OpenID Connect

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

IDプロバイダーは、複数のアプリケーションへの検証済みアクセスを維持するプロセスを効率化します。 エンドユーザーは、IDプロバイダー(IdP)で認証するだけで済みます。 その後、エンドユーザーは追加の認証情報セットを覚える必要なく、複数のアプリケーションやサービスにアクセスできます。 たとえば、IDプロバイダーはJSON Web Tokens(JWT)を発行し、エンドユーザーがWorkato API platformで認証済みリクエストを実行できるようにします。

API platformは、OpenID Connect仕様を使用してIdPと完全に統合し、クロスドメイン認証を管理します。

IDプロバイダーがエンドユーザーにJWTを発行し、エンドユーザーはそれを使用してWorkato API platformへの検証済みアクセスを取得します IDプロバイダーがエンドユーザーにJWTを発行し、エンドユーザーはそれを使用してWorkato API platformへの検証済みアクセスを取得します

動的クライアント登録

DCRプロバイダーを使用すると、複数のAPIクライアント間でOpenID Connect設定を再利用できます。 詳細については、動的クライアント登録を参照してください。

アクセスプロファイルキーのクレーム

Workatoが受信リクエストを受け取ると、JWTに有効なトークンが含まれているかどうかが確認されます。 これは、リクエストが有効なアクセスプロファイルから送信されていることを判断するために行われます。 有効なトークン値が見つからない場合、APIリクエストは401 Unauthorizedエラーを返します。

このトークンは、さまざまな方法でJWTに含めることができます。 サポートされているクレームに記載されているデフォルトクレームのリストを含みます。 場合によっては、これらのクレームが他の目的で必要になることがあります。 その場合、このトークンを渡すためにアクセスプロファイルキーのカスタムクレームを指定できます。

アクセスプロファイルの構成方法

Workatoクレームは、ADFSOneLoginOktaなど、ほとんどのIDプロバイダーで機能します。

次の例では、Oktaでアクセスプロファイルを構成する方法を示します。

認可サーバーの構成

Oktaでアプリケーションを作成し、検出URLを取得します:

1

セキュリティAPIに移動し、認可サーバーを追加を選択します:

Okta APIを作成Okta APIを作成

2

名前、オーディエンスを定義し、有用な説明を入力します。

3

認可サーバーを作成したら、Discovery URLを取得します。

これは次のセクションで必要になります。 これはhttps://acme.okta.com/oauth2/aushqgufq8Ir4qSrw357/.well-known/openid-configurationのようになります。

Workatoアクセスプロファイルの作成

Workatoでアクセスプロファイルを構成し、キーを取得します。

1

プラットフォーム > API platformクライアントに移動します。 APIクライアントの詳細をご覧ください。

Workato API platformを開くWorkato API platformを開く

2

クライアント用の新しいアクセスプロファイルを作成します。 認証方法としてOpenID Connectを選択します。

OpenID Connectを選択OpenID Connectを選択

3

前のセクションで取得したDiscovery URLを貼り付けます。

Discovery URLを指定Discovery URLを指定

4

必要に応じて詳細設定を適用し、アクセスプロファイルを保存をクリックします。

5

作成したアクセスプロファイルのキーを見つけてコピーします:

キーをコピーコピー

JWTクレームの構成

アクセスプロファイルキーを含めるようにOkta認可サーバーを構成します。

1

Oktaの認可サーバーに戻り、Claimsタブを見つけます:

カスタムクレーム値を構成カスタムクレーム値を構成

2

アクセスプロファイルキーを渡すために選択したクレームを編集します。

3

アクセスプロファイルキーをValueフィールドに貼り付けます。 単一引用符'で囲まれていることを確認します:

アクセスプロファイルキーを貼り付けアクセスプロファイルキーを貼り付け

これでセットアップは完了です。 この認可サーバーによって生成されるすべてのトークンが、API platformによって受け入れられ、検証されるようになります。

署名キーのローテーション

IdPは、セキュリティ態勢を強化するために署名キーを頻繁にローテーションします。 これは検出URLの内容に自動的に反映されます。 Workatoは、APIトラフィックに中断が発生しないように、署名キーと関連するキーIDを内部的に更新します。

Last updated: