統合TotalAgility OAuth クライアントTotalAgility OAuth クライアントの構成

TotalAgility OAuth クライアントの構成

TotalAgility OAuth クライアントを構成します。

  1. [統合] > [TotalAgility OAuth クライアント] に移動します。

    [TotalAgility OAuth クライアント] ページが表示されます。

  2. [新規] をクリックします。

    [新しいクライアント] ダイアログ ボックスが表示されます。

  3. [名前] ボックスに、OAuth クライアントの一意の名前を入力します。
  4. [説明] ボックスに、OAuth クライアントの説明を入力します。
  5. [プロバイダー] リストで、プロバイダーを選択し、定義します。

  6. [保存] をクリックします。

内部プロバイダーを使用した TotalAgility OAuth クライアントの構成

内部プロバイダーの場合、TotalAgility はクライアントを定義し、アクセス トークンを生成して、クライアントを認証します。

  1. [認証方法] リストで、次のいずれかのオプションを選択します。

    クライアント ID は、クライアントを識別するためにシステムで生成される読み取り専用の英数字文字列です。

    [クライアント シークレット] [クライアント アサーション]

    クライアント シークレット文字列を生成するには、[生成] をクリックします。

    シークレット文字列が生成されます。クライアント シークレットのコピーを保存しておく必要があります。

    [全般] タブには、次のような読み取り専用のフィールドが表示されます。

    • 発行元: クライアント ID が表示されます。

    • [件名]: クライアント ID が表示されます。

    • オーディエンス: 認証サーバーのアドレス。

    1. [署名] タブをクリックします。

    2. [署名検証方法] リストで、次のいずれかのオプションを選択します。

      [共有シークレット] [パブリック キー]

      [ローカル] または [外部] を選択し、シークレット文字列を入力します。

      次のいずれかのオプションを選択します。

      • [証明書]: 証明書のパブリック キーを入力します。[証明書 1] に対するパブリック キーは必須です。最大 3 つのパブリック キーを指定できます。

      • [JSON Web キー]: JSON 形式で Web キーを入力します。
  2. [アクセス トークンの有効期間] では、トークンの有効期間を入力するか、選択します。(デフォルト: 60 分、最小: 5 分)。
  3. [リソース] リストで、OAuth アクセス トークンを使用して行われた REST SDK API 呼び出しにアクセス制御設定を適用するリソースを選択します。
  4. オプション。mTLS のクライアント証明書のサムプリントを指定することで、アクセス トークンの生成時および REST API 呼び出し時に追加の認証を提供することができます。

    最大 3 つのクライアント証明書のサムプリントを指定することができます。

    1. [証明書] タブをクリックします。
    2. [証明書のサムプリント 1] ボックスに、クライアント証明書のサムプリントを入力します。

    TotalAgility は、クライアント証明書が指定されたサムプリントと一致しているかどうかを確認し、それに応じてアクセス トークンを生成します。

外部プロバイダーを使用した TotalAgility OAuth クライアントの構成

外部プロバイダーの場合、承認されたサードパーティ プロバイダーはアクセストークンを生成し、クライアントを定義して、クライアントを認証します。実行時に、TotalAgility は、発行元、クライアント アドレス、および署名に対してサードパーティ アクセス トークンの検証を行います。

  1. アクティブなサードパーティ プロバイダーからのアクセス トークンのみを受け入れるには、[アクティブ] を選択します。
  2. [発行元] ボックスに、JWT (JSON Web Token) アクセス トークンで検証されるサードパーティ プロバイダーの有効な URL アドレスを入力します。
  3. [オーディエンス] ボックスに、JWT アクセス トークンで検証されるクライアント アドレスを入力します。
  4. [アクセス トークンの有効期間] では、アクセス トークンが有効とみなされる期間を入力するか、選択します。(デフォルト: 0 分。つまり、トークンの有効期限に達するまでトークンは有効なままとなります)。

    有効期間を設定する場合は、アクセス トークンに iat クレーム (トークンが作成された時刻) が存在していることを確認してください。iat クレームは、サードパーティのアクセス トークンの有効期間を計算するために使用されます。たとえば、アクセス トークンの iat クレームが午後 12:00 で、アクセス トークンの有効期間が 10 分に設定されている場合、トークンは午後 12:15 まで有効であると見なされます。追加の 5 分は、コンピュータ間のクロックのずれを調整するために、トークンを検証するときに Microsoft ライブラリによって追加されます。

  5. [アクセス制御] リストで、次のいずれかのオプションを選択します。

    • [リソース]: OAuth アクセス トークンを使用して行われた REST SDK API 呼び出しにアクセス制御設定を適用するリソースを選択します。

    • [カスタム プロセス]: アクセス トークンを使用して行われた API 呼び出しにアクセス制御設定を適用するリソースの ID を返す同期プロセスを選択します。

      または、[新しいプロセスの作成] をクリックして新しいプロセスを作成することもできます。詳細については、「新しい同期マップの作成」を参照してください。

  6. 共有シークレットキーまたはパブリック キーのどちらを使用して署名を検証するかを定義します。
    1. [署名] タブをクリックします。
    2. [署名検証方法] リストで、次のいずれかのオプションを選択します。
      [共有シークレット] [パブリック キー]

      [ローカル] または [外部] を選択し、シークレット文字列を入力します。

      次のいずれかのオプションを選択します。

      • [証明書]: 証明書のパブリック キーを入力します。[証明書 1] に対するパブリック キーは必須です。最大 3 つのパブリック キーを指定できます。

      • [JSON Web キー]: JSON 形式で Web キーを入力します。

TotalAgility OAuth クライアントの削除

OAuth クライアントは削除することができます。

  1. [TotalAgility OAuth クライアント] ページで、OAuth サーバーのコンテキスト メニューから [削除] をクリックします。
  2. [OK] をクリックします。

    確定すると、OAuth クライアントが削除され、このクライアントに関連付けられている既存のアクセス トークンが無効になります。