[8.5.5.5 以降]

ビデオ: Google OpenID Connect for applications on WebSphere Liberty (WebSphere Liberty 上のアプリケーションに対する Google OpenID Connect)

以下は、「Google OpenID Connect for applications on WebSphere® Liberty (WebSphere Liberty 上のアプリケーションに対する Google OpenID Connect)」ビデオのトランスクリプトです。このビデオでは、Google OpenID Connect プロバイダーを使用した、WebSphere Application Server Liberty プロファイルへの OpenID Connect の Web シングル・サインオンのセットアップ方法を示します。このトランスクリプトは、ビデオのストーリーボードです。音声は、ナレーションとキャプションを記述しています。画面上のアクションは、ビデオに表示される内容を記述したものです。

ビデオ Google OpenID Connect for applications on WebSphere Liberty (WebSphere Liberty のアプリケーションに対する Google OpenID Connect)

表 1. タイトル・ページ. タイトルを表示し、次に基本の Google OpenID Connect シナリオを表示します。
場面 音声 画面上のアクション
1 このビデオは、Google OpenID Connect プロバイダーを使用した、WebSphere Application Server Liberty プロファイルへの OpenID Connect の Web シングル・サインオンのセットアップ方法を示します。 タイトル「OpenID Connect Quick Setup with Google」が表示されます。
2 ここでは、エンド・ユーザーから Liberty プロファイル・サーバー上のアプリケーションおよび Google OpenID プロバイダーへの「OpenID Connect」のフローが表示されます。ユーザーが、Liberty プロファイル・サーバー上の、Google OpenID Connect で保護されたアプリケーションに初めてアクセスしようとすると、ユーザーは Google OpenID プロバイダーにリダイレクトされます。ユーザーは、Google アカウントを使用することにより、Liberty プロファイル・サーバー上の保護された Web アプリケーションへのアクセスが認証されます。このビデオでは、Liberty プロファイル・サーバーを「リライング・パーティー」(または RP) と呼び、「Google OpenID Connect プロバイダー」を OP と呼びます。 リライング・パーティー (RP)、Google OpenID Connect プロバイダー (OP)、およびエンド・ユーザーを含む、基本の Google OpenID Connect シナリオが表示されます。
表 2. Google に Liberty プロファイルを登録するデモ
場面 音声 画面上のアクション
3 Google OP で Liberty RP をセットアップするには、最初に、Liberty プロファイル・サーバーを Google OP に OpenID Connect クライアントとして登録します。

そのためには、以下の手順を実行します。

  • Google Developers Console にログインし、プロジェクトを作成します。
  • 次に、そのプロジェクトに Liberty サーバーの「Client ID」を作成します。
  • Liberty プロファイルをセットアップする際に使用する Client ID と Client Secret を書き留めます。

では、これらの手順を実行してみましょう。

タイトル「Register Liberty Profile in Google」が表示されます。
  1. Google Developers Console で、プロジェクト https://console.developers.google.com を作成します。
  2. このプロジェクトで、「Credential」メニューから Client ID を作成します。
  3. Liberty プロファイルをセットアップするための、以下の情報を書き留めます。
    • Client ID
    • Client Secret

詳細情報については、https://developers.google.com/accounts/docs/OpenIDConnect ページを参照してください。

4 Google Developers Console で新規プロジェクトを作成します。 Google Developers Console で新規プロジェクトの作成デモを示します。
  • Project name - WebSphereLibertyOpenIDConnect
  • Project ID - astute-tome-859
5 今作成したプロジェクトで、「APIs & auth」に移動し、次に「Credentials」、それから「Create new Client ID」に移動します。最初に、同意画面を構成する必要があります。 Google Developers Console 画面が表示され、「Create new Client ID」が選択されています。
6 Google OpenID プロバイダーで認証を行うと、同意画面がユーザーに表示されます。必要に応じて同意画面を構成し、Client ID の作成を続行します。アプリケーション・タイプについては、「Web application」を選択します。次に、Liberty プロファイル・サーバーのリダイレクト URI を入力します。(画面で https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP を指定します。) このリダイレクト URI は、Liberty プロファイル・サーバーの構成から取得したものです。これについては、後で説明します。ご使用サーバーのリダイレクト URI が分からない場合は、デフォルト値のままにしておき、後で更新することができます。 Google Developers Console 画面が表示され、「Web Application」が選択されています。
  • 「Authorized JavaScript Origins」は「https://www.example.com」に設定されています。
  • 「Authorized Redirect URIs」は「https://www.example.com/oauth2callback」に設定されています。
7 Client ID が作成された後、Client ID と Client Secret を確認できます。これらの値を書き留めておいてください。これらは、次のステップで Liberty プロファイル・サーバーを構成する時に必要になります。 Google Developers Console 画面が表示され、Client ID と Client Secret の値を確認できます。
表 3. WebSphere Liberty プロファイルを構成するデモ
場面 音声 画面上のアクション
8 Google OP と連動するように Liberty プロファイルをセットアップするには、以下の手順を実行する必要があります。
  • バージョン 8.5.5.5 以降の Liberty プロファイルをインストールする
  • OpenID Client フィーチャーをインストールする
  • Liberty プロファイル・サーバーを作成する
  • Google 情報を使用して server.xml 構成を編集する
  • Google アカウントを認証用に使用するアプリケーションをインストールする
  • そして最後に、Google 証明書を SSL 通信用の鍵ストアにインポートする
WebSphere Liberty プロファイルのセットアップの概要が表示されます。
  1. WebSphere Liberty 8.5.5.5 以降のベータをインストールする > java -jar wlp-developers-runtime-8.5.5.5.jar
  2. OpenID Client フィーチャー (ダウンロードは不要) をインストールする > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Liberty サーバーを作成する > server create GoogleRP  
  4. 追加構成によって server.xml を編集する (サンプルのダウンロードが可能)
    • 必須フィーチャー
    • SSL 鍵ストア
    • OpenID クライアント
    • アプリケーション
  5. 認証に Google アカウントを使用するアプリケーションをインストールする > アプリケーション ear/war ファイルを app ディレクトリーにコピーする。
  6. Google 証明書を SSL 通信用の鍵ストアにインポートする。
9 最初に、Liberty プロファイルのバージョン 8.5.5.5 をインストールします。

