Auth0を使用した OIDC の設定
OpenID Connect (OIDC) は、認可フレームワークである OAuth 2.0 の上位の認証層です。OIDC で シングル サインオン (SSO) を有効化すると、ユーザーが Web サイトやアプリケーションにアクセスするためにログオンする回数を減らすことができます。OIDC はサードパーティ製品による認証用に構成することができます。
Auth0 の構成
次の手順を実行します。
-
https://auth0.com/ にログインして、メールアドレスを使用してアカウントを作成します。
-
Auth0 の左メニューで、[Applications] (アプリケーション) を開きます。
- [Create application] (アプリケーションの作成) をクリックします。
-
アプリケーションの名前を指定し、[Single Page Web Applications] (シングル ページ Web アプリケーション) を選択して、[作成] をクリックします。
-
必要に応じて、Web アプリ テクノロジーを選択します。
- [設定] を選択します。
-
[Allowed Callback URLs] (許可されたコールバック URL) ボックスで、https://<QSEhostname>/<VirtualProxyPrefix>/oidcauthn の書式でホストに URL を追加します。
情報メモ仮想プロキシのプレフィックスとして auth0 を使用します。 -
下にスクロールし、[Save changes] (変更を保存) をクリックします。
-
[クライアント ID] と [クライアント シークレット] の値を書き留めます。
-
一番下までスクロールし、[詳細設定] を選択します。
-
[エンドポイント] を選択します。
-
[OpenID configuration] (OpenID 構成) の URL を書き留めます。
仮想プロキシの作成および構成
次の手順を実行します。
-
Qlik Management Console (QMC) で、[Virtual proxies] (仮想プロキシ) を開きます。
-
クリック 新規作成
-
右側の [Properties] (プロパティ) で、[Identification] (ID)、[Authentication] (認証)、[Load balancing] (負荷分散)、および [Advanced] (詳細設定) の各セクションを選択していることを確認します。
-
[Identification] (ID) で、[Description] (説明) と [Prefix] (プレフィックス) に「auth0」と入力します。
-
[Session cookie header name] (セッション クッキー ヘッダー名) で、既存の名前の末尾に「-auth0」を追加し、ヘッダー名を X-Qlik-Session-auth0 にします。
-
[Authentication method] (認証方法) に [OIDC] を選択します。
-
[OpenID 接続メタデータ URI] フィールドに、メモした「OpenID Configuration」のURLを入力します。URLの形式は、次のようにする必要があります: https://<Auth0hostname>/.well-known/openid-configuration。
-
メモしたクライアント ID とクライアント シークレットを対応するフィールドに入力します。
-
Realmに、auth0と入力します。OIDC 認証によってリポジトリに追加されたユーザーのユーザー ディレクトリ名は 「auth0」 に設定されます。
情報メモサブジェクト属性値の形式がdomainname\usernameの場合、realmはオプションです。そうでない場合、realm は必須です。
属性 sub、name、email は必須です。その他の属性は必須ではありませんが、値は必要です。空の属性がある構成はエラーを発生します。 -
[client_id] (クライアント ID) フィールドで、値を aud に変更します。
-
[scope] (範囲) フィールドで、値を openid profile email と入力します。
情報メモOpenID は必須です。他のスコープは追加できますが、ID プロバイダー側での設定と一致する必要があります。 -
[Load balancing nodes] (負荷分散ノード) で、 [Add new server node] (新しいサーバー ノードの追加) をクリックします。
-
この仮想プロキシが接続を負荷分散するエンジン ノードを選択します。
-
[Advanced] (詳細設定) の [Host allow list] (ホスト許可リスト) セクションで、[Add new value] (新しい値の追加) をクリックします。
-
Auth0 テナント ([ OpenID Connect Metadata URI] (OpenID 接続のメタデータ URI) で入力したのと同じホスト名) のホスト名を追加します。
-
[Apply] (適用) をクリックし、[OK] をクリックしてサービスを再起動します。
-
右側の [Associated items] (関連するアイテム) メニューで、[Proxies] (プロキシ) を選択します。
-
[Link] (リンク) をクリックし、この構成を使用するプロキシ (1 つまたは複数) に仮想プロキシをリンクさせます。
プロキシ サービスが再起動します。
OpenID Connect Metadata URI、https://{IdP_hostname}/.well-known/openid-configuration を選択した時に、IdP サーバーで構成した要求とスコープが、 claims_supported と scopes_supported タグで返されることを確認します。
これで Auth0 の構成が完了しました。