![[8.5.5.5 以降]](../ng_v8555.gif)
ビデオ: OpenID Connect on Liberty (Liberty における OpenID Connect)
以下は、「OpenID Connect on Liberty (Liberty における OpenID Connect)」ビデオのトランスクリプトです。このビデオは、Liberty での OpenID Connect の構成方法を示しています。このトランスクリプトは、ビデオのストーリーボードです。音声は、ナレーションとキャプションを記述しています。画面上のアクションは、ビデオに表示される内容を記述したものです。
OpenID Connect on Liberty
(Liberty における OpenID Connect)
場面 | 音声 | 画面上のアクション |
---|---|---|
1 | このビデオは、WebSphere® Application Server Liberty プロファイルを使用した、シンプルな OpenID Connect の Web シングル・サインオン・シナリオのセットアップ方法を示します。 | タイトル「OpenID Connect Quick Setup」が表示されます。 |
2 | ここで、基本の「OpenID Connect」フローを説明します。ユーザーが、OpenID Connect で保護された Web アプリケーション (つまり、リライング・パーティー (RP)) に初めてアクセスしようとすると、ユーザーは OpenID Connect プロバイダーにリダイレクトされます。OpenID Connect プロバイダーはユーザーを認証し、ユーザーの許可を取得し、許可コードによって応答します。アプリケーション・コンテナーはその応答からコードを抽出し、検証のためにコードを OpenID プロバイダーに返送し、ID とアクセス・トークンを受け取ります。その結果として、ユーザーは、保護された Web アプリケーションへのアクセスを認証されます。アプリケーションは、アクセス・トークンを使用して、E メール・アドレスなどのユーザー情報を OpenID Connect プロバイダーから要求できます。また、OpenID Connect をサポートするどのサービスにもアクセスできます。このビデオでは、アプリケーションを「リライング・パーティー」(または RP) と呼び、「OpenID プロバイダー」を OP と呼んでいます。 サポートされるいくつかの OpenID プロバイダーを見てみましょう。 |
リライング・パーティー (RP)、OpenID プロバイダー (OP)、およびエンド・ユーザーを含む、基本の OpenID Connect シナリオが表示されます。 |
3 | IBM® WebSphere Liberty プロファイルを OpenID プロバイダーまたはリライング・パーティー (RP) として構成することができます。また、IBM Security Access Manager (ISAM とも呼ばれる) を OP として使用することもできます。あるいは、サポートされている数多くのサード・パーティーの OpenID プロバイダーを使用できます。 | サポートされるいくつかの OpenID プロバイダーが表示されます。
|
4 | OpenID Connect は、OAUTH 2.0 の上の識別層として多くの利点を提供します。OpenID Connect を使用して、ユーザーは、複数のサーバー、サービス、およびアプリケーションにわたる認証に使用できる単一のインターネット ID を持ちます。これにより、独自のユーザー・レジストリーが必要なくなるため、アプリケーションの保守作業の量が削減されます。 開発者にとっては、これによりパスワードを保管し管理する責任がなくなるため、ユーザーの認証作業が簡素化されます。また、OpenID Connect は、JavaScript、Ruby、node.js、または Java™ などの任意の言語で作成されたクラウド・ベース・アプリケーションおよびモバイル・アプリケーションにまでセキュリティー・サービスを拡張することができ、クラウド環境内の何百もの Liberty プロファイル・サーバーをプロビジョニングするための単一のセキュリティー・マネージャーとして機能することができます。OpenID Connect は、識別、認証、および OAuth の利点を兼ね備えているため、OAuth のみの場合と比べて大幅に改善されています。 |
OpenID Connect を使用した場合のいくつかの利点が表示されます。
|
場面 | 音声 | 画面上のアクション |
---|---|---|
5 | WebSphere Application Server Liberty プロファイルは、OpenID プロバイダー、リライング・パーティー (RP)、またはその両方として構成することができます。Liberty プロファイルを OP と RP の両方として使用したい場合は、それらを別々の Liberty プロファイル・サーバー・インスタンス上に構成する必要があります。Liberty プロファイル・サーバーを OP および RP としてセットアップして、Liberty OP と Liberty RP 間のシンプルな Web シングル・サインオン・シナリオについて検討します。 | タイトル「Setting up the Liberty profile as OpenID Connect provider and relying party」が表示されます。 |
