Identity as a Service:OIDC SSO 構成

パターン

説明

クライアントモード

client_credentials

クライアント資格情報グラントタイプを使用すると、アプリケーションは client_id と client_secret を使用して IDaaS からサーバートークンを取得できます。このトークンは、IDaaS がアプリケーションに公開する開発者 API を呼び出すために使用されます。

このグラントタイプを選択する必要はありません。アプリケーションの API アクセスが有効になっている場合に有効になります。

認証コード

authorization_code

これは、IDaaS における OIDC アプリケーションの最も一般的なログインモードです。アプリケーションはログインを IDaaS にデリゲートし、IDaaS が返す id_token を解析してログイン検証を完了します。

リフレッシュトークン

refresh_token

refresh_token を使用して access_token を更新し、セッションの有効期間を延長することをサポートします。これは通常、認証コードグラントタイプとともに使用されます。

デバイス

device

デバイスグラントタイプは、B/S アーキテクチャ以外のアプリケーションを統合するためによく使用されます。デバイスが IDaaS ログインページを直接表示できない場合、ユーザーはブラウザを使用してログインフローを完了させることができます。

​

フィールド

説明

例

基本構成 (必須)

認証モード

アプリケーションのパターンを選択します。

複数選択: 認証コード

複数選択: リフレッシュトークン

ログイン

リダイレクト URI

リダイレクト URI のホワイトリスト。アプリケーションがログインをリクエストすると、redirect_uri パラメーターが含まれます。認証完了後に IDaaS がリダイレクトするには、この値がホワイトリストに含まれている必要があります。

http://www.example.com/oidc/sso

http://www.example.com/oidc/sso2

権限付与の範囲

詳細については、SSO の概要をご参照ください。

選択: すべてのユーザーがアクセス可能

詳細構成 (オプション)

ユーザー情報範囲

scopes

ログイン後、ユーザー情報エンドポイントから取得できるログインユーザーの情報。

• openid

• email

• phone

• profile

複数選択: openid

複数選択: email

複数選択: profile

PKCE

このオプションは、認証コードグラントタイプが選択されている場合に使用できます。有効にすると、認証コードグラントタイプは、より安全な Proof Key for Code Exchange (PKCE) 拡張フローを使用します。

デフォルトでは無効

code の有効期間

1. code は token と交換するために使用されます。有効期間を適切に設定してください。期間は秒または分で構成できます。

2. ルール:

   • 最小値: 60 秒 (1 分) 以上である必要があります。

   • 最大値: 30 分 (1800 秒) を超えてはなりません。

3. 入力フォーマットとデフォルトの処理:

   入力は正の整数である必要があります。システムは値を自動的に検証し、選択された単位に基づいて範囲外の場合は調整します:

   • 単位が分の場合:

     • 入力値が 5 未満の場合、自動的に 5 分に設定されます。

     • 入力値が 30 を超える場合、自動的に 30 分に設定されます。

   • 単位が秒の場合:

     • 入力値が 60 未満の場合、自動的に 60 秒に設定されます。

     • 入力値が 1800 を超える場合、自動的に 1800 秒に設定されます。

• 単位が分の場合:

  入力: 3。有効値: 5 分。

  入力: 40。有効値: 30 分。

• 単位が秒の場合:

  入力: 30。有効値: 60 秒。

  入力: 2000。有効値: 1800 秒。

Code Challenge

メソッド

このオプションは PKCE を有効にした後に使用できます。PKCE 拡張における Code Challenge の生成メソッドを指定します。PKCE が無効の場合、このフィールドは表示されません。

-

access_token

有効期間

access_token は IDaaS API を呼び出すために使用されます。デフォルトの有効期間は 2 時間です。有効期限が切れた後は、refresh_token を使用して新しいものを取得するか、再度ログインする必要があります。

2 時間

id_token

有効期間

id_token はユーザーを識別するために使用されます。JSON Web トークン (JWT) 形式であり、アプリケーションが公開鍵でユーザーの ID を検証できるようにします。有効期限が切れた後は、refresh_token を使用して新しいものを取得するか、再度ログインする必要があります。

10 時間

refresh_token

有効期間

新しい access_token と id_token を取得するために使用されます。refresh_token の有効期限が切れた後、ユーザーは再度ログインする必要があります。

30 日

id_token の拡張

の拡張

id_token のペイロードフィールドを拡張して、機密性の低い基本的なユーザー情報を返すことができます。これにより、ユーザー情報エンドポイントへの繰り返し呼び出しを回避できます。詳細については、「OIDC id_token 拡張値の仕様」をご参照ください。

-

id_token

署名アルゴリズム

id_token に署名するために使用される非対称アルゴリズム。現在、RSA-SHA256 アルゴリズムのみがサポートされています。

RSA-SHA256

SSO イニシエーター

ユーザーアクセスがアプリケーションによって開始されるか、ポータルからも開始できるかを指定します。

アプリケーション開始のみ

ログイン開始 URL

SSO イニシエーターがポータルとアプリケーションの開始をサポートするように設定されている場合、ログイン開始 URL を入力できます。これは、IDaaS が SSO リクエストを開始するために呼び出すアプリケーション URL です。この URL がリクエストを受信すると、すぐに IDaaS /authorize エンドポイントにリダイレクトする必要があります。

-

フィールド名

説明

例

発行者

id_token 内のフィールドで、トークンのソースを示します。また、以下のエンドポイントのベース URL でもあります。

https://xxxxx.aliyunidaas.com.cn/oidc1

検出エンドポイント

Discovery

IDaaS がサポートするエンドポイント、モード、パラメーターに関する情報を取得するために使用されます。このエンドポイントは公開されています。

https://xxxxx.aliyunidaas.com.cn/oidc1/.well-known/openid-configuration

認証エンドポイント

Authorization

アプリケーションが SSO ログインを開始するアドレス。

https://xxxxx.aliyunidaas.com.cn/oidc/authorize

トークンエンドポイント

token

SSO フロー中、アプリケーションが認証 code を取得した後、バックエンドは token エンドポイントを呼び出します。

https://xxxxx.aliyunidaas.com.cn/oidc/token

署名検証用の公開鍵エンドポイント

JWKS

id_token を検証し、SSO フローを完了するために使用される公開鍵エンドポイント。公開鍵はローテーションをサポートしていません。

https://xxxxx.aliyunidaas.com.cn/oidc1/jwks

Userinfo エンドポイント

Userinfo

ログイン後、このエンドポイントを access_token とともに使用して、基本的なユーザー情報を取得します。

https://xxxxx.aliyunidaas.com.cn/oidc1/userinfo

セッション終了エンドポイント

SLO

メインの IDaaS ログインセッションからユーザーをログオフします。

https://xxxxx.aliyunidaas.com.cn/oidc1/logout