5.4. Red Hat Single Sign-On および Red Hat build of Keycloak による認証の有効化と無効化

1. Red Hat Single Sign-On のドキュメント または Red Hat build of Keycloak のドキュメント の説明に従ってレルムを作成します。
2. Clients に移動して Create をクリックし、クライアントを追加します。

3. 以下のフィールドと値を考慮してフォームに入力します。

   • Client ID: クライアントの希望の名前を入力します。
   • Enabled: ON に切り替えます。
   • Consent Required: OFF に切り替えます。
   • Client Protocol: openid-connect を選択します。
   • Access Type: confidential を選択します。
   • Standard Flow Enabled: ON に切り替えます。
   • Root URL: 3scale 管理ポータルの URL を入力します。これは、開発者ポータルへのログインに使用する URL アドレスでなければなりません (例: https://yourdomain.3scale.net またはカスタムの URL)。

   • Valid Redirect URLs: /* を付けて再度開発者ポータルを入力します (例: https://yourdomain.3scale.net/*)。

     その他のパラメーターはすべて空のままにするか、OFF に切り替える必要があります。

4. 以下の手順によりクライアントシークレットを取得します。

   • 前のステップで作成したクライアントに移動します。
   • Credentials タブをクリックします。

   • Client Authenticator フィールドで、Client Id and Secret を選択します。

     

     View larger image

     

5. email_verified マッパーを設定します。3scale では、ユーザーデータの email_verified 要求が true に設定されている必要があります。"Email Verified" ユーザー属性を email_verified 要求にマッピングするには、以下の手順を実施します。

   • クライアントの Mappers タブに移動します。

   • Add Builtin をクリックします。

     

     View larger image

     

   • email verified オプションのチェックボックスを選択し、Add selected をクリックして変更を保存します。

     

     View larger image

     

     シングルサインオンのローカルデータベースでユーザーを管理する場合は、必ずユーザーの Email Verified 属性を ON に設定してください。

     ユーザーフェデレーション を使用する場合は、3scale SSO インテグレーション用に前のステップで作成したクライアントで、トークン名を email_verified、要求の値を true に設定して、ハードコーディングされた要求を設定できます。

6. オプションとして、org_name マッパーを設定します。
   ユーザーは 3scale にサインアップするとき、サインアップフォームに組織名の値を入力するよう求められます。開発者ポータルでのサインアップフォームの入力を不要にして、ユーザーがシングルサインオンによるサインアップを意識しないようにするには、さらに org_name マッパーを設定する必要があります。

   • クライアントの Mappers タブに移動します。
   • Create をクリックします。

   • 以下のようにマッパーのパラメーターを入力します。

     • Name: 希望する任意の名前を入力します (例: org_name)。
     • Consent Required: OFF に切り替えます。
     • Mapper Type: User Attribute を選択します。
     • User Attribute: org_name を入力します。
     • Token Claim Name: org_name を入力します。
     • Claim JSON Type: String を選択します。
     • Add to ID token: ON に切り替えます。
     • Add to access token: ON に切り替えます。
     • Add to userinfo: ON に切り替えます。
     • Multivalued: OFF に切り替えます。

   • Save をクリックします。

     

     View larger image

     

     シングルサインオンのユーザーに org_name 属性があれば、3scale は自動的にアカウントを作成できます。属性がないユーザーには、アカウント作成の前に組織名を指定するよう求められます。あるいは、シングルサインオンアカウントでサインインするすべてのユーザーについて、Hardcoded claim タイプのマッパーを作成して、組織名をハードコーディング値に設定することもできます。

7. インテグレーションをテストするには、ユーザーを追加する必要があります。そのためには、Users に移動し、Add user をクリックして必須フィールドに入力します。Red Hat Single Sign-On でユーザーを作成する場合、Email Verified 属性 (email_verified) が ON に設定されている必要があることに留意してください。設定されていないと、ユーザーが 3scale でアクティブ化されません。

1. シングルサインオンでは、アイデンティティープロバイダー で GitHub を設定した後、Mappers タブに移動して Create をクリックします。

   

   View larger image

   
2. 名前を付けて、識別できるようにします。
3. Mapper Type で Attribute Importer を選択します。
4. Social Profile JSON Field Path に company を追加します。これは GitHub での属性の名前です。

5. User Attribute Name に org_name を追加します。これは Red Hat Single Sign-On での属性の呼び方です。

   注記

   Red Hat Single Sign-On と Red Hat build of Keycloak では、必須フィールドとして名と姓、およびメールが必要です。3scale では、メールアドレス、ユーザー名、および組織名が必要です。したがって、組織名のマッパーを設定することに加え、ユーザーが両方のサインアップフォームをスキップできるよう、以下のことを確認してください。

   • IdP アカウントで、姓と名が設定されている。
   • IdP アカウントで、メールアドレスにアクセスできる。たとえば GitHub では、メールアドレスをプライベートとして設定すると共有されません。

手順

1. 3scale 管理ポータルで Audience > Developer Portal > SSO Integrations の順に選択します。
2. Red Hat Single Sign-On をクリックします。
3. 開発者ポータルを認証するように Red Hat Single Sign-On を設定する で設定した Red Hat Single Sign-On クライアントの詳細 (クライアント、クライアントシークレット、レルム) を指定します。
4. 変更を保存するには、Create Red Hat Single Sign-On をクリックします。