9.4. ソーシャルアイデンティティープロバイダー

ソーシャルアイデンティティープロバイダーは、認証を信頼できるソーシャルメディアアカウントに委譲できます。Red Hat Single Sign-On には、Google、Facebook、Twitter、GitHub、LinkedIn、Microsoft、Stack Overflow などのソーシャルネットワークのサポートが含まれます。

9.4.1. Bitbucket

Bitbucket でログインするには、以下の手順を実行します。

手順

メニューで Identity Providers をクリックします。
Add provider リストから Bitbucket を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、Bitbucket Cloud での OAuth のプロセスを実行します。Add Consumer をクリックする際に、
1. Redirect URI の値を Callback URL フィールドに貼り付けます。
2. Account セクションで Email および Read を選択し、アプリケーションが電子メールを読み取れるようにします。
コンシューマーの作成時に Bitbucket が表示する Key および Secret の値を書き留めておきます。
Red Hat Single Sign-On で、Key の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.2. Facebook

手順

メニューで Identity Providers をクリックします。
Add provider リストから Facebook を選択します。Red Hat Single Sign-On は、Facebook アイデンティティープロバイダーの設定ページを表示します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、Facebook 開発者ガイドの手順に従って、Facebook でプロジェクトとクライアントを作成します。
1. アプリケーションが Web サイトタイプのアプリケーションであることを確認します。
2. Facebook Website 設定ブロックの Site URL に Redirect URI の値を入力します。
3. アプリケーションがパブリックであることを確認します。
Facebook アプリケーションの Client ID および Client Secret の値を、Red Hat Single Sign-On の Client ID フィールドおよび Client Secret フィールドに入力します。
必要なスコープを Default Scopes フィールドに入力します。デフォルトでは、Red Hat Single Sign-On は email スコープを使用します。Facebook スコープの詳細については、グラフ API を参照してください。

デフォルトでは、Red Hat Single Sign-On は profile 要求を graph.facebook.com/me?fields=id,name,email,first_name,last_name に送信します。応答には、id、name、email、first_name、および last_name フィールドのみが含まれます。Facebook プロファイルから追加のフィールドを取得するには、対応するスコープを追加し、Additional user's profile fields 設定オプションフィールドにフィールド名を追加します。

9.4.3. GitHub

Github でログインするには、以下の手順を実行します。

手順

メニューで Identity Providers をクリックします。
Add provider リストから Github を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで OAUTH アプリケーションを作成します。
1. アプリケーションの作成時に、Redirect URI の値を Authorization callback URL フィールドに入力します。
2. OAUTH アプリケーションの管理ページの Client ID および Client シークレットをメモします。
Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.4. GitLab

手順

メニューで Identity Providers をクリックします。
Add provider リストから GitLab を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、新しい GitLab アプリケーションを追加します。
1. クリップボードの Redirect URI を Redirect URI として使用します。
2. アプリケーションを保存する際に Client ID および Client Secret をメモします。
Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.5. Google

手順

メニューで Identity Providers をクリックします。
Add provider リストから Google を選択します。
アイデンティティープロバイダーの追加
別のブラウザータブで、GoogleCloudPlatform コンソール開きます。
Google アプリケーションの Google ダッシュボードで、OAuth consent screen メニューをクリックします。同意画面を作成し、合意画面のユーザータイプが外部であることを確認します。
Google ダッシュボードで以下を行います。
1. Credentials メニューをクリックします。
2. CREATE CREDENTIALS - OAuth Client ID をクリックします。
3. Application type リストから Web application を選択します。
4. Create をクリックします。
5. Your Client ID とクライアント Your Client Secret を書き留めます。
Red Hat Single Sign-On で、Your Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Your Client Secretの値を Client Secret フィールドに貼り付けます。
必要なスコープを Default Scopes フィールドに入力します。デフォルトでは、Red Hat Single Sign-On は openid、profile、email のスコープを使用します。Google スコープのリストについては、OAuth Playground を参照してください。
アクセスを GSuite 組織のメンバーのみに制限するには、Hosted Domain フィールドに G Suite ドメインを入力します。
Save をクリックします。

9.4.6. LinkedIn

手順

メニューで Identity Providers をクリックします。
Add provider リストから LinkedIn を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、アプリケーションを作成します。
1. アプリケーションの作成後に、Auth タブをクリックします。
2. Redirect URI の値を Authorized redirect URLs for your app フィールドに入力します。
3. Your Client ID とクライアント Your Client Secret を書き留めます。
Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.7. Microsoft

手順

メニューで Identity Providers をクリックします。
Add provider リストから Microsoft を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで Microsoft アプリケーションを作成します。
1. Add URL をクリックして、Microsoft アプリケーションへのリダイレクト URL を追加します。
2. Application ID と Application Secret をメモします。
Red Hat Single Sign-On で、Application ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Application Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.8. OpenShift 3

手順

メニューで Identity Providers をクリックします。
Add provider リストから Openshift を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。

oc コマンドラインツールを使用して、クライアントを登録します。

$ oc create -f <(echo '
kind: OAuthClient
apiVersion: v1
metadata:
 name: kc-client 1
secret: "..." 2
redirectURIs:
 - "http://www.example.com/" 3
grantMethod: prompt 4
')

1

OAuth クライアントの 名前。<openshift_master>/oauth/authorize および <openshift_master>/oauth/token への要求の実行時に client_id 要求パラメーターとして渡されます。

2

Red Hat Single Sign-On が client_secret リクエストパラメーターに使用する secret。

3

<openshift_master>/oauth/authorize および <openshift_master>/oauth/token への要求で指定される redirect_uri パラメーターは、redirectURIs のいずれかの URI と同じ (または接頭辞が付けられた) 必要があります。これは、Identity Provider 画面の Redirect URI フィールドから取得できます。

