シングルサインオン

Version 23.4.8841


シングルサインオン


CData Arc は、OpenID 規格によるシングルサインオン(SSO)をサポートします。Azure AD のようなOpenID を実装したID プロバイダーは、Arc のSSO プラットフォームとして利用可能です。

概要

SSO を有効にするには、アプリケーションの設定ページのSSO タブで一連の設定を構成する必要があります。これらの個々の設定については、SSO の設定で説明します。SSO プロバイダーから設定をインポートすることもできます。

SSO 設定が構成されると、Arc で作成されたユーザーにはフェデレーションID が付与されます。このフェデレーションID の値は、Arc ユーザー名とID プロバイダーエンティティを結び付けます。Arc ユーザーがアプリケーションにログインすると、SSO プラットフォームにリダイレクトされ、そこで適切なID の資格情報を入力する必要があります。

SSO が設定され、Arc ユーザーがID プロバイダーと関連付けるためのフェデレーションID 値を取得したら、SSO ユーザー管理のためのさらなる設定はSSO プラットフォーム自体で実行する必要があります。

Note:現在Arc は個人ユーザーのみサポートしており、ユーザーグループはサポートしていません。SSO プラットフォームがユーザーグループへのアクセスを提供する場合、グループ内の個々のユーザーは、ログインするために設定ページのArc ユーザータブにユーザーとして追加される必要があります。各ユーザーは、ID プロバイダーでフェデレーションID を参照する必要があります(後述)。

SSO の設定

このセクションでは、SSO の各設定と、それらがArc で何を意味しているかについての詳細を説明します。これらの設定の詳細は、ID プロバイダーによって異なる場合があります。Azure ADについては、このトピックの後半で説明しています。

SSO URI

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • オーディエンスURI SSO ログイントークンの意図された受信者。これは、SSO プラットフォームによって生成されたトークンが、Arc での使用を目的としていることを保証します。この値を、SSO プラットフォームでArc を信頼できるアプリケーションとして識別するURI に設定します(例えば、SSO プラットフォームがArc 用に生成した Application ID など)。複数のURI に対応するには、カンマ区切りリストを指定します。
  • 認可URL ユーザーがID プロバイダーを経由して認可を実行する必要があるURL。SSO ユーザーがArc にログインしようとすると、アプリケーションはユーザーをこのURL にリダイレクトし、そこでSSO プラットフォームの資格情報を入力します。
  • トークンURL ID プロバイダーから安全な認証トークンを取得することができるURL。ユーザーが認可URL を経由して認証したら、ID プロバイダーはこのURL にリダイレクトし、ユーザーによって入力された資格情報からトークンを生成します。
  • ログオフURL アプリケーションからログアウトした後のArc ユーザーのリダイレクト先を指定。
  • リダイレクトURI リダイレクトURI は(Arc 自体ではなく)ID プロバイダーで設定され、ユーザーがID プロバイダーに対して認証を実行した後に返される場所を示します。
    Arc のリダイレクトURI は次の構造になります:[base_arc_url]/src/ssoCallback.rst
    例えば、Arc がポート8001 で mydomain.com にホストされている場合は、以下のリダイレクトURI を使用します: https://mydomain.com:8001/src/ssoCallback.rst

SSO 発行者の設定

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • 発行者証明書 ID プロバイダーがJWT トークンで署名するために使用する証明書の公開部分。これは、要求を受けたID プロバイダーによって生成されたトークンのみが受け入れられることを保証するのに役立ちます。
  • トークン発行者識別子 ID プロバイダーがJWT トークンを生成するために使用する識別子。Arc は、トークンがこの識別子を含むことを確認するために検証します。これは、要求を受けたID プロバイダーによって生成されたトークンのみが受け入れられることを保証するのに役立ちます。

