Red Hat Summit12.6. メンバーの認証
レルムに対して組織を有効にすると、ユーザー認証が変更されます。ユーザーが組織のコンテキストで認証されていると認識された場合、認証フローは組織ごとに変わります。
レルムが作成されると、認証フローが自動的に更新され、組織のメンバーを認証してオンボードするための特定の手順が有効になります。更新された認証フローは次のとおりです。
- ブラウザー
- first broker login
Browser flow の主な変更点は、デフォルトで identity-first ログインに設定され、認証情報の入力を求める前にユーザーが識別されるようになったことです。first broker login フローに関する主な変更点は、ユーザーが組織に関連付けられたアイデンティティープロバイダーを通じて認証され、フローを正常に完了すると、自動的に組織のメンバーとして追加されることです。
identity-first ログインを使用するかどうかの選択は、レルム内の組織の存在によって決まります。組織が存在しない場合、ユーザーは通常の手順に従ってユーザー名とパスワードを使用して認証するか、Browser Flow で設定されているその他の手順に従います。それ以外の場合、ユーザーは、レルムへの認証を続行するために、まずユーザー名またはメールの入力を求められます。
identity-first ログインの主な目的は、以下のようにユーザーを特定することです。
- ユーザーは既存ユーザーですか、それとも新規ユーザーですか?
- ユーザーはレルム内のいずれかの組織のメンバーですか?
- 組織のメンバーの場合、ユーザーは組織に関連付けられたアイデンティティープロバイダーにリンクされていますか?
ユーザーを特定する際の結果に応じて、認証フローは変更されます。つまり、ユーザーの認証情報を要求して認証を続行するか、または最終的にアイデンティティープロバイダーを通じて組織のセキュリティー境界内で認証するように自動的にユーザーをリダイレクトします。
12.6.1. identity-first ログインについて
ユーザー名が提供された後にユーザーを識別することに加えて、identity-first ログインは以下も行います。
- メールドメインを組織に一致させます。
- 指定されたユーザー名のアカウントがすでに存在する場合、認証フローを続行するかどうかを決定します。
- ドメインとアイデンティティープロバイダーが組織にどのように設定されているかに応じて、ユーザーを認証する方法を決定します。
- メールのドメインがアイデンティティープロバイダーに設定されたドメインと一致する場合、組織に関連付けられたアイデンティティープロバイダーを通じてユーザーをシームレスに認証します。
identity-first ログインでは、ユーザー名とパスワードフィールドを備えた通常のログインページで提供されるものと同じ機能が提供されます。ユーザーは引き続き、登録リンクをクリックして自己登録することも、そのレルム内の組織にリンクされていない任意のアイデンティティーまたはソーシャルブローカーを選択することもできます。
identity-first ログインページ
存在しないユーザーの場合、そのユーザーが組織ドメインと一致するメールドメインを使用して認証を試みると、入力されたユーザー名が無効であるというメッセージとともに、identity-first ログインページが再度表示されます。この時点では、ユーザーに認証情報を求める必要はありません。
ユーザーが存在しない場合は identity-first
ユーザーを登録して、そのユーザーがレルムに対して認証し、組織に参加できるようにするには、いくつかのオプションがあります。
レルムで自己登録設定が有効になっている場合、ユーザーは identity-first ログインページで Register リンクをクリックして、レルムでアカウントを作成できます。その後、管理者はユーザーに招待リンクを送信するか、手動でユーザーを組織のメンバーとして追加することができます。詳細は、メンバーの管理 を参照してください。
組織にドメインのないアイデンティティープロバイダーがあり、Hide on login page 設定が オフ になっている場合は、ユーザーは identity-first ログインページでアイデンティティープロバイダーリンクをクリックして、アイデンティティープロバイダーを通じて認証されると自動的にアカウントを作成し、組織に参加することもできます。詳細は、アイデンティティープロバイダーの管理 を参照してください。
前のセクションと同様の状況では、組織は組織ドメインの 1 つでアイデンティティープロバイダーを設定している場合があります。この場合、ユーザーのメールが組織の特定のドメインと一致すると、ユーザーはアイデンティティープロバイダーにリダイレクトされます。フローが完了すると、アカウントが作成され、ユーザーが組織に参加します。
12.6.2. 既存の認証フローの設定
新しいレルムについて前述したように、認証フローは、組織をサポートし、そのメンバーを認証するために必要な手順で自動的に更新されます。既存のレルムの場合、組織をレルムに対して有効にするだけでなく、既存の (カスタム) 認証フローを手動で更新する必要もあります。
次の手順に従って Browser Flow を変更します。
手順
- 現在使用しているフローを壊さないように、Browser Flow バインディングタイプにバインドされた現在のフローを複製します。
- Add sub-flow をクリックし、My Organization などの名前を付けます。
- 新しく追加された My Organization サブフローを、Identity Provider Redirector 実行ステップの直後に実行されるように移動します。ここでの主なポイントは、このサブフローが、レルム内でサポートされる任意の認証情報を使用してユーザーを認証する他のサブフローまたは実行ステップよりも前に、実行される必要があるということです。追加したら、Requirement を Alternative に変更します。
- My Organization サブフローの Add sub-flow をクリックし、My Organization - Conditional などの名前を付けます。追加したら、Requirement を Conditional に変更します。
- My Organization - Conditional サブフローで Add condition をクリックし、Condition - user configured を選択します。追加したら、Requirement を Required に変更します。
My Organization - Conditional サブフローで Add step をクリックし、*Organization Identity-First Login を選択します。
- 実行ステップ。追加したら、Requirement を Alternative に変更します。
- 認証フローを Browser バインディングタイプにバインドします。
組織の Browser Flow
レルムで Organizations 設定を有効化し、少なくとも 1 つの組織を作成すると、identity-first ログインページが表示され、レルム内の組織の使用を開始できるようになります。
次の手順に従って、first broker login フローを変更します。
手順
- 現在使用しているフローを壊さないように、First broker login flow バインドタイプにバインドされている現在のフローを複製します。
-
Add sub-flow をクリックし、
Organization Member - Conditionalなどの名前を付けます。追加したら、Requirement を Conditional に変更します。 - Organization Member - Conditional サブフローで Add condition をクリックし、Condition - user configured を選択します。追加したら、Requirement を Required に変更します。
- Organization Member - Conditional サブフローで Add step をクリックし、Organization Member Onboard 実行ステップを選択します。追加したら、Requirement を Required に変更します。
- 認証フローを First broker login バインディングタイプにバインドします。
組織の first broker フロー
これで、組織に関連付けられた任意のアイデンティティープロバイダーを使用して認証できるようになり、ユーザーが初回ブラウザーログインフローを完了するとすぐに、その組織にメンバーとして参加できるようになります。
12.6.3. ユーザーの認証方法の設定
フローが組織をサポートしている場合は、いくつかの手順を設定して、ユーザーがレルムに対して認証する方法を変更できます。
たとえば、ユースケースによっては、ユーザーがレルム内の任意の組織または特定の組織のメンバーである場合にのみ、レルムに対して認証を行う必要があります。
この動作を有効にするには、Organization Identity-First Login 実行ステップで設定をクリックして、Requires user membership 設定を有効にする必要があります。
有効にした場合、ユーザーが identity-first ログインページでユーザー名またはメールアドレスを入力したときに、サーバーがクライアントからの要求に応じて、既存のメンバーシップを確認するか、organization スコープのセマンティクスに基づいて、そのユーザーがメンバーである組織の解決を試みます。組織のメンバーでない場合は、エラーページが表示されます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}