PingFederate を使用したクライアント管理の設定

Anypoint Platform は、PingFederate バージョン 6 ~ 8 のみをサポートします。バージョン 9 以降の場合​、「OpenID Connect クライアント管理の設定」​の手順に従って、PingFederate クライアントプロバイダを OIDC プロバイダとして設定できます。

クライアントプロバイダ URL を設定する場合、​/as/clients.oauth2​ ではなく、エンドポイント ​/pf-ws/rest/oauth/clients​ を使用します。この設定には、PingFederate の動的クライアント登録 URL を使用しないでください。

PingFederate クライアントブロバイダを追加する手順

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Business Groups (ビジネスグループ)]​ メニューで、ルート組織を選択します。

  4. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Client Providers (クライアントプロバイダ)]​ をクリックします。

  5. [Add Client Provider (クライアントプロバイダを追加)]​ をクリックしてから ​[PingFederate]​ を選択します。

    [Add PingFederate client provider (PingFederate クライアントプロバイダを追加)]​ ページが表示されます。

  6. 次の必須項目を入力します。

    • OAuth2 Authorization Provider, Authorize URL (OAuth2 認証プロバイダ、承認 URL)

      OAuth 2.0 によって定義され、リソースオーナーと直接やり取りすること、オーナーを認証すること、およびオーナー認証を取得することを目的として使用される認証エンドポイント。次に例を示します。

      https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/authorization.oauth2

    • OAuth2 Token Provider, Create URL (OAuth2 トークンプロバイダ、作成 URL)

      OAuth 認証用のアクセストークンを作成するエンドポイント。次に例を示します。

      https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/token.oauth2

    • OAuth2 Token Validation Provider (OAuth2 トークン検証プロバイダ)

      • URL の検証

        OAuth 2.0 仕様で定義されるトークンエンドポイント。クライアントはここでアクセストークンを取得し、あるいはその認証許可を表示することで更新トークンを取得できます。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/token.oauth2

      • Username Token Mapping (ユーザ名トークンマッピング)

        アクセス権を要求するユーザの名前。たとえば、ユーザ名マッピングトークン uid。

      • Client Id (クライアント ID)

        HTTP 基本認証を使用して認証されるクライアントのユーザ名である省略可能なクライアント識別子。

      • Client Secret (クライアントシークレット)

        HTTP 基本認証を使用して認証されるクライアントの省略可能なクライアントパスワード。

    • OAuth 2 Client Provider (OAuth 2 クライアントプロバイダ)

      • Create URL (作成 URL)

        PingFederate クライアント管理 API リソースが提供される URL。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/pf-ws/rest/oauth/clients

        ベース URL はサーバのベース URL にもできます。これは PingFederate システム管理者に確認してください。

      • Delete URL (削除 URL)

        テストクライアントを削除するために DELETE 要求を送信するための URL 宛先。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/pf-ws/rest/oauth/clients/{{client_id}}

      • Username (ユーザ名)

        対象 PingFederate システム内でクライアントを新規作成するための権限を持つユーザの名前。

      • Password (パスワード)

        対象 PingFederate システム内でクライアントを新規作成するための権限を持つユーザのパスワード。

  7. すでに承認を受けているかをバイパス承認ページで確認してください。

  8. 設定を保存します。

これで、PingFederate OAuth トークン適用ポリシーを API に適用できるようになりました。