| GAM リモート REST 認証タイプのクライアント側の設定 | |
GAM リモート REST 認証タイプ (OAuth 2.0) では、クライアントおよび ID プロバイダー (IDP) の両方で GAM の設定を行う手順があります。
クライアント側の設定を次に示します。
GAM リモート REST 認証タイプを設定します。
- [ Function ] 。有効な値は [ Only Authentication ] および [ Authentication and roles ] です。後者の場合、ユーザーロールが IDP からクライアントに送信されます。ロールはクライアントおよびサーバーの両方で定義する必要があります。外部 ID はクライアントおよびサーバーで同じである必要があります。これは SSO を使用したアプリケーションのロールの管理の条件と同じです。
- [ Client Id ] および [ Client secret ] 。クライアント ID およびクライアントシークレットは、サーバー側の GAM アプリケーションの設定と同じである必要があります。
- [ Version path ] 。認証の解決のために呼び出すサービスのバージョンを指定します。既定では (指定がなかった場合は) v2.0 になります。場合によっては、ID プロバイダーに対して、旧バージョン (GeneXus 16 Upgrade 7 より前のバージョン) の GAM リモート REST 認証タイプを設定する必要があります。このような場合は、このプロパティを v1.0 に設定します。これにより、最新のバージョン ($ServerURL/oauth/gam/v2.0/access_token) ではなく、旧バージョンのサービス (ServerURL/oauth/gam/accesstoken) が呼び出されます。
クライアントアプリケーションは、認証されたユーザーに追加情報をリクエストできます。このとき、次の 2 つの適用範囲があります:
- [ Add gam_user_additional_data scope? ] 。ID プロバイダーにユーザーの拡張項目属性をリクエストします。
- [ Add gam_session_initial_prop scope? ] 。ユーザーがセッションを開始したときに設定されたプロパティを ID プロバイダーに求めることができます (「ログイン時に送信および受信プロパティを設定する方法」を参照)。この情報を正常に取得するには、これらの適用範囲をクライアントアプリケーションと共有するように IDP 内で設定する必要があります。
- [ Additional scope ] 。ユーザーに関する追加情報を取得するために IDP に送信する適用範囲です。
これらの適用範囲を評価するには、プロシージャーを作成し、GAM Repository_Login イベントをサブスクライブします (「GAM イベントのサブスクリプション」を参照)。
そのイベントで初期プロパティも評価できます。
- [ Remote Server authentication type name ] 。IDP の認証タイプの名前です。既定では IDP の [ Default Authentication Type ] プロパティになります。
- [ Remote server URL ] 。ID プロバイダーの URL です。http://<サーバー>/<ベース URL> などのベース URL です。
- [ Private encryption key ] 。REST サービス間の呼び出しを暗号化できます。IDP およびクライアントで同じ鍵が設定されている必要があります (これは v2.0 の REST サービス実装でのみ有効です)。
- [ Repository GUID ] 。IDP のリポジトリの GUID を指定します。IDP の GAM がマルチテナントの場合にのみ必要です。
|
|
|
|
|