6 | まず、OpenID プロバイダーをセットアップします。 そのためには、WebSphere Liberty 8554 以降をインストールします。これは、OpenID Connect のフィーチャーを使用するために必要です。OpenID Server のフィーチャーをインストールします。 Liberty サーバーを作成し、server.xml ファイルに OP 構成を追加します。このファイルのサンプルは、IBM developerWorks® からダウンロード可能です。 |
OP セットアップの概要が表示されています。
|
7 | まず、Liberty JAR ファイルを解凍します。これにより、wlp ディレクトリーが作成されます。wlp の下の bin ディレクトリーに移動し、featureManager install コマンドを実行して OpenID Connect Server フィーチャーをインストールします。 同じディレクトリーで server create コマンドを実行して、Liberty OP サーバーを作成します。このサーバーに oidcServer という名前を付けます。 oidcServer は、最小構成の server.xml ファイルで作成されています。この構成は、wlp/usr/server/oidcServer ディレクトリー内にあります。 ここで、作成したばかりの server.xml ファイルの内容を確認することができます。この構成は、1 つのフィーチャーとポート情報のみという非常にシンプルなものです。これを、OP サーバー構成を持つ server.xml ファイルに置換します。(画面が分割され、右側に OP 構成が表示されます。) (server.xml ファイルの更新の確認) この OP サーバー構成で、以下のことが行われます。
残りの部分は、OAuth テクノロジーを使用する OP 構成です。これには、許可を実行するリライング・パーティー (RP) に関する情報が含まれます。 追加したばかりの server.xml ファイルは、IBM DeveloperWorks からダウンロードできます。OP サーバーを開始します。これで OpenID プロバイダーのセットアップが完了したので、Liberty プロファイルのリライング・パーティー (RP) をセットアップすることができます。 |
server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
8 | リライング・パーティー (RP) をセットアップするには、OP 構成と同様に、バージョン 8.5.5.4 以降の Liberty プロファイルが必要であり、OpenID Client フィーチャーをインストールします。 別個の Liberty プロファイル・サーバーを作成し、server.xml ファイルを編集します。 次に、アプリケーションをインストールし、SSL 通信のために OpenID プロバイダーと鍵を交換します。 |
RP セットアップの概要が表示されます。
|
9 | Liberty プロファイルのバージョン 8.5.5.4 が既にこのマシンに構成されています。OpenID Client フィーチャーをインストールし、oidcRP という名前でサーバーを作成します。ここにデフォルトの server.xml ファイルがあります。これを、RP 構成を含む server.xml ファイルと比較します。フィーチャー、エンドポイント・ホスト名、鍵ストアなどのセクションは、以前に OP で確認した更新と同じものです。 今回は、OP サーバー構成の代わりに OpenID Client 構成を行います。これは、認証要求の送信先である OP の URL を指定します。 RP 構成にはアプリケーション構成も含まれており、これらのアプリケーションは認証を行うために OP に依存します。 RP にはユーザー・レジストリー構成がないことに注意してください。RP に必要な構成はこれですべてになります。テスト・アプリケーションを RP の app ディレクトリーにコピーします。RP サーバーを始動する前に、SSL 通信のために RP と OP が鍵ストア内の鍵の交換を行ったことを確認してください。このデモでは、同じ鍵ストアとパスワードを使用します。 次に、RP サーバーを始動して、セットアップが正しく行われたかどうか確認します。 |
server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
10 | OP サーバーと RP サーバーは既に始動されています。ブラウザーで、アプリケーションの URL にアクセスします。プロンプトが出されたら、OP のアカウント情報を入力します。RP が認証を実行するために OP に依存しているのが分かります。ユーザーが認証されると、RP はアプリケーション・ページをユーザーに表示します。では、この手順を実行してみましょう。 | OP/RP のセットアップをテストするデモ
|
11 | ブラウザーで、RP サーバー上のアプリケーション URL を入力します。ユーザー名とパスワードの入力を求めるプロンプトが出されます。RP は認証を OP に委任しているため、プロンプトは OP サーバーによって出されていることに注意してください。 OP アカウントの資格情報である user1 と security を入力します。これで、OP アカウントを使用して RP 上のアプリケーションに正常にログインしました。 |
OP アカウントを使用している RP 上のアプリケーションへの正常なログインを示すブラウザー・ログインのデモ。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
12 | 詳しくは、以下のオンライン・リソースを参照してください。 | 資料に関する情報を表示します。
|
OpenID Connect について詳しくは、OpenID Connect の使用 を参照してください。