OpenID Connect ID 管理の設定

このトピックでは、OpenID Connect でのクライアント登録の 2 通りの ID 管理手順について説明します。

  • 動的登録

  • 手動登録

MuleSoft は Anypoint Platform で次の登録のサポートを検証します。

  • Okta および OpenAM で動的に作成されたクライアント

  • Salesforce、Okta、OpenAM、および PingFederate で手動で作成されたクライアント

前述の ID プロバイダーとのインテグレーションは公式にテスト済みですが、Anypoint Platform では OpenID Connect プロトコルをサポートしています。つまり、プロトコルをサポートする ID プロバイダーは、 仕様​から外れない限り、連携できます。

すでに ID プロバイダーで Anypoint Platform をクライアントアプリケーションとして設定している場合、手動登録を実行してください。それ以外で、ID プロバイダーが動的クライアント登録をサポートしている場合は、動的登録を実行してください。登録中に、いくつかの URL を指定する必要があります。次のテーブルで、登録中にプロバイダーに応じて指定する必要がある URL の例を示します。

URL 名 Okta の URL 例 Salesforce の URL 例 OpenAM の URL 例 PingFederate の URL 例

Base (ベース)

https://example.okta.com/oauth2/v1

https://domain.my.salesforce.com/services/oauth2

https://example.com/openam/oauth2

https://example.com:9031

Client Registration (クライアント登録)

{BASE URL}/clients

{BASE URL}/clients

{BASE URL}/connect/register

なし

Authorize (認証)

{BASE URL}/authorize

{BASE URL}/authorize

{BASE URL}/authorize

{BASE URL}/as/authorization.oauth2

Token (トークン)

{BASE URL}/token

{BASE URL}/token

{BASE URL}/access_token

{BASE URL}/as/token.oauth2

User Info (ユーザー情報)

{BASE URL}/userinfo

{BASE URL}/userinfo

{BASE URL}/userinfo

{BASE URL}/idp/userinfo.openid

OpenID Connect を動的に設定する

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Business Groups (ビジネスグループ)]​ メニューで、ルート組織を選択します。

  4. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Identity Providers (ID プロバイダー)]​ をクリックします。

  5. [Identity Management (ID 管理)]​ ページで、​[OpenID Connect]​ を選択します。

    [External Identity - Identity Management OpenID Connect (外部 ID - ID 管理 OpenID Connect)] フォームが表示されます。

  6. ID プロバイダーの設定から値を取得した後で、次の必須項目に入力します。

    • Client Registration URL (クライアント登録 URL)

      Anypoint を ID プロバイダーのクライアントアプリケーションとして動的に登録するための URL。

    • Authorize Header (認証ヘッダー)

      動的クライアント登録要求の認証ヘッダー。これは、[Advanced Settings (詳細設定)] リンクの省略可能な項目です。このヘッダーは、プロバイダーが認証済みのクライアントに対する登録要求を制限している場合に必須です。

      • Okta: この値は ​SSWS ${api_token}​ です。ここで、​api_token​ は Okta を通じて作成される API トークンです。

      • OpenAM: この値は ​Bearer ${api_token}​ です。ここで、​api_token​ は OpenAM を通じて作成される API トークンです。

    • Authorize URL (認証 URL)

      ユーザーが OpenID Connect クライアントアプリケーションを認証してユーザーの ID へのアクセスを許可する URL。

    • Token URL (トークン URL)

      安全な JSON Web トークンでエンコードされたユーザーの ID を提供する URL。

    • User Info URL (ユーザー情報 URL)

      ユーザープロファイル情報を Anypoint に返すための URL。

  7. 設定を保存します。

  8. サインアウトして、組織の SSO URL に移動します。たとえば、次のようになります。

    https://anypoint.mulesoft.com/accounts/login/{yourOrgDomain}

  9. ID プロバイダーを通じてログインし、設定をテストします。

ID プロバイダーで動的に登録されたアプリケーションには、デフォルト設定しかありません。追加の機能 (グループマッピングなど) を設定する場合は、プロバイダー側で設定を更新する必要があります。動的に登録されたアプリケーションの設定は、現在サポートされていません。

OpenID Connect を手動で設定する

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Identity Providers (ID プロバイダー)]​ をクリックします。

  4. [Identity Management (ID 管理)] から、[OpenId Connect] を選択します。

    [External Identity - Identity Management OpenID Connect (外部 ID - ID 管理 OpenID Connect)] フォームが表示されます。

  5. [Client Registration URL (クライアント登録 URL)] で ​Use manual registration​ をクリックします。

  6. ID プロバイダー内で Anypoint Platform のクライアントアプリケーションを作成します。

    • ID プロバイダーから、認証済みユーザーをリダイレクトするためのリダイレクト URI が要求されます。[Client ID (クライアント ID)] 項目の上で自動的に生成されるリダイレクト URI を使用します。

    • ID プロバイダー内で、クライアントのサポートされるスコープに ​openid​、​profile​、​email​ が含まれることを確認します。

    • ID プロバイダー内で、クライアントが ​authorization_code​ 許可種別を使用することを確認します。

    • [Client ID (クライアント ID)] と [Client Secret (クライアントシークレット)] の値を安全な場所に保存し、次のステップでこれらの値を入力します。

  7. ID プロバイダーの設定からこれらの値を取得した後で、次の必須項目に入力します。

    • Client ID (クライアント ID)

      手動で作成されたクライアントアプリケーションについて指定した一意の識別子。

    • Client Secret (クライアントシークレット)

      Anypoint Platform クライアントアプリケーションを ID プロバイダーに対して認証するためのパスワードまたはシークレット。

    • Authorize URL (認証 URL)

      ユーザーが OpenID Connect クライアントアプリケーションを認証してユーザーの ID へのアクセスを許可する URL。

    • Token URL (トークン URL)

      安全な JSON Web トークンでエンコードされたユーザーの ID を提供する URL。

    • User Info URL (ユーザー情報 URL)

      ユーザープロファイル情報をクライアントアプリケーションに返す URL。

    • OpenID Connect Issuer (OpenID Connect 発行者)

      OpenID プロバイダーの場所。ほとんどのプロバイダーでは、​/.well-known/openid-configuration​ が発行者に追加され、openID Connect 仕様のメタデータ URL を生成します。Salesforce では、​issuer​ の値を指定する必要があります。

  8. 設定を保存します。

  9. サインアウトして、組織の SSO URL に移動します。たとえば、次のようになります。

    https://anypoint.mulesoft.com/accounts/login/{yourOrgDomain}

  10. ID プロバイダーを通じてログインし、設定をテストします。