メイン コンテンツをスキップする
ID プロバイダー との統合のための OpenID Connect

このページ上

ID プロバイダー との統合のための OpenID Connect

OpenID Connect (OIDC) は、Qlik Sense Enterprise SaaS と ID プロバイダーの統合に使用されます。OIDC は OAuth 2.0 プロトコルの上にある薄い ID レイヤーです。OAuth 2.0 は承認用の標準プロトコルであり、OIDC はユーザー認証用の標準プロトコルです。これら 2 つのプロトコルを併用すると、シングル サインオン (SSO) を介して何度もログインしなくても、安全な方法で複数のアプリや Web サイトにアクセスできます。

OAuth 2.0 は承認用にのみ設計されています。要求元のクライアントにキーを提供することにより、あるアプリケーションから別のアプリケーションへのデータと機能へのアクセスを許可できます。キーを使用すると、資格情報を開示する必要がありません。代わりに、すでに登録済みのユーザーであるアプリケーション (メール プロバイダーなど) で資格情報を再利用します。キーは、共有することに同意した情報のみを共有することを保証します。また、いつでもキーを引き出すことができます。

キーは便利ですが、ユーザーとしてのあなたに関する情報を提供しません。OIDC は、ID トークンを使用してログインするユーザーのログインおよびプロファイル情報に関する機能を追加します。OIDC を使用すると、さまざまなクライアント(ウェブ ベース、モバイル、Javascript など)が、承認サーバーによって実行される認証に基づいてユーザーの ID を確認できます。クライアントは、ユーザーに関する基本的なプロファイル情報を要求することもできます。

OAuth と OpenID Connect の概要については、次のビデオを参照してください。OAuth および OpenID Connect の図解付きガイド。

ID トークン

OpenID Connect は ID トークンを使用して、統合を簡素化し、さまざまなアプリをサポートします。

ID トークンは、JSON Web Token または JWT と呼ばれる特定の形式の文字列です。JWT は用途が広く、さまざまな署名と暗号化アルゴリズムをサポートしています。クライアントは、JWT に埋め込まれている ID、名前、ログイン時の ID トークンの有効期限、JWT の改ざんの試みなどの情報を抽出できます。ID トークン内のデータは、クレームと呼ばれます。

前述のように、クライアントは OAuth 2.0 フローを使用して ID トークンを取得します。ID トークンは、ウェブ アプリとネイティブ モバイル アプリの両方で機能します。

アクセス トークン

ID トークンに加えて、アクセス トークンがあります。アプリケーションが API にアクセスするために使用できる資格情報です。アクセス トークンは、JWT または非 JWT トークンです。トークンは、このトークンのベアラーが API へのアクセスを許可されたことを API に通知するために使用されます。

クレーム

JWT トークンには、エンティティ (通常はユーザー) と追加のメタデータに関するステートメント (名前やメール アドレスなど) であるクレームが含まれています。

OIDC 仕様は、一連の標準クレームを定義しています。一連の標準クレームには、名前、メール、性別、生年月日などが含まれます。標準クレームでカバーされていないユーザーに関する情報を収集する場合は、カスタム クレームを作成してトークンに追加できます。

OpenID Connect 仕様

OpenID Connect 1.0 仕様は、次のドキュメントで構成されています。Qlik はこの仕様をサポートしますが、仕様の特定のカスタム ベンダー実装のすべてをサポートしているわけではありません。Qlik は、一般的な ID 管理製品とプラットフォームについて、お客様のために便利な構成を追加することを選択する場合があります。

  • コア: コア OpenID Connect 機能を定義します。OAuth2.0 の上に構築された認証と、ユーザーに関する情報を伝達するためのクレームの使用
  • 探索 (オプション): クライアントが OpenID プロバイダーに関する情報を動的に探索する方法を定義します
  • 動的登録 (オプション): クライアントが OpenID プロバイダーに動的に登録する方法を定義します
  • OAuth 2.0 の複数の応答タイプ: いくつかの特定の新しい OAuth 2.0 応答タイプを定義します
  • OAuth 2.0 フォーム ポスト応答モード (オプション): HTTP POST を使用してユーザー エージェントによって自動送信される HTML フォーム値を使用して、OAuth 2.0 承認応答パラメーター (OpenID Connect 承認応答パラメーターを含む)を返す方法を定義します
  • セッション管理 (オプション): postMessage ベースのログアウトや RP によって開始されるログアウト機能など、OpenID Connect セッションを管理する方法を定義します
  • フロントチャネル ログアウト (オプション): RP ページで OP iframe を使用しないフロントチャネル ログアウト メカニズムを定義します
  • バックチャネル ログアウト (オプション): ログアウトされる OP と RP 間の直接のバックチャネル通信を使用するログアウト メカニズムを定義します
  • OpenID Connect フェデレーション (オプション): OP と RP のセットがフェデレーション オペレーターを利用して信頼性を確立する方法を定義します

ドキュメントにアクセスするには、OpenID Connect へようこそにアクセスしてください。