OpenID Connect を設定するには

このトピックでは、OpenID Connect でのクライアント登録の 2 通りの ID 管理手順について説明します。

  • 動的登録

  • 手動登録

MuleSoft は Anypoint Platform で次の登録のサポートを検証します。

  • Okta および OpenAM で動的に作成されたクライアント

  • Salesforce、Okta、OpenAM、および PingFederate で手動で作成されたクライアント

前述の ID プロバイダとのインテグレーションは公式にテスト済みですが、Anypoint Platform では OpenID Connect プロトコルをサポートしています。つまり、プロトコルをサポートする ID プロバイダは、​仕様から外れない限り、連携できます。

すでに ID プロバイダで Anypoint Platform をクライアントアプリケーションとして設定している場合、手動登録を実行してください。それ以外で、ID プロバイダが動的クライアント登録をサポートしている場合は、動的登録を実行してください。登録中に、いくつかの URL を指定する必要があります。次のテーブルで、登録中にプロバイダに応じて指定する必要がある URL の例を示します。

URL 名

Okta の URL 例

Salesforce の URL 例

OpenAM の URL 例

PingFederate の URL 例

Base (ベース)

https://example.okta.com/oauth2/v1

https://domain.my.salesforce.com/services/oauth2

https://example.com/openam/oauth2

https://example.com:9031

Client Registration (クライアント登録)

​{BASE URL}​/clients

​{BASE URL}​/clients

​{BASE URL}​/connect/register

なし

Authorize (承認)

​{BASE URL}​/authorize

​{BASE URL}​/authorize

​{BASE URL}​/authorize

​{BASE URL}​/as/authorization.oauth2

Token (トークン)

​{BASE URL}​/token

​{BASE URL}​/token

​{BASE URL}​/access_token

​{BASE URL}​/as/token.oauth2

User Info (ユーザ情報)

​{BASE URL}​/userinfo

​{BASE URL}​/userinfo

​{BASE URL}​/userinfo

​{BASE URL}​/idp/userinfo.openid

OpenID Connect を動的に設定する方法

  1. システム管理者として Anypoint Platform のマスタ組織にログインします。

  2. Anypoint Platform で、[Access Management (アクセス管理)] > [External Identity (外部 ID)] をクリックします。

  3. [Identity Management (ID 管理)] から、[OpenID Connect] を選択します。

    [External Identity - Identity Management OpenID Connect (外部 ID - ID 管理 OpenID Connect)] フォームが表示されます。

  4. ID プロバイダの設定から値を取得した後で、次の必須項目に入力します。

    • Client Registration URL (クライアント登録 URL)

      Anypoint を ID プロバイダのクライアントアプリケーションとして動的に登録するための URL。

    • Authorize Header (認証ヘッダー)

      動的クライアント登録要求の認証ヘッダー。これは、[Advanced Settings (詳細設定)] リンクの省略可能な項目です。このヘッダーは、プロバイダが承認済みのクライアントに対する登録要求を制限している場合に必須です。

      • Okta: この値は ​SSWS ${api_token}​ です。ここで、​api_token​ は Okta を通じて作成される API トークンです。

      • OpenAM: この値は ​Bearer ${api_token}​ です。ここで、​api_token​ は OpenAM を通じて作成される API トークンです。

    • Authorize URL (認証 URL)

      ユーザが OpenID Connect クライアントアプリケーションを認証してユーザの ID へのアクセスを許可する URL。

    • Token URL (トークン URL)

      安全な JSON Web トークンでエンコードされたユーザの ID を提供する URL。

    • User Info URL (ユーザ情報 URL)

      ユーザプロファイル情報を Anypoint に返すための URL。

  5. 設定を保存します。

  6. サインアウトして、組織の SSO URL に移動します。たとえば、次のようになります。

    https://anypoint.mulesoft.com/accounts/login/{yourOrgDomain}

  7. ID プロバイダを通じてサインインし、設定をテストします。

OpenID Connect を手動で設定する方法

  1. システム管理者として Anypoint Platform のマスタ組織にログインします。

  2. Anypoint Platform で、[Access Management (アクセス管理)] > [External Identity (外部 ID)] をクリックします。

  3. [Identity Management (ID 管理)] から、[OpenId Connect] を選択します。

    [External Identity - Identity Management OpenID Connect (外部 ID - ID 管理 OpenID Connect)] フォームが表示されます。

  4. [Client Registration URL (クライアント登録 URL)] で ​Use manual registration​ をクリックします。

  5. ID プロバイダ内で Anypoint Platform のクライアントアプリケーションを作成します。

    • ID プロバイダから、認証済みユーザをリダイレクトするためのリダイレクト URI が要求されます。[Client ID (クライアント ID)] 項目の上で自動的に生成されるリダイレクト URI を使用します。

    • ID プロバイダ内で、クライアントのサポートされるスコープに ​openid​、​profile​、​email​ が含まれることを確認します。

    • ID プロバイダ内で、クライアントが ​authorization_code​ 許可種別を使用することを確認します。

    • [Client ID (クライアント ID)] と [Client Secret (クライアントシークレット)] の値を安全な場所に保存し、次のステップでこれらの値を入力します。

  6. ID プロバイダの設定からこれらの値を取得した後で、次の必須項目に入力します。

    • Client ID (クライアント ID)

      手動で作成されたクライアントアプリケーションについて指定した一意の識別子。

    • Client Secret (クライアントシークレット)

      Anypoint Platform クライアントアプリケーションを ID プロバイダに対して認証するためのパスワードまたはシークレット。

    • Authorize URL (認証 URL)

      ユーザが OpenID Connect クライアントアプリケーションを認証してユーザの ID へのアクセスを許可する URL。

    • Token URL (トークン URL)

      安全な JSON Web トークンでエンコードされたユーザの ID を提供する URL。

    • User Info URL (ユーザ情報 URL)

      ユーザプロファイル情報をクライアントアプリケーションに返す URL。

    • OpenID Connect Issuer (OpenID Connect 発行者)

      OpenID プロバイダの場所。ほとんどのプロバイダでは、​/.well-known/openid-configuration​ が発行者に追加され、openID Connect 仕様のメタデータ URL を生成します。Salesforce では、​issuer​ の値を指定する必要があります。

  7. 設定を保存します。

  8. サインアウトして、組織の SSO URL に移動します。たとえば、次のようになります。

    https://anypoint.mulesoft.com/accounts/login/{yourOrgDomain}

  9. ID プロバイダを通じてサインインし、設定をテストします。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub