外部認証プロバイダー
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
外部プロバイダーを使用してシングルサインオン(SSO)認証を設定できます。
Sitecore Content Hubは、次の外部認証プロバイダーと互換性があります。
-
Azure AD
-
ググる
-
Microsoft
-
OpenID Connect (英語)
-
SAMLの
-
Sitecoreのアイデンティティ
-
WS-フェデレーション
-
ヤンデックス
外部認証プロバイダーは、ExternalAuthenticationProviders プロパティで構成します。
global_email_claim_typeまた、すべてのプロバイダーのメール アドレスとユーザー名を解決するための要求の種類を設定するglobal_username_claim_type 。これらのプロパティは、特定のプロバイダーに対してオーバーライドできます。
基本構成はすべてのサービス プロバイダーで似ていますが、一部のサービス プロバイダーには特定のプロパティもあります。
設定例は、必要な認証プロバイダーを設定するのに役立ちます。
基本構成
次のコードは、すべてのプロバイダーの基本構成を示しています。
|
財産 |
形容 |
|---|---|
|
authentication_mode |
ActiveまたはPassiveにすることができます。プロバイダーがActiveとして設定されている場合、ユーザーがまだ認証されていない場合、システムはユーザーを自動的にそのプロバイダーのログイン ページにリダイレクトします。一度に1つのプロバイダーのみがActiveとして設定されていることを確認する必要があります。ユーザーは、認証設定を変更せずに、https://localhost/en-us/account?forcePassive=trueに移動してローカルアカウントページからログインすることもできます。 |
|
email_claim_type |
このプロバイダーのglobal_email_claim_type プロパティを オーバーライドします。認証設定で要求の種類を構成して、カスタムの電子メール要求を電子メール アドレスとして設定できるようにすることができます (例: "email_claim_type": "http://schemas.auth0.com/CustomEmailClaim")。 |
|
external_user_creation_url |
AutoCreateUsers プロパティをオーバーライドし、指定されたURLにリダイレクトします。 |
|
is_enabled |
プロバイダーを有効にします。有効なプロバイダーのみが表示され、認証パイプラインに登録できます。 |
|
messages |
デフォルトのサインインボタンの表示を変更します。
値は既存の 変換キーである必要があります。 |
|
provider_name |
外部プロバイダの名前。この名前は、
|
|
username_claim_type |
このプロバイダーのglobal_username_claim_type プロパティを オーバーライドします。 |
|
user_linking |
異なるIDプロバイダー アカウントを同じContent Hubユーザー アカウントにリンクできます。すべての外部認証プロバイダーに対してuser_linkingをグローバルに設定することも、特定の各外部認証プロバイダーを上書きすることもできます。デフォルトでは、ユーザーは同じメールアドレスを持っている場合、相互にリンクされます。
警告 次の場合、ログイン手順は失敗します。
指定した要求の種類に一致するユーザー プロファイルがない場合、システムはこのユーザーを新しいユーザーと見なして処理を続行します。 |
認証設定に要求を渡すプロパティ ( email_claim_typeやuser_claim_typeなど) では、カスタム メール要求をメール アドレスとして使用できます (例: "email_claim_type": "http://schemas.auth0.com/CustomEmailClaim".
プロバイダー名は、同じ種類の複数の外部認証プロバイダーをサポートするための一意のREST APIコールバックを設定するために使用されます。通常、このコールバックは外部認証プロバイダー自体で構成する必要があります。プロバイダー名を変更するには、外部認証プロバイダーも変更する必要があります。デフォルトでは、コールバックURLの形式は /signin-{provider-name}です。
プロバイダー固有のプロパティ
次の表では、各外部プロバイダーに固有のプロパティについて説明します。
完全な構成例は、Azure ADとOpenID Connectで使用できます。
|
供給者 |
財産 |
形容 |
必須 |
|---|---|---|---|
|
ググる |
client_id |
OAuthクライアントID。 |
はい |
|
client_secret |
OAuthクライアント シークレット。 |
はい | |
|
Microsoft |
client_id |
OAuthクライアントID。 |
はい |
|
client_secret |
OAuthクライアント シークレット。 |
はい | |
|
authorization_endpoint |
認証エンドポイントを上書きします。 |
いいえ | |
|
token_endpoint |
トークンエンドポイントを上書きします。 |
いいえ | |
|
user_information_endpoint |
ユーザー情報エンドポイントをオーバーライドします。 |
いいえ | |
|
OpenID Connect (英語) |
authentication_mode |
認証モードはActiveまたはPassiveに設定できますが、一度にアクティブにできるプロバイダーは1つだけです。 Activeモードでは、ユーザーが認証されていない場合、ユーザーはプロバイダーのログインページに自動的にリダイレクトされます。 Passiveモードでは、ユーザーはログインページ上のプロバイダーのボタンを手動でクリックする必要があります。 |
いいえ |
|
client_id |
IDプロバイダーを使用してContent Hubアプリケーションを認証するために使用される、クライアント アプリケーションの一意の識別子。 |
はい | |
|
client_secret |
アプリケーションと認証サーバーのみが認識するシークレットで、Content Hubアプリケーションの認証に使用されます。 |
はい | |
|
authority |
OpenID ConnectプロバイダーのURLで、プロバイダーの構成とエンドポイントを検出するために使用されます。 |
