113.10. ipa idp-* コマンドの --provider オプション
次の ID プロバイダー (IdP) は、OAuth 2.0 デバイス認可グラントフローをサポートしています。
- Azure AD を含む Microsoft Identity Platform
- GitHub
- Red Hat Single Sign-On (SSO) を含む Keycloak
- Okta
ipa idp-add
コマンドを使用してこれらの外部 IdP のいずれか 1 つへの参照を作成する場合、--provider
オプションで IdP タイプを指定できます。これは、以下で説明する追加オプションに拡張されます。
--provider=microsoft
Microsoft Azure IdP では、
--organization
オプションでipa idp-add
に指定できる Azure テナント ID に基づくパラメーター化が可能です。live.com IdP のサポートが必要な場合は、--organization common
オプションを指定します。--provider=microsoft
を選択すると、次のオプションを使用するように拡張されます。--organization
オプションの値は、表内の文字列${ipaidporg}
を置き換えます。オプション 値 --auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize
--dev-auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode
--token-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token
--userinfo-uri=URI
https://graph.microsoft.com/oidc/userinfo
--keys-uri=URI
https://login.microsoftonline.com/common/discovery/v2.0/keys
--scope=STR
openid email
--idp-user-id=STR
email
--provider=google
--provider=google
を選択すると、次のオプションを使用するように拡張されます。オプション 値 --auth-uri=URI
https://accounts.google.com/o/oauth2/auth
--dev-auth-uri=URI
https://oauth2.googleapis.com/device/code
--token-uri=URI
https://oauth2.googleapis.com/token
--userinfo-uri=URI
https://openidconnect.googleapis.com/v1/userinfo
--keys-uri=URI
https://www.googleapis.com/oauth2/v3/certs
--scope=STR
openid email
--idp-user-id=STR
email
--provider=github
--provider=github
を選択すると、次のオプションを使用するように拡張されます。オプション 値 --auth-uri=URI
https://github.com/login/oauth/authorize
--dev-auth-uri=URI
https://github.com/login/device/code
--token-uri=URI
https://github.com/login/oauth/access_token
--userinfo-uri=URI
https://openidconnect.googleapis.com/v1/userinfo
--keys-uri=URI
https://api.github.com/user
--scope=STR
user
--idp-user-id=STR
login
--provider=keycloak
Keycloak を使用すると、複数のレルムまたは組織を定義できます。多くの場合、これはカスタムデプロイメントの一部であるため、ベース URL とレルム ID の両方が必要です。これらは、
ipa idp-add
コマンドの--base-url
および--organization
オプションで指定できます。[root@client ~]# ipa idp-add MySSO --provider keycloak \ --org main --base-url keycloak.domain.com:8443/auth \ --client-id <your-client-id>
--provider=keycloak
を選択すると、次のオプションを使用するように拡張されます。--base-url
オプションで指定した値は、表内の文字列${ipaidpbaseurl}
を置き換え、指定した値は--organization `option replaces the string `${ipaidporg}
となります。オプション 値 --auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth
--dev-auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device
--token-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token
--userinfo-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo
--scope=STR
openid email
--idp-user-id=STR
email
--provider=okta
Okta に新しい組織を登録すると、新しいベース URL が関連付けられます。このベース URL は、
ipa idp-add
コマンドの--base-url
オプションで指定できます。[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>
--provider=okta
を選択すると、次のオプションを使用するように拡張されます。--base-url
オプションに指定した値は、表内の文字列${ipaidpbaseurl}
を置き換えます。オプション 値 --auth-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/authorize
--dev-auth-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/device/authorize
--token-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/token
--userinfo-uri=URI
https://${ipaidpbaseurl}/oauth2/v1/userinfo
--scope=STR
openid email
--idp-user-id=STR
email
関連情報