フェデレーションID の設定

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • Key Claim ID プロバイダーからどの値をフェデレーションID として扱うか。つまり、ユーザーをID プロバイダーからArc のユーザー名にマッピングする際にフェデレーションID として使用するクレームを指定します。
    Arc ユーザーがID プロバイダーを経由してログインすると、Arc はそのローカルユーザーのフェデレーションID とプロバイダーからのアイデンティティクレームを比較します。Key Claim は、Arc がこの比較に使用するID プロバイダーからの値を指定します。
    CData ではこの値にoid を使用することを推奨しますが、ユーザー固有の任意の値に設定することもできます。

OAuth の設定

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • OAuth クライアントID ID プロバイダーで作成されるOAuth アプリケーションに関連付けられたクライアントID。
  • OAuth クライアントシークレット ID プロバイダーで作成されるOAuth アプリケーションに関連付けられたクライアントシークレット。
  • デフォルトスコープ ID プロバイダーに要求するスコープ(アクセス許可のセット)のスペース区切りのリスト。通常、スコープには、ID 検証を要求するために少なくともprofile openid を含める必要があります。

その他の設定

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • トークン署名アルゴリズム 署名されたJWT トークンからどの署名アルゴリズムを受け入れるか。署名のないトークンは認められません。

設定のインポート

ディスカバリーURL がある場合は、設定をインポートボタンをクリックしてSSO プロバイダーから設定をインポートすることができます。これにより、発行者証明書トークンURL などの設定の値が提供されます。この機能を使用すると、発行者証明書が定期的に自動更新され、SSO プロバイダーがこれらの証明書をローテーションするときにアプリケーションがユーザーをロックアウトしないようにします。

Azure AD の設定

このセクションでは、Azure AD をID プロバイダーとして利用する場合に、上記の各設定で想定される値について説明します。

  • Connector Id The static, unique identifier for the connector.
  • Connector Type Displays the connector name and a description of what it does.
  • Connector Description An optional field to provide a free-form description of the connector and its role in the flow.
  • オーディエンスURI 必要なURI は1つだけで、Azure AD がArc に割り当てるアプリケーションID(クライアントID)です。
  • 認可URL このURL は、Azure のエンドポイントリストにある”OAuth 2.0 承認エンドポイント(v2)” です。
  • デフォルトスコープ profile および openid のみが必須です。その他のスコープは必要に応じて追加可能です。
  • 発行者証明書 Azure AD が使用する可能性のある公開証明書は、こちらで確認できます。
  • Key Claim 認証の実行時にフェデレーションID が照合されるフィールド名に設定します。ほとんどの場合、正しい名前はオブジェクトID を表すoid です。まれな状況でのみ、oid 以外の値に設定する必要があります。
  • OAuth クライアントID この値は、プラットフォームでOAuth アプリケーションを作成後にAzure AD によって割り当てられます。
  • OAuth クライアントシークレット この値は、プラットフォームでOAuth アプリケーションを作成後にAzure AD によって割り当てられます。
  • トークン発行者識別子 この値は、次のサブセクションで説明するAzure AD メタデータドキュメントを使用して確認できます。
  • トークン署名アルゴリズム デフォルト値 RS256 を使用します。
  • トークンURL この値は、次のサブセクションで説明するAzure AD メタデータドキュメントを使用して確認できます。
  • ログオフURL ログオフ後にユーザーを誘導する任意のURL を設定します。

メタデータドキュメント

Azure AD ポータルにはメタデータドキュメントがあり、SSO を設定する際に使用する重要な値がリストされています。このドキュメントは、ポータル内のエンドポイント -> OpenID メタデータドキュメント にあります。

このドキュメントを閲覧して上記のフィールドを参照し、Azure AD の設定にセットアップに適切な値が含まれていることを確認してください。

リダイレクトURI

Azure AD では、ユーザーが認証されたら、ログイントークンがArc にリダイレクトされるようにリダイレクトURI を設定する必要があります。Arc の適切なリダイレクトURI は次の構造になります。

[base_arc_url]/src/ssoCallback.rst

例えば、Arc がポート8001 で mydomain.com にホストされている場合は、以下のリダイレクトURI を使用します: https://mydomain.com:8001/src/ssoCallback.rst

Note:この値は大文字と小文字を区別します。