイントロスペクション、ID OpenID トークン、およびユーザー情報マッピングを参照してください。
  12. ユーザーがアプリケーションにアクセスする方法を決定する ID プロバイダーとポリシーを選択します。
    1. このアプリケーションへのサインインに使用できる ID プロバイダーを選択します。
      デフォルト設定では、テナント用に構成されているすべてのエンタープライズ ID プロバイダーからのアクセスが許可されます。 アプリケーションへのサインインに使用できる ID プロバイダーを制限するには、 「サポートされる特定の ID プロバイダーの選択」を選択します。 サインインを許可する元の ID プロバイダーのチェック・ボックスを選択します。
    2. ユーザーがアプリケーションにアクセスする方法を決定するポリシーを選択します。
      割り当てられているデフォルトのアクセス・ポリシーを引き続き使用できます。 代わりに、チェックボックスをオフにし、[事前定義済みアクセスポリシー] リストから選択する 編集 オプションを選択することもできます。 詳細については、 アクセスポリシーを参照してください。 アクセス・ポリシーが選択されている場合、各権限付与タイプのチェック・ボックスを選択して、API 権限付与タイプにアクセス・ポリシーを適用することを選択します。
  13. ユーザーの同意を求めるかどうかを選択します。
    ユーザー同意の要求を OpenID Connect アプリケーションに追加できます。 デフォルトの同意を要求が選択されたままの場合、スコープおよびその他のトランザクション情報に明示的に同意するように求めるプロンプトがユーザーに出されます。 同意を求めないが選択されている場合、同意は収集されませんが、許可要求は成功します。 「未承認の同意のみを確認する」 が選択されている場合、まだ同意されていないものについてのみ同意を求めるプロンプトがユーザーに出されます。
  14. カスタム・スコープを制限します。
    カスタム・スコープは、サポートされる OIDC/OAuth 付与フローで OIDC/OAuth クライアントによって要求できます。 デフォルトの設定である「カスタム・スコープの制限」が有効になっている場合、フローの終わりにクライアントに付与されるスコープは、このセクションで指定されるスコープに制限されます。 「カスタム・スコープの制限」が無効になっている場合、フローが完了すると、要求されるすべてのカスタム・スコープが付与されます。
    注: 標準スコープ openidprofileemailphone、および address は制限できません。
    1. 「カスタム・スコープの制限」 チェック・ボックスが選択されていることを確認します。
    2. 付与するカスタム・スコープの名前と説明を入力します。
      スコープ名は、依拠当事者/クライアントによって要求される OAuth2/OIDC スコープを指します。 説明は、スコープの分かりやすい説明です。
      もう 1 組のスコープ・フィールドが表示されます。
    3. 付与するカスタム・スコープごとに、前のステップを繰り返します。
  15. API 資格をサインオン・トークンに付与します。
    「API アクセスを制限する (Restrict API access)」は、新規アプリケーションのデフォルトの設定です。 アプリケーションにはサインオン・トークン資格がありません。 API アクセスのための資格を付与するには、以下の手順を実行します。
    1. 編集アイコンを選択します。
      「API クライアントの編集」ウィザードが開始されます。
    2. サインオン・トークンに付与するユーザー権限と非ユーザー権限を選択します。
      「API アクセスを制限する (Restrict API access)」チェック・ボックスをクリアすると、デフォルト資格のセットがトークンに付与されます。 デフォルトのサインオン トークン API 権限を参照してください。
    3. 「保存」を選択します。
  16. 「保存」を選択します。

次の手順