次に、OpenID Client フィーチャーをインストールし、GoogleRP という名前でサーバーを作成します。

wlp¥usr¥servers¥GoogleRP¥ ディレクトリーに server.xml 構成ファイルがあります。

server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。
10 ここにデフォルトの server.xml ファイルがあります。これを、Google 構成を含む server.xml ファイルと比較してみます。 デフォルトの server.xml ファイルが表示されます。
11 必要なフィーチャーが追加されていることを確認できます。OpenID Connect Client 構成に、Google から取得した Client ID と Client Secret が追加されています。その他の値は、Google OP のディスカバリー・エンドポイントにアクセスすることにより取得できます (ビデオには、https://accounts/google.com/.well-known/openid-configuration が表示されています)。次に、ホスト名、HTTP ポート、および HTTPS ポートを使用して SSL 構成とエンドポイント構成を追加します。

構成ファイルには、Google に依存して認証を実行するアプリケーションの構成も含まれています。

Liberty プロファイルに必要な構成はこれですべてです。

Liberty RP はこのパターン https://<hostname>:<sslport>/oidcclient/redirect/<openidConnecClient id> を使用して独自のリダイレクト URL を生成します。例えば、構成したサーバーは、https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP の URI を持っています。これは、前に Google コンソールに入力した URI です。

Google から取得した Client ID と Client Secret を含む server.xml ファイルが表示されています。また、ホスト名、HTTP ポート、および HTTPS ポートが指定された SSL 構成とエンドポイント構成も含まれています。server.xml ファイルには、Google に依存して認証を実行するアプリケーションの構成も含まれています。
12 次に、app ディレクトリーにアプリケーションをインストールします。

Liberty プロファイル・サーバーを始動および停止してサーバー・リソース内の鍵ストアを取得し、Liberty プロファイル・サーバーの鍵ストアに SSL 通信用の Google 証明書があることを確認します。

注: このビデオでは証明書に関する手順は示されていませんが、参照ページに説明が記載されています。

次に、Liberty サーバーを再始動します。

タイトル「How to import Google certificate here」が表示されます。
表 4. セットアップのテストのデモ
場面 音声 画面上のアクション
13 次に、構成が機能するかどうかを確認するために構成をテストします。
  • ブラウザーで、アプリケーションの URL にアクセスします。
  • プロンプトが出されたら、Google アカウント情報を入力します。
  • アプリケーションが、認証を行うために Google にリダイレクトしているのが分かります。
  • ユーザーが認証されると、RP はユーザーにアプリケーション・ページを表示します。
  • では、この手順を実行してみましょう。
セットアップのテストのデモ
  1. WebSphere Liberty サーバーを始動する > server start oidcRP
  2. ブラウザーで、Liberty サーバーのアプリケーション・ログイン・ページを指定する > http://rp-example.rtp.raleigh.ibm.com:7777/testpage
  3. プロンプトが出されたら、Google ユーザー ID とパスワードを入力する > xxx.yyy@gmail.com / mypassword
  4. アプリケーションが Google に依存して認証を実行する
  5. ユーザーが正常に認証される
14 ブラウザーに、Liberty プロファイル・サーバーで稼働しているアプリケーションの URL を入力します。Liberty プロファイルのリライング・パーティー (RP) は認証を Google OP に委任しているため、Google OP サーバーによってプロンプトが出されることに注意してください。Google アカウントの資格情報を入力します。同意画面を受け入れると、OP アカウントを使用して RP 上のアプリケーションに正常にログインします。 OP アカウントを使用した RP 上のアプリケーションへの正常なログインを示すブラウザー・ログインのデモ。
表 5. 結び. Google を使用する OpenID Connect に関する詳細情報がある場所を示します。
場面 音声 画面上のアクション
15 詳しくは、以下のオンライン・リソースを参照してください。 資料に関する情報を表示します。
WebSphere Liberty ダウンロード・ページ
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
OpenID Connect フィーチャーのインストール
Server: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
IBM® Knowledge Center - OpenID Connect のメインページ
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
すべての OpenID Connect 属性については、以下を参照してください。
http://www-01.ibm.com/support/knowledgecenter/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/twlp_config_oidc_rp.html?cp=SSEQTP_8.5.5%2F1-3-11-0-4-2-9-2
IBM DeveloperWorks OpenID Connect の記事
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html
YouTube の WebSphere Liberty OpenID Connect のセットアップ・ビデオ
http://youtu.be/fuajCS5bG4c
Google セットアップ「OpenID Connect (OAuth 2.0 for Login)」
https://developers.google.com/accounts/docs/OpenIDConnect

OpenID Connect について詳しくは、[8.5.5.5 以降]OpenID Connect の使用 を参照してください。


トピックのタイプを示すアイコン 概念トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=video_transcript_oidc_google
ファイル名: video_transcript_oidc_google.html