4

このクライアントがトークンを要求し、ユーザーがアクセスを付与していない場合に、Red Hat Single Sign-On がアクションを判断するために使用する grantMethod。

Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.9. OpenShift 4

前提条件

jq のインストール
コンテナーで設定され /var/run/secrets/kubernetes.io/serviceaccount/ca.crt に設定された X509_CA_BUNDLE。

手順

コマンドラインで以下のコマンドを実行し、OpenShift 4 API URL の出力を書き留めます。

curl -s -k -H "Authorization: Bearer $(oc whoami -t)" \https://<openshift-user-facing-api-url>/apis/config.openshift.io/v1/infrastructures/cluster | jq ".status.apiServerURL"

Red Hat Single Sign-On メニューで Identity Providers をクリックします。
Add provider リストから Openshift を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。

oc コマンドラインツールを使用して、クライアントを登録します。

$ oc create -f <(echo '
kind: OAuthClient
apiVersion: oauth.openshift.io/v1
metadata:
 name: keycloak-broker 1
secret: "..." 2
redirectURIs:
 - "<copy pasted Redirect URI from OpenShift 4 Identity Providers page>" 3
grantMethod: prompt 4
')

1

OAuth クライアントの 名前。<openshift_master>/oauth/authorize および <openshift_master>/oauth/token への要求の実行時に client_id 要求パラメーターとして渡されます。name パラメーターは、OAuthClient オブジェクトと Red Hat Single Sign-On 設定で同じである必要があります。

2

Red Hat Single Sign-On が client_secret リクエストパラメーターとして使用する secret。

3

<openshift_master>/oauth/authorize および <openshift_master>/oauth/token への要求で指定される redirect_uri パラメーターは、redirectURIs のいずれかの URI と同じ (または接頭辞が付けられた) 必要があります。これを正しく設定する最も簡単な方法は、Red Hat Single Sign-On OpenShift 4 Identity Provider 設定ページから (Redirect URI フィールド) コピーすることです。

4

Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

詳細は、公式の OpenShift ドキュメントを参照してください。

9.4.10. PayPal

手順

メニューで Identity Providers をクリックします。
Add provider リストから PayPal を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、PayPal 開発者アプリケーションエリアを開きます。
1. Create App をクリックして PayPal アプリケーションを作成します。
2. Client ID と Client Secret を書き留めます。Show のリンクをクリックしてシークレットを表示します。
3. Connect with PayPal のチェックボックスがオンになっていることを確認します。
4. Return URL フィールドの値を、Red Hat Single Sign-On の Redirect URI の値に設定します。
Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.11. Stack overflow

手順

メニューで Identity Providers をクリックします。
Add provider リストから Stack Overflow を選択します。
アイデンティティープロバイダーの追加
別のブラウザータブで、Stack Apps でのアプリケーションの登録にログインします。
アプリケーションの登録
1. Application Name フィールドにアプリケーション名を入力します。
2. OAuth domain フィールドに OAuth ドメインを入力します。
3. Register Your Application をクリックします。
  Settings
Client ID と Client Secretを書き留めます。
Red Hat Single Sign-On で、Client ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Client Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.12. Twitter

前提条件

Twitter 開発者アカウント。

手順

メニューで Identity Providers をクリックします。
Add provider リストから Twitter を選択します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、Twitter Application Management でアプリケーションを作成します。
1. 名前および説明には、任意の値を入力します。
2. Website の値は、localhost 以外の有効な URL にすることができます。
3. Redirect URL の値を Callback URL フィールドに貼り付けます。
4. Twitter アプリケーションの作成時に、Keys and Access Tokens セクションの Consumer Key および Consumer Secret の値をメモします。
Red Hat Single Sign-On で、Consumer Key の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Consumer Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。

9.4.13. Instagram

手順

メニューで Identity Providers をクリックします。
Add provider リストから Instagram を選択します。Red Hat Single Sign-On は、Instagram アイデンティティープロバイダーの設定ページを表示します。
アイデンティティープロバイダーの追加
Redirect URI の値をクリップボードにコピーします。
別のブラウザータブで、Facebook 開発者コンソールを開きます。
1. My Apps をクリックします。
2. Add a New App を選択します。
  新規アプリケーションの追加
3. For Everything Else を選択します。
  新規アプリケーション ID を作成します。
4. すべての必須フィールドに入力します。
5. Create App をクリックします。ダッシュボードに移動します。
6. ナビゲーションパネルで Settings - Basic を選択します。
  プラットフォームの追加
7. + Add Platform を選択します。
8. [Website] をクリックします。
9. サイトの URL を入力します。
  製品の追加
10. メニューから Dashboard を選択します。
11. Instagram ボックスで Set Up をクリックします。
12. メニューから Instagram - Basic Display を選択します。
13. Create New App をクリックします。
  新しい Instagram アプリケーション ID を作成します。
14. Display Name に値を入力します。
  アプリケーションのセットアップ
15. Red Hat Single Sign-On の Redirect URL を Valid OAuth Redirect URIs フィールドに貼り付けます。
16. Red Hat Single Sign-On の Redirect URL を Valid Deauthorize Callback URL フィールドに貼り付けます。
17. Red Hat Single Sign-On の Redirect URL を Valid Data Deletion Request URL フィールドに貼り付けます。
18. Instagram App Secret フィールドで Show をクリックします。
19. Instagram App ID と Instagram App Secret をメモします。
20. App Review - Requests をクリックします。
21. 画面の指示に従ってください。
Red Hat Single Sign-On で、Instagram App ID の値を Client ID フィールドに貼り付けます。
Red Hat Single Sign-On で、Instagram App Secret の値を Client Secret フィールドに貼り付けます。
Save をクリックします。