PingFederate を使用したクライアント管理の設定

Anypoint Platform は、PingFederate バージョン 6 ~ 8 のみをサポートします。バージョン 9 以降の場合​、「OpenID Connect クライアント管理の設定」​の手順に従って、PingFederate クライアントプロバイダーを OIDC プロバイダーとして設定できます。

クライアントプロバイダー URL を設定する場合、​/as/clients.oauth2​ ではなく、エンドポイント ​/pf-ws/rest/oauth/clients​ を使用します。この設定には、PingFederate の動的クライアント登録 URL を使用しないでください。

PingFederate クライアントプロバイダーを追加する手順

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Business Groups (ビジネスグループ)]​ メニューで、ルート組織を選択します。

  4. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Client Providers (クライアントプロバイダー)]​ をクリックします。

  5. [Add Client Provider (クライアントプロバイダーを追加)]​ をクリックしてから ​[PingFederate]​ を選択します。

    [Add PingFederate client provider (PingFederate クライアントプロバイダーを追加)]​ ページが表示されます。

  6. 次の必須項目を入力します。

    • OAuth2 Authorization Provider, Authorize URL (OAuth2 認証プロバイダー、承認 URL)

      OAuth 2.0 によって定義され、リソースオーナーと直接やり取りすること、オーナーを認証すること、およびオーナー認証を取得することを目的として使用される認証エンドポイント。次に例を示します。

      https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/authorization.oauth2

    • OAuth2 Token Provider, Create URL (OAuth2 トークンプロバイダー、作成 URL)

      OAuth 認証用のアクセストークンを作成するエンドポイント。次に例を示します。

      https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/token.oauth2

    • OAuth2 Token Validation Provider (OAuth2 トークン検証プロバイダー)

      • URL の検証

        OAuth 2.0 仕様で定義されるトークンエンドポイント。クライアントはここでアクセストークンを取得し、あるいはその認証許可を表示することで更新トークンを取得できます。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/as/token.oauth2

      • Username Token Mapping (ユーザー名トークンマッピング)

        アクセス権を要求するユーザーの名前。たとえば、ユーザー名マッピングトークン uid。

      • Client Id (クライアント ID)

        HTTP 基本認証を使用して認証されるクライアントのユーザー名である省略可能なクライアント識別子。

      • Client Secret (クライアントシークレット)

        HTTP 基本認証を使用して認証されるクライアントの省略可能なクライアントパスワード。

    • OAuth 2 Client Provider (OAuth 2 クライアントプロバイダー)

      • Create URL (作成 URL)

        PingFederate クライアント管理 API リソースが提供される URL。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/pf-ws/rest/oauth/clients

        ベース URL はサーバーのベース URL にもできます。これは PingFederate システム管理者に確認してください。

      • Delete URL (削除 URL)

        テストクライアントを削除するために DELETE 要求を送信するための URL 宛先。次に例を示します。

        https://ec2-55-88-144-83.us-west-2.compute.amazonaws.com:9031/pf-ws/rest/oauth/clients/{{client_id}}

      • Username (ユーザー名)

        対象 PingFederate システム内でクライアントを新規作成するための権限を持つユーザーの名前。

      • Password (パスワード)

        対象 PingFederate システム内でクライアントを新規作成するための権限を持つユーザーのパスワード。

  7. すでに承認を受けているかをバイパス承認ページで確認してください。

  8. 設定を保存します。

これで、PingFederate OAuth トークン適用ポリシーを API に適用できるようになりました。