OpenID Connect(OIDC)でサポートされている認証フローの中で、デバイスフローを使用すると、あらゆる種類のクライアントがIDaaSを使用してログオンプロセスを完了できます。
表示の制限により、デバイスにログオンページが組み込まれていない場合があります。 OIDCデバイスフローでは、ユーザーが外部ブラウザーからログオンできるようにすることで、ログオンプロセスをデバイスから分離します。
注: このトピックでは、OIDCデバイスフローを使用したログオンの適用可能なシナリオとプロセスについて説明します。 OIDCデバイスフローの実装で使用されるAPIの詳細については、「APIリファレンス」をご参照ください。
ステップ1: ログオンの準備
準備フェーズでは、ユーザーによる操作は必要ありません。 デバイスはIDaaSと対話し、user_code、device_code、および verification_url を取得します。
user_code と verification_url はユーザーに提示する必要があります。 ユーザーはブラウザーで verification_url を開き、user_code を入力します。
注: {{verification_url}}?user_code={{user_code}} 形式のログオンURLにユーザーパスワードを追加して、ハイパーリンクを提供したり、QRコードを生成したりできます。 これにより、ユーザーは user_code を入力せずにこの URL にすばやくアクセスできます。
上記の情報を取得した後、デバイスはIDaaSにポーリングリクエストを送信して、ログオン結果を取得します。
ステップ2: ブラウザーでデバイスにログオンする権限をユーザーに付与する
verification_url が開かれると、ユーザーはページに表示される指示に従ってログオンを完了します。
ログオン後、ユーザーはデバイスに戻ってログオン状態を確認できます。 デバイスによって開始されたポーリングリクエストは、ユーザーの id_token を含む認証成功メッセージを返します。
IDaaS OIDCアプリケーションで提供されているJSON Web Key Set(JWKS)エンドポイントを使用して、アプリケーションの公開鍵を取得し、公開鍵を使用してログオン状態を確認し、ユーザーIDを取得できます。