GeneXus Access Manager を使用するアプリケーションは、
ID プロバイダーとして機能します。ID プロバイダーと 1 つ以上のクライアントアプリケーションがある場合、アプリケーションは GAM のリモート認証タイプを使用して ID プロバイダー (今後、サーバー) による認証を行います。
クライアントアプリケーションは、それぞれ異なる GAM データベースに接続され、
[ Integrated Security Level ] プロパティが有効になっている場合があります。または、ソリューションによっては、すべてのクライアントアプリケーションが同じ GAM データベースを使用する場合もあります。詳細については、
SAC #43517 を参照してください。
クライアントが認証する際の動作は、セッションが ID プロバイダーで生成され、それが有効である間、アプリケーションはそのセッションを使用するため、アプリケーションが Facebook や Twitter に対して認証する際の動作と同じです。
そのため、
アプリケーションにシングル サイン オンを実装するのに、この機能が非常に役立ちます。
この認証タイプを機能させるために必要な設定は次のとおりです:
- ID プロバイダー (サーバー) はクライアントアプリケーション URL を使用して設定されているため、その情報をサーバーの管理者に渡す必要があります。
- 手順 1 のクライアントアプリケーション URL 情報を前提に、ID プロバイダーに新しい GAM アプリケーションを定義する必要があります。管理者は、クライアント ID およびクライアントシークレットの値を使用してアプリケーションを設定します。その後、GAM の設定を担当するクライアントの管理者にこれらの値を渡す必要があります。
- GAM クライアントで、(前の手順で) ID プロバイダーの管理者から渡されたアプリケーション資格情報 (クライアント ID とクライアントシークレット) を使用して GAM リモート認証タイプを設定します。リモートサーバーの URL も必要です。
詳細については、「
ID プロバイダーの設定」および「
クライアントの設定」を、参照してください。
「
スマートデバイス用の GAM リモート認証タイプ」を参照してください。
- ID プロバイダーを介して認証を行うと、ID プロバイダーの GAM と同じ GAM ユーザー GUID を使用して、クライアントの GAM データベースにユーザーが作成または更新されます。パスワードは ID プロバイダーの GAM にのみ格納されます。
- ID プロバイダーのデータベースからクライアントに転送される既定のデータは次のとおりです: GUID、ユーザー名、電子メール、名、姓、外部 ID、誕生日、性別、画像の URL、プロファイルの URL、電話、住所、市町村、都道府県、郵便番号、言語、タイムゾーン。
- 追加データ (GAM ユーザーの動的項目属性など) を渡す必要がある場合は、GAM のリモート認証タイプ設定で "gam_user_additional_data" 追加スコープを追加し、ID プロバイダーの設定で "Can get user additional data" を確認する必要があります。GeneXus 16 upgrade 7 以降、&AuthenticationTypeGAMRemote.GAMRemote.AddUserAdditionalDataScope プロパティがあり、クライアントで "gam_user_additional_data" を自動的に設定します。
- 適用可能なパスワードの セキュリティポリシーは、ID プロバイダーの GAM のセキュリティポリシーです。
- パスワードに関連しない適用可能なセキュリティポリシーは、クライアントの GAM データベースのセキュリティポリシーになります。
- 必要な情報を、サーバーとクライアントにも設定する必要があります。このため、サーバーのセキュリティポリシーで電子メールアドレスが必要な場合は、その入力が求められます。同様に、クライアントの GAM でその他のデータが必要とされる場合は、それも入力するように求められます。
「
GAM を使用したシングル サイン オンのログアウトオプション」を参照してください。
ID プロバイダーは、すべての認証タイプ (ローカル、カスタム、OAuth 2.0、Google など) を使用できます。
GAM のリモート認証のソリューションは
OAuth 2.0 に基づいています。
GAM を使用したアプリケーションのシングル サイン オン
SSO を使用したアプリケーションのロールの管理