メイン コンテンツをスキップする 補完的コンテンツへスキップ

ID プロバイダーとの統合のための OpenID Connect

OpenID Connect (OIDC) は、Qlik Cloud を ID プロバイダーと統合し、OAuth 2.0 プロトコルの上にユーザー認証のレイヤーを追加します。これにより、セキュアなシングルサインオン (SSO) が可能になり、ユーザーは一度ログインするだけで、認証を繰り返すことなく複数のアプリケーションや Web サイトにアクセスできるようになります。

OAuth 2.0 と OIDC

OAuth 2.0 は認証用に設計されています。ユーザーの資格情報をさらすのではなく、セキュアなトークンを使用して、あるアプリケーションが別のアプリケーションにデータや機能へのアクセスを許可できます。このトークンによりアクセスは制限され、共有を同意した情報のみが共有されることを保証します。トークンはいつでも引き出すことができます。

OAuth 2.0 にはユーザー ID 情報は含まれません。OpenID Connect (OIDC) は、ユーザーのログイン詳細とプロファイル情報を含む ID トークンを導入することで、これを強化します。これらのトークンにより、さまざまなクライアント (Web ベース、モバイル、JavaScript など) は、承認サーバーによって実行される認証に基づいてユーザー ID を検証できます。クライアントは、ユーザーに関する基本的なプロファイル情報を要求することもできます。

OAuth と OIDC の概要については、「OAuth および OpenID Connect の図解付きガイド」のビデオをご覧ください。

ID トークン

OpenID Connect (OIDC) で使用される ID トークンは、ユーザー認証を処理し、ID やプロファイルの詳細などの詳細なユーザー情報を含みます。これらのトークンは通常 JSON Web Tokens (JWT) としてフォーマットされ、さまざまな署名や暗号化アルゴリズムをサポートします。

ID トークンにはクレーム (ID、名前、ログイン時刻、改ざんの兆候など、ユーザーに関するデータ) が含まれています。ID トークンのクレームは、ユーザーの身元を確認し、シングルサインオン (SSO) を容易にするために必要な詳細をアプリケーションに提供します。OIDC の仕様では、名前、メール、性別、生年月日などのクレームの標準セットが定義されています。必要に応じて、追加のユーザー情報を含むカスタム クレームを追加できます。ユーザー認証成功後に承認サーバーから発行される ID トークンは OAuth 2.0 フローを通じて取得され、ウェブ アプリケーションとモバイル アプリケーションの両方に適用されます。

個人を特定できる情報 (PII) などの機密データを保護するには、暗号化された ID トークンを使用できます。暗号化は不正アクセスを防止し、プライバシーとセキュリティを確保するのに役立ちます。

アクセス トークン

アクセス トークンは、OAuth 2.0 で認証に使用されます。これにより、アプリケーションがユーザーに代わって特定のデータや機能にアクセスできるようになります。アクセス トークンは、JSON Web トークン (JWT) または JWT 以外のトークンとしてフォーマットできます。これは、ユーザーの同意と付与された権限を API に通知する資格情報として機能します。ID トークンとは異なり、アクセス トークンにはユーザー ID 情報は含まれません。単に指定されたリソースへのアクセスを許可します。

OpenID Connect 仕様

OpenID Connect 1.0 仕様は、コア機能とオプション機能を定義する複数のドキュメントで構成されています。Qlik はこの仕様をサポートしていますが、すべてのベンダー固有の実装をサポートしているわけではありません。ただし、Qlik は一般的な ID 管理プラットフォームに便利な構成を提供する場合があります。

仕様の主なドキュメントは次のとおりです。

  • OpenID Connect Core: OAuth 2.0 に基づく認証や、ユーザー情報を共有するためのクレームの使用など、コア OIDC 機能を定義します。
  • OpenID Connect Discovery (オプション): クライアントが OpenID プロバイダーに関する情報を動的に探索する方法を定義します
  • OpenID Connect Dynamic Client Registration (オプション): クライアントが OpenID プロバイダーとダイナミックに登録する方法を定義します。
  • OAuth 2.0 Multiple Response Types: OAuth 2.0 の新しいレスポンス タイプを定義します。
  • OAuth 2.0 Form Post Response Mode (オプション): HTTP POST で自動送信される HTML フォームの値を使用して、OAuth 2.0 承認応答パラメーターを返す方法を定義します。
  • OpenID Connect Session Management (オプション): postMessage ベースのログアウトや RP によって開始されるログアウト機能など、OIDC セッションを管理する方法を定義します。
  • OpenID Connect Front-Channel Logout (オプション): RP ページで OP iframe を使用しないログアウト メカニズムを定義します。
  • OpenID Connect Back-Channel Logout (オプション): ログアウトされる OP と RP 間の直接のバックチャネル通信を使用するログアウト メカニズムを定義します。
  • OpenID Connect Federation (オプション): OP と RP のセットがフェデレーション オペレーターを利用して信頼性を確立する方法を定義します。

これらのドキュメントにアクセスするには、OpenID Connect へようこそにアクセスしてください。

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。