IDaaS は、自社開発のエンタープライズアプリケーションを接続し、シングルサインオン (SSO) を実装するために必要な構成を簡素化します。
IDaaS 側の構成
IDaaS では、アプリケーションがシングルサインオンリクエストを処理するために使用するアドレスを [ログオンリダイレクト URI] に入力し、他のオプションはデフォルト設定のままにすることで、基本構成を完了できます。
| パラメーター | 説明 | 例 |
基本構成 (必須) | ログオン リダイレクト URI | リダイレクト URI のホワイトリスト。アプリケーションがログインをリクエストする際、 | http://www.xxxx/oidc/sso http://www.xxxx/oidc/sso2 |
権限付与範囲 | 詳細については、「SSO の概要」をご参照ください。 | すべてのユーザー | |
高度な構成(オプション) | ユーザー情報 スコープ | UserInfo エンドポイントを使用して取得できるユーザーの ID 情報。
| 複数選択: OpenID 複数選択: メール 複数選択: プロファイル |
access_token の有効期間 |
| 20分 | |
id_token 有効期間 |
IDaaS のさまざまな | 10時間 | |
refresh_token 有効期間 | 新しい | 30日 | |
拡張 id_token フィールド |
| - | |
SSO イニシエーター | OIDC プロトコルは、アプリケーションが開始する SSO を自然にサポートします。
| ポータルまたはアプリケーションから開始できます。 | |
ログオン開始アドレス | IDaaS が SSO リクエストを開始するときにアクセスされるアプリケーションアドレス。このアドレスがリクエストを受信すると、すぐに /authorize 権限付与ポートリクエストを開始する必要があります。 | http://www.xxxx/oidc/login | |
id_token 署名アルゴリズム |
| SHA256 | |
ログオフコールバックアドレス | IDaaS からログオフした後のアプリケーションコールバックアドレスのホワイトリスト。アプリケーションは SLO リクエストを開始するときにこれを付与できます。 | http://www.xxxx.com |
アプリケーションでの構成
OpenID Connect (OIDC) プロトコルにより、アプリケーションは IDaaS が提供する標準インターフェイスを使用して、ログオン認証プロセス全体を完了できます。
次の表に、これらの API オペレーションを示します。
パラメーター | 説明 | 例 |
発行者 |
| https://xxxxx.aliyunidaas.com/oidc1 |
Discovery ディスカバリー | IDaaS が現在サポートしているエンドポイント、サポートされているパターン、およびパラメーターに関する情報を取得するために使用されます。これは公開アクセス可能です。 | https://xxxxx.aliyunidaas.com/oidc1/.well-known/openid-configuration |
Authorization 認証 | アプリケーションが SSO をリクエストするエンドポイント。 | https://xxxxx.aliyunidaas.com/oidc/authorize |
Token トークン | シングルサインオンプロセス中に認証コード | https://xxxxx.aliyunidaas.com/oauth2/token |
トークンの取り消し 失効 | 発行済みトークンを失効させるために使用されるエンドポイント。 | https://xxxxx.aliyunidaas.com/oauth2/revoke |
署名検証用の公開鍵エンドポイント JWKS |
| https://xxxxx.aliyunidaas.com/oidc1/slo |
ユーザー情報 ユーザー情報 | ログオン後に | https://xxxxx.aliyunidaas.com/oidc1/userinfo |
セッション終了エンドポイント SLO | ユーザーは IDaaS のプライマリログオン状態からログオフします。 | - |
詳細については、「SSO のために自社開発アプリケーションを接続する」をご参照ください。