いいえ | |
|
get_claims_from_user_info_endpoint |
UserInfoエンドポイントから要求を取得するかどうか。falseに設定した場合、認証ごとに要求を含むid_tokenを指定する必要があります。 |
いいえ | |
|
metadata_address |
OpenID ConnectプロバイダーのメタデータのURL (エンドポイントの詳細とサポートされている機能を含む)。このファイルのコピーをホストすることは、プロバイダー証明書の変更によって認証が中断される可能性があるため、避けてください。 |
いいえ | |
|
signed_out_redirect_uri |
ログアウト後にユーザーがリダイレクトされるURL。 |
いいえ | |
|
redirect_uri |
認証後に認証サーバーがユーザーをリダイレクトするURL。これは、認証サーバーに登録する必要があります。 |
いいえ | |
|
authentication_method |
認証に使用される方法。ホワイトリストに登録されている値は、redirect_get、form_postです。 |
いいえ | |
|
response_mode |
認証応答がどのように返されるか。ホワイトリストに登録されている値は、query、form_post、fragmentです。 |
いいえ | |
|
response_type |
承認サーバーから予期される応答の種類。ホワイトリストに登録されている値は、code、code id_token、code id_token token、code token、id_token、id_token token、none、およびtokenです。 |
いいえ | |
|
prompt |
ユーザーに再認証を求めるかどうか。ホワイトリストに登録されている値は、none、login、consent、およびselect_accountです。 |
いいえ | |
|
email_claim_type |
ユーザーのメール アドレスに使用された要求の種類。 |
いいえ | |
|
external_user_creation_url |
外部ユーザーの作成に使用するURL。 |
いいえ | |
|
is_enabled |
OpenID Connectが有効になっているかどうか。これにより、IDプロバイダーを一時的に無効にしても、その構成を削除せずに使用できます。 |
いいえ | |
|
messages |
サインイン プロセスのカスタム メッセージ。ホワイトリストに登録されている値は、signIn、signInTitle、signInDescriptionです。 |
いいえ | |
|
provider_name |
OpenID Connectプロバイダーの名前は、IdPのリダイレクトURIとしても使用され、{HOST}/signin-{PROVIDER_NAME}として書式設定されます。 |
いいえ | |
|
username_claim_type |
ユーザーのユーザー名を定義する要求の種類。 |
いいえ | |
|
clear_default_scope |
デフォルトのスコープをクリアするかどうか。 |
いいえ | |
|
scope |
認証時に要求されたスコープ。ホワイトリストに登録されている値は、openid、profile、emailです。 openidスコープは、OpenID Connect認証に常に必要です。 |
いいえ | |
|
SAMLの |
certificate |
IDプロバイダーがメッセージの署名に使用する証明書へのパス。 AuthnRequestsSignedがサービス プロバイダーのメタデータ ファイルにtrueされている場合にのみ必要です。 |
いいえ |
|
idp_entity_id |
IDプロバイダーのエンティティID。 |
はい | |
|
metadata_location |
IDプロバイダー (IdP) のソース メタデータ エンドポイントのURL。/AuthServices-{providerNameInTheAuthenticationSettings} エンドポイントを使用して、SP_metadata.xmlファイルを自動的に生成できます。このファイルにはIdP設定情報が含まれており、SSO認証に使用されます。その内容は、環境URLが変更されない限り変更されません。metadata_locationはログインのたびにアクセスされ、IdP設定を含むXMLファイルはContent Hubによってキャッシュされません。したがって、IdPエンドポイントが更新または変更された場合、設定の変更はすぐに適用されます。 大事な IdPメタデータ ファイルをコピーしたり、Content Hubでホストしたりしないでください。 |
はい | |
|
password |
証明書へのアクセスに使用するパスワード。 |
いいえ | |
|
sp_entity_id |
サービスプロバイダーのエンティティID。 |
はい | |
|
module_path |
SAMLエンドポイントのアプリケーション ルート相対パス。デフォルトは /AuthServices- の後に小文字のプロバイダー名が続きます。大文字と小文字が区別され、一意である必要があります。 |
いいえ | |
|
binding |
認証要求をIDプロバイダーに送信するときに使用されるバインドの種類。指定できる値は、HttpRedirect (既定値) とArtifact HttpPostです。 |
いいえ | |
|
authn_request_protocol_binding |
IDプロバイダーが応答時に使用するように要求されるバインドの種類。認証要求のProtocolBinding属性に含まれます。指定できる値はHttpPost Artifactです。 |
いいえ | |
|
Sitecore |
identity_server_url |
サインイン プロセス中にユーザーがリダイレクトされるSitecore Identityサーバー インスタンスのURL。 |
はい |
|
client_id |
IDサーバーによって認識されているOAuthクライアントID。 |
はい | |
|
client_secret |
IDサーバーによって認識されているOAuthクライアントシークレット。 |
はい | |
|
WsFederation(英語) |
metadata_address |
WsFederationサービス プロバイダーのXMLメタデータを公開するURL。 |
はい |
|
wtrealm |
リクエスト元のレルムのURL。 |
はい | |
|
ヤンデックス |
client_id |
OAuthクライアントID。 |
はい |
|
client_secret |
OAuthクライアント シークレット。 |
はい |