OpenID Connect (OIDC) の構成
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
OpenID Connectは、OAuth 2.0プロトコルの上位にあるIDレイヤーです。これにより、クライアント・アプリケーションは、OpenID Connectプロバイダーによって実行される認証に依存して、ユーザーのIDを検証できます。
SSOを設定するには、Organization AdminまたはOrganization Ownerロールが必要です。また、Sitecore Cloud PortalをIDプロバイダー (IdP) に登録する権限と、ドメイン ホストでTXTレコードを作成する権限も必要です。
チーム メンバーがOIDC IDプロバイダーを使用してログインできるようにするには、OpenID Connectを構成する必要があります。
SSO接続を有効にする前に、SSOを有効にした場合の動作についてお読みになることを強くお勧めします。
このチュートリアルでは、次の方法について説明します。
Sitecore Cloud PortalをOIDC IDプロバイダーに登録する
SSO接続を追加する前に、Sitecore Cloud PortalをIDプロバイダーに登録する必要があります。このプロセスはIDプロバイダーによって異なりますが、一般に、client IDとclient secretを受け取るには、アプリケーションを作成する必要があります (一部のプロバイダーではapp integrationまたはclientと呼ばれます)。
アプリケーションを作成するときに、許可されたコールバックURLとしてhttps://auth.sitecorecloud.io/login/callbackを登録する必要がある場合があります (一部のプロバイダーではこれをredirect URIと呼びます)。
以下は、一般的なOpenID Connect IDプロバイダーの設定ガイドです。
Sitecore Cloud PortalでSSO接続を追加する
Sitecore Cloud PortalをIDプロバイダーに登録した後、IDプロバイダーからの情報を使用してSSO接続を作成します。
SSO接続を追加するには:
-
Sitecore Cloud Portal SSOページに移動し、Add SSO connectionをクリックします。
-
ドロップダウンメニューで、OpenID Connectをクリックします。
-
Add SSO connectionダイアログで、接続の詳細を入力し、Saveをクリックします。SSO接続の設定は後で編集できます。
畑
形容
メールドメイン
このSSO接続に関連付けられている電子メール ドメイン (最大50ドメイン)。
IDプロバイダーを使用して認証するチーム メンバーの電子メール アドレスは、指定された電子メール ドメインのいずれかに属している必要があり、そうでない場合は認証が失敗します。
接続名
新しいSSO接続の名前。この名前は、Sitecore Cloud Portal組織のSSO接続のリストを表示するときに表示されます。
接続タイプ
IDプロバイダの認証サーバが認証エンドポイントから結果パラメータを返す方法を決定します。
どのオプションを選択するかについては、IdPのドキュメントを確認してください。
Back Channel (Authorization Code flow)はresponse_type=codeを使用します。JSON Webトークンはサーバー間通信を介して転送されるため、トークンが公開されるリスクが軽減されます。これは、ほとんどのアプリケーションで推奨される方法です。
Front Channel (Implicit flow) はresponse_mode=form_postとresponse_type=id_tokenを使用します。JSON Webトークンはブラウザ経由で転送され、トークンが公開されます。この方法は安全性が低いため、IdPが認証コード フローをサポートしていない場合にのみ使用してください。
発行者URL
接続するIDプロバイダーのディスカバリードキュメントのURL (一部のプロバイダーはこれをmetadata addressと呼びます)。正しいURLについては、IdPのドキュメントを確認してください。
Auth0の例: https://{yourDomain}/.well-known/openid-configuration
スコープ
OpenID Connectスコープ パラメーターを使用して要求するスコープのスペース区切りの一覧。必要なスコープはopenidで、email要求を返すスコープです。
次の要求を返すスコープも含めることをお勧めします: name、given_name、family_name、nickname
各スコープ値によって返されるクレームは、IdPによって異なります。たとえば、IdPがAuth0またはAzure ADの場合は、次のスコープを入力します。 openid profile email
クライアントID
Sitecore Cloud PortalをIDプロバイダーに登録したときに作成されたアプリケーションのclient ID 。
クライアントシークレット
Sitecore Cloud PortalをIDプロバイダーに登録したときに作成されたアプリケーションのclient secret 。このフィールドは、バックチャネル(認証コードフロー)を使用する場合に必須です。
コールバックURL
IDプロバイダーが認証応答を送信する場所。このURL (一部のプロバイダーではredirect URIと呼ばれます) は、Sitecore Cloud Portal IDプロバイダーに登録するときに追加する必要がある場合があります。
SSO接続をテストする
SSO接続に複数のドメインがある場合は、すべてのドメインでこれらの手順を繰り返します。
SSO接続のテストはオプションですが、接続が機能することを確認するためにテストすることを強くお勧めします。SSO接続は、IDプロバイダを使用してサインインを試みることで、いつでもテストできます。
接続をテストするには:
-
Sitecore Cloud Portal SSOページに移動し、テストする接続のTestをクリックします。
-
Test SSO connectionダイアログで、「Start test」をクリックします。
-
開いたタブで、IDプロバイダーを使用してサインインします。
SSO接続テストが失敗した場合は、もう一度やり直すか、SSO接続設定が正しいことを確認してください。
ドメインを確認する
ドメインは、SSO接続をテストする前またはテスト後に検証できます。
他のユーザーがドメインを使用してSSO接続を作成しないようにするには、Verify domainsダイアログからドメインのDNSレコードにTXTレコードを追加して、ドメインの所有権を確認する必要があります。
ドメインを確認するには:
-
Sitecore Cloud Portal SSOページに移動し、確認する接続でVerify domainsをクリックします。
-
Verify domainsダイアログで、各TXTレコードをコピーし、ドメインのDNSレコードに追加します。
TXTレコードを追加する方法は、ドメインホストによって異なります。
原則として:
-
ドメインの購入に使用したアカウントとパスワードでドメイン レジストラーにサインインします。
-
ドメインのTXTレコードを更新できるセクションに移動します。これは通常、DNS設定、DNS管理、または詳細設定と呼ばれます。
-
新しいTXTレコードを作成します。
いくつかの例については、多くの一般的なドメイン レジストラーに関するGoogleのカスタム手順をご覧ください。
-
-
「 Verify domains」をクリックします。
手記ドメインの確認には通常、数秒かかります。ただし、ドメインホストがTXTレコードを公開するには、最大72時間かかる場合があります。ドメインを確認したら、TXTレコードを削除できます。
SSO接続を有効にする
ドメインを確認し、(オプションで) SSO接続をテストしたら、有効にできます。
SSO接続を有効にするには:
-
Sitecore Cloud Portal SSOページに移動し、有効にするSSO接続を見つけて、Enableをクリックします。
SSO接続を有効にすると、有効なSSO接続のメールドメインを持つメールアドレスを持つチームメンバーは、自分のIDプロバイダーを使用してログインできます。
SSO接続を有効にすると、次の操作を実行できます。