第3章 OIDC 使用時のサーブレットから Jakarta Enterprise Bean へのアイデンティティーの伝播
OpenID Connect (OIDC) プロバイダーから取得したセキュリティーアイデンティティーは、次の 2 つの方法でサーブレットから Jakarta Enterprise Beans に伝播できます。
- 同じ仮想セキュリティードメインを使用して、サーブレットと Jakarta Enterprise Beans の両方を保護する。
- サーブレットに関連付けられた仮想セキュリティードメインから、Jakarta Enterprise Beans を保護するセキュリティードメインにアイデンティティーを伝播する。
3.1. OIDC 使用時の Jakarta Enterprise Beans へのアイデンティティーの伝播
OpenID Connect (OIDC) を使用してアプリケーションを保護すると、elytron-oidc-client
サブシステムが仮想セキュリティードメインを自動的に作成します。OIDC プロバイダーから取得した仮想セキュリティードメイン内のセキュリティーアイデンティティーを、アプリケーションが呼び出す Jakarta Enterprise Beans に伝播できます。
次の表は、使用するセキュリティードメインとアプリケーションのデプロイ方法に応じた必要な設定を示しています。
Jakarta Enterprise Beans を保護するために使用するセキュリティードメイン | サーブレットと Jakarta Enterprise Beans が同じ WAR または EAR 内にある | サーブレットと Jakarta Enterprise Beans が異なる WAR または EAR 内にある |
---|---|---|
仮想セキュリティードメイン | 必要な設定はありません。 仮想セキュリティードメインはセキュリティーアイデンティティーを Jakarta Enterprise Beans に自動的にアウトフローします。ただし、Jakarta Enterprise Beans にセキュリティードメイン設定が明示的に指定されている場合を除きます。 | 次のように設定します。
|
別のセキュリティードメイン | セキュリティーアイデンティティーを仮想セキュリティードメインから別のセキュリティードメインにアウトフローするには、次のリソースを設定する必要があります。
詳細は、仮想セキュリティードメインからセキュリティードメインへのアイデンティティーの伝播 を参照してください。 |