JWT Workato claim
IDプロバイダーは、複数のアプリケーションへの検証済みアクセスを維持するプロセスを効率化します。 エンドユーザーはidentity providerで認証するだけで済みます。 その後、エンドユーザーは追加の認証情報セットを覚える必要なく、複数のアプリケーションやサービスにアクセスできます。 たとえば、IDプロバイダーはJSON Web Tokens(JWT)を発行し、エンドユーザーがWorkato API platformで認証済みリクエストを実行できるようにします。
Identity providerがエンドユーザーにJWTを発行し、エンドユーザーはそれを使用してWorkato API platformへの検証済みアクセスを取得
Workatoは受信リクエストを受け取ると、JWTに有効なAPI keyが含まれているかどうかを確認します。 これは、リクエストが有効なアクセスプロファイルから送信されていることを判断するために行われます。 有効なトークンが見つからない場合、APIリクエストは401 Unauthorizedエラーを返します。
Workatoは次のJWT claimsを順番に検査します。 Workatoは、空でない最初のclaimを特定し、claim値を既知のaccess profilesの内部リストと比較します。 トークンが検証されない場合、APIリクエストは401 Unauthorizedエラーを返します。 それ以外の場合、有効なAPI keyが見つかると、APIリクエストは成功します。
access profile keyのデフォルトclaims
| 優先度 | 部分 | JWTクレーム | 説明 |
|---|---|---|---|
| 1番目 | payload | https://www.workato.com/sub | これはnamespace claimです。 一意の名前を使用するため、このclaimがidentity providersによって制限される可能性は低くなります。 |
| 2番目 | payload | workato_sub | 上記のclaimsが空の場合、Workatoはこのclaimを検査します。 |
| 3番目 | payload | sub | これはJWTのsubjectを表します。 一部のidentity providersではこのJWT claimが予約されているため、ここではWorkato API keyを使用できません。 上記のclaimsが空の場合、Workatoはこのclaimを検査します。 |
| 4番目 | header | kid | これはheader claimです。 上記のclaimsが空の場合、Workatoはこのclaimを検査します。 |
ユースケースでこれらのクレームが他の目的に使用されている場合は、カスタムクレームを使用してアクセスプロファイルキーを保持できます。
詳細設定
適用する予約済みclaims
この複数選択入力では、適用する予約済みclaimsを選択できます。 ここで選択した各claimがJWT内に存在することをAPI platformが確認します。 たとえば、expを選択すると、有効期間が制限されたトークンのみがAPIへのアクセスに使用されるようになります。
iss claimに許可される発行者
Reserved claims to enforceでissが選択されている場合、この追加入力が提供されます。 ここでは、許可されるiss値のリストを指定できます。 すべてのiss値を受け入れるには、このフィールドを空白のままにします。
access profile keyのカスタムclaim
4つのデフォルトaccess profile claimsがすべて他の目的で使用されている場合は、カスタムclaimを使用してJWT内にaccess profile keyを保持できます。 このカスタムclaimはaccess profile設定で指定する必要があります。
Last updated: