OpenID Connectアプリケーションのフェデレーション設定をする
OpenID Connectアプリケーションのフェデレーション設定を行います。
- 「アプリケーション」の「アプリケーションの管理」 をクリックします。
OpenID Connectアプリケーションの「編集する」をクリックします。
「フェデレーション設定」をクリックします。
各項目に入力して、「変更を適用する」をクリックします。
用語 内容 Discoveryエンドポイント OpenIDプロバイダに関する情報を取得します
【参考】
画面のカスタマイズを有効にしている場合、AuthorizationエンドポイントのURLは以下を利用します。
- https://www.auth.iij.jp/op/authorization?tenant_hint=<画面のカスタマイズを有効にするURLのサブドメイン名>
クライアント ID アプリケーションのクライアントID クライアント シークレット アプリケーションのクライアント シークレット 標準スコープ ログイン時の認可画面をスキップしたい場合、利用するスコープを選択してください
RPからの認証リクエストで要求されるスコープがすべて標準スコープに含まれている場合、認可画面がスキップされます
※ 認可はユーザがアプリケーションに対して自身のデータの提供を許可する仕組みです。標準スコープでは管理者が各ユーザのデータを管理しているという前提で、認可画面をスキップさせることができます
アプリケーションのトップページURL
マイアプリケーションのアイコンをクリックしたときの遷移先URLを入力します リダイレクトURL(複数入力可能)
認可リクエストのredirect_uriパラメータに許可するURLを入力します
※ リダイレクトURLを複数設定する場合には、「+要素を追加する」をクリックし、入力欄を追加してください
※ Implicit Flowを使用する場合はhttpsスキームを指定しなければなりません。Authorization Code Flowを使用する場合はhttpsスキームが推奨されます
【参考】
外部サービスへ認証連携を行うために必要なOpenID ConnectのIDプロバイダ情報は、「フェデレーション設定」タブに表示されます。
提供される属性情報
本サービスから提供される属性情報は以下の通りです。
| フィールド名 | 例 | 内容 | scope |
|---|---|---|---|
| sub | 52dfd81... | 一意となるユーザの識別子 | openid |
| name | IIJ 太郎 | 氏名 | profile |
| family_name | IIJ | 氏名(姓) | profile |
| given_name | 太郎 | 氏名(名) | profile |
| family_name_kana | アイアイジェイ | 氏名カナ(姓) | profile |
| given_name_kana | タロウ | 氏名カナ(名) | profile |
| preferred_username | iij-taro@example.jp | ユーザID | profile |
| locale | ja-JP | 言語 | profile |
| updated_at | 1459436400 | 属性情報の最終更新日時を表すUNIX Epoch値 | profile |
| iij-taro@example.jp | 通知先メールアドレス | ||
| config_code | asiida-000000000000A | 本サービスの構成コード | iid_contract |
| service_code | iid00000000 | 本サービスのサービスコード | iid_contract |
| iid_roles | ["admin"] | ユーザの権限 | iid_roles |