![[8.5.5.5 以降]](../ng_v8555.gif)
ビデオ: Google OpenID Connect for applications on WebSphere Liberty (WebSphere Liberty 上のアプリケーションに対する Google OpenID Connect)
以下は、「Google OpenID Connect for applications on WebSphere® Liberty (WebSphere Liberty 上のアプリケーションに対する Google OpenID Connect)」ビデオのトランスクリプトです。このビデオでは、Google OpenID Connect プロバイダーを使用した、WebSphere Application Server Liberty プロファイルへの OpenID Connect の Web シングル・サインオンのセットアップ方法を示します。このトランスクリプトは、ビデオのストーリーボードです。音声は、ナレーションとキャプションを記述しています。画面上のアクションは、ビデオに表示される内容を記述したものです。
場面 | 音声 | 画面上のアクション |
---|---|---|
1 | このビデオは、Google OpenID Connect プロバイダーを使用した、WebSphere Application Server Liberty プロファイルへの OpenID Connect の Web シングル・サインオンのセットアップ方法を示します。 | タイトル「OpenID Connect Quick Setup with Google」が表示されます。 |
2 | ここでは、エンド・ユーザーから Liberty プロファイル・サーバー上のアプリケーションおよび Google OpenID プロバイダーへの「OpenID Connect」のフローが表示されます。ユーザーが、Liberty プロファイル・サーバー上の、Google OpenID Connect で保護されたアプリケーションに初めてアクセスしようとすると、ユーザーは Google OpenID プロバイダーにリダイレクトされます。ユーザーは、Google アカウントを使用することにより、Liberty プロファイル・サーバー上の保護された Web アプリケーションへのアクセスが認証されます。このビデオでは、Liberty プロファイル・サーバーを「リライング・パーティー」(または RP) と呼び、「Google OpenID Connect プロバイダー」を OP と呼びます。 | リライング・パーティー (RP)、Google OpenID Connect プロバイダー (OP)、およびエンド・ユーザーを含む、基本の Google OpenID Connect シナリオが表示されます。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
3 | Google OP で Liberty RP をセットアップするには、最初に、Liberty プロファイル・サーバーを Google OP に OpenID Connect クライアントとして登録します。 そのためには、以下の手順を実行します。
では、これらの手順を実行してみましょう。 |
タイトル「Register Liberty Profile in Google」が表示されます。
詳細情報については、https://developers.google.com/accounts/docs/OpenIDConnect ページを参照してください。 |
4 | Google Developers Console で新規プロジェクトを作成します。 | Google Developers Console で新規プロジェクトの作成デモを示します。
|
5 | 今作成したプロジェクトで、「APIs & auth」に移動し、次に「Credentials」、それから「Create new Client ID」に移動します。最初に、同意画面を構成する必要があります。 | Google Developers Console 画面が表示され、「Create new Client ID」が選択されています。 |
6 | Google OpenID プロバイダーで認証を行うと、同意画面がユーザーに表示されます。必要に応じて同意画面を構成し、Client ID の作成を続行します。アプリケーション・タイプについては、「Web application」を選択します。次に、Liberty プロファイル・サーバーのリダイレクト URI を入力します。(画面で https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP を指定します。) このリダイレクト URI は、Liberty プロファイル・サーバーの構成から取得したものです。これについては、後で説明します。ご使用サーバーのリダイレクト URI が分からない場合は、デフォルト値のままにしておき、後で更新することができます。 | Google Developers Console 画面が表示され、「Web Application」が選択されています。
|
7 | Client ID が作成された後、Client ID と Client Secret を確認できます。これらの値を書き留めておいてください。これらは、次のステップで Liberty プロファイル・サーバーを構成する時に必要になります。 | Google Developers Console 画面が表示され、Client ID と Client Secret の値を確認できます。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
8 | Google OP と連動するように Liberty プロファイルをセットアップするには、以下の手順を実行する必要があります。
|
WebSphere Liberty プロファイルのセットアップの概要が表示されます。
|
9 | 最初に、Liberty プロファイルのバージョン 8.5.5.5 をインストールします。 次に、OpenID Client フィーチャーをインストールし、GoogleRP という名前でサーバーを作成します。 wlp¥usr¥servers¥GoogleRP¥ ディレクトリーに server.xml 構成ファイルがあります。 |
server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。 |
10 | ここにデフォルトの server.xml ファイルがあります。これを、Google 構成を含む server.xml ファイルと比較してみます。 | デフォルトの server.xml ファイルが表示されます。 |
11 | 必要なフィーチャーが追加されていることを確認できます。OpenID Connect Client 構成に、Google から取得した Client ID と Client Secret が追加されています。その他の値は、Google OP のディスカバリー・エンドポイントにアクセスすることにより取得できます (ビデオには、https://accounts/google.com/.well-known/openid-configuration が表示されています)。次に、ホスト名、HTTP ポート、および HTTPS ポートを使用して SSL 構成とエンドポイント構成を追加します。 構成ファイルには、Google に依存して認証を実行するアプリケーションの構成も含まれています。 Liberty プロファイルに必要な構成はこれですべてです。 Liberty RP はこのパターン https://<hostname>:<sslport>/oidcclient/redirect/<openidConnecClient id> を使用して独自のリダイレクト URL を生成します。例えば、構成したサーバーは、https://rp-example.rtp.raleigh.ibm.com:7778/oidcclient/redirect/oidcRP の URI を持っています。これは、前に Google コンソールに入力した URI です。 |
Google から取得した Client ID と Client Secret を含む server.xml ファイルが表示されています。また、ホスト名、HTTP ポート、および HTTPS ポートが指定された SSL 構成とエンドポイント構成も含まれています。server.xml ファイルには、Google に依存して認証を実行するアプリケーションの構成も含まれています。 |
12 | 次に、app ディレクトリーにアプリケーションをインストールします。 Liberty プロファイル・サーバーを始動および停止してサーバー・リソース内の鍵ストアを取得し、Liberty プロファイル・サーバーの鍵ストアに SSL 通信用の Google 証明書があることを確認します。 注: このビデオでは証明書に関する手順は示されていませんが、参照ページに説明が記載されています。
次に、Liberty サーバーを再始動します。 |
タイトル「How to import Google certificate here」が表示されます。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
13 | 次に、構成が機能するかどうかを確認するために構成をテストします。
|
セットアップのテストのデモ
|
14 | ブラウザーに、Liberty プロファイル・サーバーで稼働しているアプリケーションの URL を入力します。Liberty プロファイルのリライング・パーティー (RP) は認証を Google OP に委任しているため、Google OP サーバーによってプロンプトが出されることに注意してください。Google アカウントの資格情報を入力します。同意画面を受け入れると、OP アカウントを使用して RP 上のアプリケーションに正常にログインします。 | OP アカウントを使用した RP 上のアプリケーションへの正常なログインを示すブラウザー・ログインのデモ。 |
場面 | 音声 | 画面上のアクション |
---|---|---|
15 | 詳しくは、以下のオンライン・リソースを参照してください。 | 資料に関する情報を表示します。
|
OpenID Connect について詳しくは、OpenID Connect の使用 を参照してください。