12.5. OAuth 2.0 supported flows
API クライアントは、3scale で設定した OpenID Connect (OIDC) 発行者からアクセストークンを取得する必要があります。この場合、その OpenID プロバイダーのサポートする任意の OAuth 2.0 フローが使用されます。RH-SSO の場合、以下のフローがサポートされます(RH-SSO クライアントで使用される用語は括弧で指定されます)。
- 認可コード (標準フロー)
- リソースオーナーパスワードクレデンシャル (直接アクセスグラントフロー)
- インプリシット (インプリシットフロー)
- クライアントクレデンシャル (サービスアカウントフロー)
OpenID Connect(OIDC)下のクライアントが 3scale で作成されると、Red Hat Single Sign-On(RH SSO)で Zync により作成される対応するクライアントのみが有効です。このフローは、ほとんどすべてのケースについて最もセキュアで適切なフローとして推奨されます。ただし、他のフローを有効にすることが可能です。
12.5.1. OAuth 2.0 対応の認証フローの仕組み
クライアントは、承認リクエストもしくはトークンリクエスト、またはその両方を使用してアクセストークンを取得します。これらのリクエストを受け取る URL は、OpenID プロバイダーの .well-known/openid-configuration
エンドポイントを使用して把握することができます。それぞれ、"authorization_endpoint"
および "token_endpoint"
が該当します。例: https://<RHSSO_HOST>:<RHSSO_PORT>/auth/realms/<REALM_NAME>/.well-known/openid-configuration