Red Hat Summit12.4.5. Google
Google でログインを有効にするために実行する必要のある手順が複数あります。まず、左側のメニュー項目 Identity Providers に移動し、Add provider ドロップダウンリストから Google を選択します。これにより、Add identity provider ページが表示されます。
ID プロバイダーの追加
Google から クライアント ID および クライアントシークレット を取得する必要があるため、保存はクリックできません。このページが必要とするデータの 1 つが Redirect URI です。Red Hat Single Sign-On をクライアントとして登録する際にそれを Google に提供する必要があるため、この URI をクリップボードにコピーします。
Google でログインを有効にするには、最初に Google Developer Console でプロジェクトとクライアントを作成する必要があります。クライアント ID およびシークレットを Red Hat Single Sign-On 管理コンソールにコピーする必要があります。
Google は多くの場合、Google Developer Console の外観と操作感を変更する可能性があるため、これらの方向は常に最新の状態で、設定手順が若干異なる場合があります。
まず、Google でプロジェクトを作成する方法を説明します。
Google Developer Console にログインします。
Google 開発者コンソール
Create Project ボタンをクリックします。Project name と Project ID に任意の値を使用してから Create ボタンをクリックします。プロジェクトが作成されるまで待機します (しばらく時間がかかる場合があります)。作成されると、プロジェクトのダッシュボードに移動します。
ダッシュボード
次に、Google Developer Console の API & Services セクションに移動します。この画面で、Credentials の管理 に移動します。
Red Hat Single Sign-On から Google にログインすると、Google から consent 画面が表示され、Red Hat Single Sign-On がユーザープロファイルの情報を表示できるかどうかをユーザーに尋ねます。そのため、Google では、シークレットを作成する前に製品に関する基本的な情報が必要になります。新規プロジェクトでは、OAuth consent screen を設定しておく必要があります。
非常に基本的な設定では、アプリケーション名を入力します。また、このページの Google API のスコープなどの追加情報を設定することもできます。
OAuth consent screen details
次の手順では、OAuth クライアント ID およびクライアントシークレットを作成します。Credentials 管理に戻り、Credentials タブに移動し、Create credentials ボタンの下にある OAuth client ID を選択します。
認証情報の作成
その後、Create OAuth client ID ページに移動します。アプリケーションタイプとして Web application を選択します。クライアントの名前を指定します。Redirect URI を Red Hat Single Sign-On の Add Identity Provider ページから Authorized redirect URIs フィールドにコピーアンドペーストする必要があります。この作業を行ったら、Create ボタンをクリックします。
OAuth クライアント ID の作成
Create をクリックすると、Credentials ページに移動します。新しい OAuth 2.0 Client ID をクリックし、新しい Google Client の設定を表示します。
Google クライアント認証情報
このページからクライアント ID およびシークレットを取得する必要があります。これにより、Red Hat Single Sign-On の Add identity provider ページでクライアント ID とシークレットを入力できます。Red Hat Single Sign-On に戻り、その項目を指定します。
Google の Add identity provider ページで注意する設定オプションの 1 つが Default Scopes フィールドです。このフィールドでは、このプロバイダーでの認証時にユーザーが承認する必要のあるスコープを手動で指定することができます。スコープの全一覧については、https://developers.google.com/oauthplayground/ を参照してください。デフォルトでは、Red Hat Single Sign-On は openid、profile、email のスコープを使用します。
組織が G Suite を使用し、組織のメンバーのみへのアクセスを制限する場合には、Hosted Domain フィールドに G Suite に使用されるドメインを入力してこれを有効にする必要があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}