メインコンテンツへスキップ

SMPをOAuth2.0AuthorizationServerとして利用する

SMPをOAuth2.0AuthorizationServerとして利用する
SMPをOAuth2.0AuthorizationServerとして利用するこのページでは、SSO/IdP機能のOAuth2のクライアントでの操作・設定について記載しています。OAuth2.0AuthorizationServer自体の、技術的な仕様についてはRFC6749をご確認ください。また本機能はRFC6749で定義される、AuthorizationCodeFlowのみをサポートしています。AuthorizationCodeFlow以外のフローには対応していないため、連携したいアプリが連携可能かどうか制限事項を事前にご確認ください。利用方法の概要1.クライアント登録を開く2.連携したいクライアント(OAuth2Client)の情報を確認し入力する3.クライアントID、クライアントシークレットを控える4.連携したいクライアント(OAuth2Client)にAuthorizationServerの情報を登録する各項目の説明OAuth2.0での制限事項利用方法の概要連携先にSMPと連携するユーザーを作成します設定>SSO/IdPに遷移し、「新規登録」ボタンを押します「プロトコル」のSAML/OIDC/OAuth2の中から、「OAuth2」を選択します連携したいクライアント(OAuth2Client)の情報を確認し、入力します登録後、クライアントIDなどを控えます連携したいクライアント(OAuth2Client)に、AuthorizationServerの情報を登録します連携したログインが実施できます注意上記の手順のうち1と5については、連携先によって設定が異なるため、連携先のマニュアルをご確認ください。1.クライアント登録を開く設定>SSO/IdPに遷移します「新規登録」ボタンをクリックします「プロトコル」のSAML/OIDC/OAuth2の中から、「OAuth2」を選択します2.連携したいクライアント(OAuth2Client)の情報を確認し入力するクライアント登録での具体的な入力値について、連携先の仕様・設定をご確認の上、リダイレクトURI・クライアントタイプをご入力ください。リダイレクトURIは連携先のOAuth2Clientが出力するものと、完全一致する必要があります。前方一致・後方一致等では利用できません。3.クライアントID、クライアントシークレットを控える登録したクライアントの詳細画面を開きます「クライアントID」の値を控えますクライアントタイプが「コンフィデンシャル」であれば、「クライアントシークレット」の値も控えてください注意クライアントシークレットの値を、公開することは基本的にお控えください。またセキュリティについて留意の上、管理をお願いします。4.連携したいクライアント(OAuth2Client)にAuthorizationServerの情報を登録する*連携したいクライアント(OAuth2Client)に、連携可能なユーザーを事前に作成してください。また項目名の表記は連携先によって異なるため、連携先の仕様をご確認の上、設定してください。No項目名説明1発行者IssuerClaimに相当する項目にSMPのドメイン名を入力してください。例:ドメイン名がdemo-manual.shanon.co.jpであれば、「」になります。2連携先からのリクエストメソッドGETを選択してください。3クライアントIDSSO/IdP機能のクライアント詳細にある、「クライアントID」を入力してください。4クライアントシークレットSSO/IdP機能のクライアント詳細にある、「クライアントシークレット」を入力してください。クライアントタイプが「パブリック」に設定されている場合は不要です。5承認スコープ「publicwrite」を入力してください。6認可エンドポイントリードの場合は、SMPの/public/sso/login/visitorを登録してください。管理者の場合は、SMPの/public/sso/login/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。7Tokenエンドポイントリードの場合は、SMPの/public/sso/token/visitorを登録してください。管理者の場合は、SMPの/public/sso/token/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。8JWKsエンドポイントリードの場合は、SMPの/public/sso/key/visitorを登録してください。管理者の場合は、SMPの/public/sso/key/adminとなります。例:ドメイン名がdemo-manual.shanon.co.jpで、リードを対象にするのであれば、「」になります。9code_challenge_methodplainとS256のみ利用できます。plainの利用は非推奨です。PKCEの仕様についてはRFC7636をご確認ください。注意点設定に失敗、あるいは連携先が対応していない場合、ここまでの手順でログインできない場合があります。連携先にログインできない等のトラブルについては、FAQ、エラーメッセージ、注意・制限事項をご確認ください。各項目の説明No項目名説明1クライアント名クライアントの名前です。SSOの動作には影響しません。2プロトコルOAuth2.0AuthorizationFrameworkで利用する場合、「OAuth2」を選択してください。3リダイレクトURIAuthorizationServerのredirect_uriです。詳細はOpenIDファウンデーションをご確認ください。連携先のマニュアル・仕様等を確認して、OAuth2.0Clientから出力されるredirect_uriと完全一致する文字列を入力してください。4クライアントタイプAuthorizationServerのクライアントタイプです。詳細はRFC6749をご確認ください。「パブリック」「コンフィデンシャル」のどちらかを選択してください。「パブリック」の場合、OAuth2.0Clientへのクライアントシークレットの登録は不要です。5スコープ詳細・削除画面でのみ表示されます。publicwriteのみです。6証明書の有効期限詳細・削除画面でのみ表示されます。詳細はクライアントを管理するをご確認ください。OAuth2.0での制限事項「制限事項」をご確認ください。
https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter005/