OAuth SP
OAuth SPではサイトに登録されたOAuth SP設定の一覧の確認・追加・更新ができます。
OAuth SP一覧
確認方法
[外部システム連携] -> [OAuth SP]をクリックします。
項目説明
| 項目 | 説明 |
|---|---|
| 有効 | OAuth SPの有効状態を確認できます。 :有効 :無効 |
| OAuth SPの名称 | OAuth SPの名前を表示します。 |
| タイプ | OAuth SPのタイプを表示します。 |
| 更新日時 | 最終更新日時を表示します。 |
OAuth SPの編集
編集方法
[外部システム連携] -> [OAuth SP]をクリックします。
OAuth SP一覧ページから編集をしたいOAuth SP設定の[OAuth SPの名称]をクリックします。
項目説明
OAuth SP編集
| 項目 | 説明 |
|---|---|
| OAuth SPの名称 | OAuth SPの名前を入力します。 有効にチェックを入れると、現在の設定が有効になり、チェックを外すと、無効になります。 テスト機能は、OAuth SPの設定が有効になっていない場合でも機能します。 |
| ターゲットドメイン | ターゲットとなるドメインを選択します。 管理画面:管理画面のURLがターゲットになります。 API:APIドメインがターゲットになります。 |
| タイプ | OAuth SPでのログインを利用するサービスを選択します。 Customを選択した場合は追加の設定項目が表示され、サービスプロバイダーが機能するための設定を直接入力することができます。 |
| ログインURL | ユーザーがログインするために使用するURLを表示します。 |
| クライアントID (Client ID) | アイデンティティプロバイダーで新しいOAuthアプリケーションを作成するときに取得する識別子、クライアントIDを入力します。 クライアントIDは大切に保管し、複数のサービスプロバイダーで同じクライアントIDを使用しないでください。 |
| クライアントの秘密鍵 (Client Secret) | アイデンティティプロバイダーで新しいOAuthアプリケーションを作成するときに取得する秘密鍵を入力します。秘密鍵は大切に保管してください。 |
| (API用) Grantトークン生成 | セキュリティが動的アクセストークンに設定されたAPIの一覧が表示されます。SSOでGrantトークンを生成する場合、利用するAPIにチェックをいれてください。表示されたURLでSSOを実施するとリターンURLへの遷移時にgrant_tokenのパラメータがURLに追加されますので、これを利用してアクセストークンを発行してください。 |
| プライベート URL を使用 | [戻りURLのドメインにプライベートIPを許可する]にチェックを入れると、リターンURLにhttp://IPアドレスや、http://localhost:3000/ などのURLが設定できるようになります。セキュリティ的に推奨されない設定なので、開発時のみご利用ください。 |
| リターンURL(成功) | ユーザーがログインに成功した際にリダイレクトするURLを設定します。 入力がない場合は、TOPページに戻ります。 |
| リターンURL(エラー) | ユーザーがログインに失敗した際にリダイレクトするURLを設定します。 入力がない場合は、TOPページに戻ります。 |
| 自動ユーザー登録 | ユーザーの自動登録を許可するかどうかを設定します。チェックが入っていない場合、未登録ユーザーがSSOを利用してログインしようとすると、リターンURL(エラー)にリダイレクトされます。 |
| Emailを利用せずメンバー拡張項目にIDを格納してリンクする | 有効にするにチェックを入れると、アイデンティティプロバイダーから取得されるOpenIDを利用してユーザーを認識するようになります。 OpenIDはメンバーの拡張項目(テキスト)に保存されます。 ユーザーがログインできなくなる可能性があるため、後でこれを変更しないでください。 |
| ユーザーアクセストークンを保存 | チェックを入れると、ユーザーのアクセストークンがデータベースに保存され、後で使用できるようになります。 アイデンティティプロバイダーが提供する場合、リフレッシュトークンも保存されます。 トークンは、ユーザーがログインするたびに更新されます。 |
各ボタン
| 項目 | 説明 |
|---|---|
| 更新する | 入力した内容を反映します。 |
| テスト | SSO OAuth SPのテストを実行し、どのフィールドに必要なデータが含まれているかを確認できます。 保存されていないデータはテストできないため、テストを実行する前に、まず設定データを更新する必要があります。 |
| 削除する | OAuth SPの設定を削除します。 |
Customを利用した場合の追加設定項目
タイプの設定でCustomを選択すると、下記の項目が追加で表示され、サービスプロバイダーが機能するための設定を直接入力できます。設定の多くは、アイデンティティプロバイダーのドキュメントを確認し、取得する必要があります。
SSO OAuth SP編集
| 項目 | 説明 |
|---|---|
| ログインURL(Use Path Parameter for spid.) | IdPによってはクエリパラメータでURLを返すことを許可していない場合があります。その場合は、このチェックボックスをオンにして、代わりにパスパラメータを使用できます。 |
| 承認URL | ユーザーがサインインするためにリダイレクトされるURLです。 アイデンティティプロバイダーから取得します。 |
| トークンURL | コードに対してアクセストークンを取得するために使用されるURLです。 アイデンティティプロバイダーから取得します。 |
| リソースURL | アクセストークンを使用してログイン資格情報を取得するために使用されるURLです。 アイデンティティプロバイダーから取得します。 |
| 必要なデータのスコープ | アイデンティティプロバイダーにリクエストするデータのスコープです。複数のスコープを設定することができます。 |
| スコープセパレータ | 複数のスコープをリクエストする場合は、スコープを結合するために使用されるセパレータを指定する必要があります。 この情報は、アイデンティティプロバイダーのドキュメントに記載されています。デフォルトではカンマ,が使用されますが、使用しているアイデンティティプロバイダーに応じて、リストから選択できます。 |
| 基本認証ヘッダーにクライアントの秘密鍵を送信 | チェックを入れると、クライアント秘密鍵は基本認証ヘッダーで送られます。チェックを外している場合は、URLパラメータで送信されます。 この仕様は、アイデンティティプロバイダーのドキュメントに記載されています。 不明の場合はチェックを外してください。 |
| 承認プロンプトのパラメータを送信しない | チェック入れると、承認プロンプトクエリがリクエストで送信されなくなります。 この仕様は、アイデンティティプロバイダーのドキュメントに記載されています。不明の場合はチェックを外してください。 |
トークンとリソースリクエストの設定
[設定する]をクリックします。
| 項目 | 説明 |
|---|---|
| リクエストタイプ | アイデンティティプロバイダーに対して行われるリクエストのタイプを設定します。 デフォルト値はGETになります。 アイデンティティプロバイダーがPOSTリクエストを要求している場合は、こちらで変更ください。 |
| ヘッダにアクセストークンを送信しない | チェックした場合は、アクセストークンを送信するためのパラメータを1つ以上指定する必要があります。 |
| 追加パラメータを送信 | リクエストで送信されるパラメータのキーを設定します。 一部のアイデンティティプロバイダーでは、リクエストで追加のパラメーターを送信する必要がある場合があります |
| IDPからのリソースキー | アイデンティティプロバイダーからのレスポンスをマップするためのキーと、t_member_headerテーブルのうち、データをマッピングする列を設定します。 |
関連ドキュメント
サポート
お探しのページは見つかりましたか?解決しない場合は、問い合わせフォームからお問い合わせいただくか、Slackコミュニティにご参加ください。