アプリケーションで認証プロバイダを使用するように構成します。SystemLink Enterpriseでは、OpenID Connectプロトコルを使用して外部の認証プロバイダからユーザを認証することができます。

始める前に、使用する認証プロバイダにSystemLink Enterpriseをクライアントとして登録します。登録の手順については、認証プロバイダのドキュメントを参照してください。登録にはアプリケーションのUIホスト名を使用します。
登録すると、認証プロバイダからアプリケーションのclient idclient secret値が提供されます。プロバイダによっては、JSON Webキーセット (JWKS) が提供される場合もあります。SystemLink Enterpriseを構成するには、これら以外に認証プロバイダのURLが必要です。
  1. systemlink-values.mdfを開きます。
  2. webserver.oidc.issuerを認証プロバイダのURLに設定します。以下のURLを使用して、プロバイダのログインリダイレクトを構成します。[プロトコル]://[UIホスト名]/oidc/callback
  3. 以下のパラメータを、登録時に受け取った値に設定します。
    • webserver.secrets.oidc.clientId
    • webserver.secrets.oidc.clientSecret
    • webserver.secrets.oidc.jwks
    メモ シークレットの管理にHelmを使用していない場合は、OpenID Connectシークレットを手動で構成する必要があります。
  4. オプション: SystemLink Enterpriseが要求するOpenID Connectのスコープを選択するには、webserver.oidc.scope値を構成します。デフォルトでは、SystemLink Enterpriseはopenidemailprofileの各スコープを要求します。openidスコープは必須です。profileスコープとemailスコープは、UIのユーザ詳細の入力に使用されます。他のスコープは、アプリケーションでユーザ役割を割り当てる際に役立ちます。使用可能なスコープについては、お使いの認証プロバイダのドキュメントを参照してください。
    メモ ユーザが https://<systemlink-host>/oidc/user-info に記録されているユーザ要求を表示できるようにするには、offline_accessスコープを含めます。こうすることで、OIDC要求マッピングのセットアップ時に使用したい要求が SystemLinkで確実に使用可能になります。
  5. 認証プロバイダが各ユーザーのユーザ識別トークンとともに以下の最小限の要求を返すことを確認します。
    • Eメール
  6. オプション: webserver.oidc.userIDClaim値を構成します。この値は、SystemLink Enterpriseがユーザを識別するのに使用するOpenID Connect要求です。デフォルトでは、SystemLink EnterpriseはユーザのEメールアドレスを使用します。
    メモ 製品の使用を開始した後でこの値を変更すると、すべてのユーザ権限が失われます。
  7. オプション: SystemLink Enterpriseが特定のユーザのユーザ名として使用するOpenID Connect要求を構成します。デフォルトでは、これはnameプロパティとなります。この設定は、UIでのユーザの表示方法にのみ影響します。
  8. オプション: クラスタでは、OpenID Connect認証プロバイダにアクセスするためにプロキシサーバが必要となる場合があります。その場合は、webserver.proxy.authorityにプロキシサーバのホスト名とポートを設定します。
  9. オプション: プロキシサーバに資格情報が必要な場合は、webserver.proxy.secretnameに付いているコメント記号を外します。
  10. オプション: systemlink-secrets.yamlwebserver.secrets.proxy.usernamewebserver.secrets.proxy.passwordを構成するか、これらのシークレットを手動でデプロイします。