外部認証プロバイダー
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
ユーザーは、外部認証プロバイダーを介したシングル サインオン (SSO) を使用して、Sitecore Content Hub™ にログインできます。
次の外部認証プロバイダーを使用できます。
- Azure AD
- Microsoft
- OpenID Connect
- SAML
- Sitecore
- WS-Federation
- Yandex
外部認証プロバイダーは、ExternalAuthenticationProviders プロパティで設定できます。
global_email_claim_type と global_username_claim_type プロパティでは、すべてのプロバイダーのメール アドレスとユーザー名を解決するようにクレーム タイプを設定します。特定のプロバイダーに対するこれらのプロパティをオーバーライドすることができます。
基本のプロバイダー設定
基本のプロバイダー設定
次のコードは、すべてのプロバイダーの基本設定は示しています。
プロバイダー認証モード
プロバイダー認証モードは Active または Passive に設定できます。同時にアクティブにできるプロバイダーは 1 つだけです。
認証モードを Active に設定すると、ユーザーが認証されていない場合に、システムは自動的にプロバイダーのログイン ページにリダイレクトします。それ以外の場合、ユーザーはログイン ページのプロバイダー ボタンをクリックする必要があります。
プロバイダーが Active に設定されている場合、ログイン ページを参照することができなくなります。この動作をオーバーライドするには、/en-US/Account?forcePassive=true に移動します。既定値は Passive です。
プロバイダーの主なプロパティ
| プロパティ | 説明 | 既定値 |
|---|---|---|
AutoCreateUsers | true に設定されている場合、新しいユーザー アカウントが自動的に作成されます。false に設定されている場合、既定でエラー ページにリダイレクトされます。この動作をオーバーライドして外部ユーザー ページにリダイレクトするには、プロバイダー設定の external_user_creation_url パラメーター (既定値は null) を使用します。 | false |
is_enabled | プロバイダーを有効または無効にします(それだけ有効なプロバイダーが表示され、認証パイプラインに登録できます。) | false |
messages | 外部プロバイダーを設定すると、新しい [プロバイダー名でサインイン] ボタンが既定でログイン ページに表示されます。messages で次をカスタマイズできます。
signIn: ボタン メッセージsignInTitle: ボタンにカーソルを合わせたときのメッセージsignInDescription: ボタンの横にある小さな説明。値は、既存の変換エンティティ キーの名前である必要があります (例: MyOwnCustomKey)。 | empty |
email_claim_type と username_claim_type (それぞれ使用) | 特定のプロバイダー向けに global_email_claim_type と global_username_claim_type をオーバーライドします。 | null |
provider_name | 外部プロバイダーの名前:
|
プロバイダー名は、同じタイプの複数の外部認証プロバイダーをサポートするために、一意の REST API コールバックの設定に使用されます。通常、このコールバックは外部認証プロバイダー自体で設定する必要があります。プロバイダー名を変更する場合は、外部認証プロバイダーにも変更を加える必要があります。
既定で、コールバック URL は /signin-{provider-name} の形式です。
プロバイダー固有のプロパティ
次の表で、各外部プロバイダーに固有のプロパティについて説明します。
各プロバイダーの設定例については、「設定例」を参照してください。
| プロバイダー | 特定のプロパティ | 説明 | 必須/オプション (既定) |
|---|---|---|---|
client_id | OAuth クライアント ID。 | 必須 | |
client_secret | OAuth クライアント シークレット。 | 必須 | |
| Microsoft | client_id | OAuth クライアント ID。 | 必須 |
client_secret | OAuth クライアント シークレット。 | 必須 | |
authorization_endpoint | 承認エンドポイントをオーバーライドします。 | オプション | |
token_endpoint | トークン エンドポイントをオーバーライドします。 | オプション | |
user_information_endpoint | ユーザー情報エンドポイントをオーバーライドします。 | オプション | |
| SAML | certificate | ID プロバイダーがメッセージに署名するために使用する証明書へのパス。証明書は、SAML プロバイダーが署名済みの認証リクエストを予期している場合にのみ必要です。 | オプション (既定: null) |
idp_entity_id | ID プロバイダーのエンティティ ID。 | 必須 | |
metadata_location | SAML サービス プロバイダーの XML メタデータを指す URL。/AuthServices-{providerNameInTheAuthenticationSettings} エンドポイントを使用して、SP_metadata.xml ファイルを自動的に生成できます。 | 必須 | |
password | 証明書へのアクセスに使用されるパスワード。 | オプション | |
sp_entity_id | サービス プロバイダーのエンティティ ID。 | 必須 | |
module_path | SAML エンドポイントのアプリケーション ルート相対パス。既定で /AuthServices- の後に小文字のプロバイダー名が続きます。大文字と小文字を区別し、一意である必要があります。 | オプション (既定: null) | |
binding | ID プロバイダーに認証要求を送信するときに使用されるバインディング。受け入れられる値は次のとおりです。
HttpRedirectHttpPostArtifact | オプション (既定: HttpRedirect) | |
authn_request_protocol_binding | 応答時に使用する ID プロバイダーを要求するバインディング タイプ。認証要求の ProtocolBinding 属性に含まれています。受け入れられる値は次のとおりです。
HttpPostArtifact | オプション (既定: null) | |
| Sitecore | identity_server_url | Sitecoreは、認証用に IdentityServer を使用します。URL は、ユーザーがサインイン プロセス中にリダイレクトされる IdentityServer インスタンスを指す必要があります。 | 必須 |
client_id | IdentityServer インスタンスによって認識される OAuth クライアント ID。 | 必須 | |
client_secret | IdentityServer インスタンスによって認識される OAuth クライアント シークレット。 | 必須 | |
| WsFederation | metadata_address | WsFederation サービス プロバイダーの XML メタデータを公開する URL。 | 必須 |
wtrealm | 要求している領域の URL。 | 必須 | |
| Yandex | client_id | OAuth クライアント ID。 | 必須 |
client_secret | OAuth クライアント シークレット。 | 必須 |
URL を設定して、ID プロバイダー (IdP) メタデータを IdP メタデータ エンドポイントに提供することをお勧めします。この XML ファイルを Content Hub でホストしないでください。
SAML について
SAML プロバイダーが署名済みの認証リクエストを予期しているかどうかを判断するには、メタデータ ファイルを検査します。メタデータ ファイルの AuthnRequestsSigned 属性が「true」に設定されている場合、署名済みのリクエストが予期され、証明書ファイルを提供する必要があります。それ以外の場合、署名済みのリクエストは要求されず、証明書が提供されません。
ほとんどの SAML プロバイダーは、コールバック URL (大文字と小文字を区別します) を必要とします。ユーザーが認証するとき、ユーザーはこの URL に SAML トークンを投稿します。コールバック URLは module_path によって異なります。このコールバック URL は、他の外部認証タイプからのコールバック URL と一致しません。