4.15. テナント設定 - OpenID Connect設定¶

概要¶

OpenID Connect に関する設定を行うことができます。

本設定は、テナント認証方式が「通常認証+OIDC認証」の場合のみ、表示されます。

表示・設定には、アプリケーション管理者以上の権限が必要です。

共通設定¶

許可するリダイレクト URI の設定¶

OpenID Connect 認証結果を受け取る URI を記載します。

これは、攻撃者が OpenID Connect 認証時にリダイレクト URI に不正な値を指定して、ワンタイムトークンが悪意のあるサイトに送信されること(Covert Redirect 攻撃)を防ぐために必要です。

OpenID Connect 認証時に本設定と異なるリダイレクト URI を指定した場合は、 OpenID Connect 認証が失敗します。

下記のように設定します。

カンマや改行区切りで、 URI を複数指定すること可能です。

また、ローカルホスト (http://localhost:~) で受け取る場合は記載不要です。

OP リスト¶

以下の OpenID Connectプロバイダ (OP) に関する設定が可能です。

google
adfs
other

other は、Google、ADFS 以外の OP と接続する場合に選択してください。(ただし、OpenAM 以外の OP は動作保証範囲外となります)

例えば、Google と ADFS に OpenID Connect 連携する場合は、google と adfs の設定を行ってください。

「編集」を選択すると、編集画面に遷移します。

OP 編集画面¶

OP 編集画面では、以下が設定可能です。

Client ID
- OP によって発行された、クライアントの固有IDです。
Client Secret
- OP によって発行された、クライアントのシークレットキーです。
OP Configuration設定方法
- 「Discovery」と「JSON」のどちらかを選択可能です。
- OP が OpenID Connect Discovery に対応している場合は、「Discovery」を選択してください。
  - google の場合は、「Discovery」のみ選択可能です。
Discovery URL
- OP Configuration設定方法で「Discovery」を選択すると、設定可能となります。
- 各 OP の値は以下となります。
  - google :
    
    https://accounts.google.com/.well-known/openid-configuration
  - adfs :
    
    https://{adfs_servername}/adfs/.well-known/openid-configuration
  - other (OpenAM) : スキーム (http/https) は構築環境に依存します
    
    https://{openam_servername}/openam/oauth2/.well-known/openid-configuration
OP Metadata
- OP Configuration設定方法で「JSON」を選択すると、設定可能となります。
- 入力形式は、 OpenID Connect Discovery 1.0 を参照してください。
- 以下のフィールドのみ、有効となります。
  - issuer (必須)
  - authorization_endpoint (必須)
  - token_endpoint (必須)
  - userinfo_endpoint (オプション)
  - scopes_supported (オプション)
JWK セット
- OP Configuration設定方法で「JSON」を選択すると、設定可能となります。
- jwks_uriから取得するJWKセットと同様のJSON形式で入力してください。