19 WebLogic OpenID Connectプロバイダの構成

WebLogic OpenID Connectプロバイダは、OpenID ConnectおよびOAuth 2.0標準に準拠する外部認可サーバーに格納されているユーザーおよびグループからWebアプリケーションへのアクセスを容易にする認証およびIDアサーション・プロバイダです。

ここでは、次の項目について説明します。

• WebLogic OpenID Connectプロバイダについて
• WebLogicリモート・コンソールでのWebLogic OpenID Connect IDアサーション・プロバイダの構成
• WebLogic OpenID Connectプロバイダ用のWebアプリケーションの準備

WebLogic OpenID Connectプロバイダについて

WebLogic OpenID Connectプロバイダは、認証とIDアサーションを組み合せて単一のプロバイダにします。アイデンティティ・ストアがサポートされるOpenIDプロバイダである場合は、プロバイダによって、認証済ユーザーおよびそのユーザーのグループを使用してWebLogic Serverに対してアイデンティティ(サブジェクト)が確立されます。

WebLogic OpenID Connectプロバイダは、アプリケーションに対する認証のためにIDトークンを使用し、それらを使用して認証されたサブジェクトを確立します。

ノート:

OpenIDプロバイダとWebLogic OpenID Connectプロバイダを区別することが重要です。OpenIDプロバイダは、OAuth 2.0およびOpenID Connect標準に準拠し、サービスとしての認証を提供する外部認可サーバーです。WebLogic OpenID Connectプロバイダは、認証およびIDアサーション・サービスのサポートを追加するためにセキュリティ・レルムと統合するモジュールであるWebLogicセキュリティ・プロバイダです。

WebLogic OpenID Connectプロバイダは、OIDCIdentityAsserterMBeanによって制御され、次の構成属性が含まれます。

• ClockScrew
• KeyCacheSize
• KeyCacheTTL
• RequestCacheSize
• RequestCacheTTL
• UserIDTokenClaim
• UserNameTokenClaim
• VirtualUserAllowed

これらの属性の詳細は、Oracle WebLogic Server MBeanリファレンスのOIDCIdentityAsserterMBeanに関する項を参照してください。

WebLogic OpenID Connectプロバイダは、現在、次のOpenIDプロバイダをサポートしています。

• Keycloak

• Microsoft Azure

WebLogicリモート・コンソールでのWebLogic OpenID Connect IDアサーション・プロバイダの構成

WebLogic OpenID Connectプロバイダは、Webアプリケーションの認証サービスをOpenIDプロバイダに委任する認証およびIDアサーション・プロバイダです。

1. WebLogicリモート・コンソールで、「ツリーの編集」を展開し、「セキュリティ」、「レルム」、myRealm、「認証プロバイダ」の順に移動します。
2. 「新規」をクリックします。
3. 新しいプロバイダの名前を「名前」フィールドに入力します。
4. 「タイプ」ドロップダウン・リストから、WebLogic OpenID Connectアイデンティティ・アサーション・プロバイダを選択します。
5. 「作成」をクリックします。
6. 「共通」タブで、環境に適用可能な属性を更新し、「保存」をクリックします。
7. OIDC IDアサーション・プロバイダのパラメータ・タブで、環境に適用可能な属性を更新します。
8. 「保存」をクリックします。
9. デフォルト・オーセンティケータ・プロバイダ(WebLogic認証プロバイダ)を使用している場合は、デフォルト・オーセンティケータのJAAS制御フラグ・オプションをSUFFICIENTに設定する必要があります。Oracle WebLogic Remote Consoleオンライン・ヘルプのJAAS制御フラグの設定に関する項を参照してください。
   JAAS制御フラグの説明およびドメイン内の複数の認証プロバイダがどのように相互作用するかについては、「JAAS制御フラグ・オプションの設定」および「複数の認証プロバイダの使用」を参照してください。

認証にOpenIDプロバイダを使用する前に、Webアプリケーションでいくつかの追加構成を実行する必要があります。「WebLogic OpenID Connectプロバイダ用のWebアプリケーションの準備」を参照してください。

WebLogic OpenID Connectプロバイダ用のWebアプリケーションの準備

WebLogic OpenID Connectプロバイダを使用してWebアプリケーションの認証をOpenIDプロバイダに委任する前に、OpenIDプロバイダにOAuthクライアントを作成してから、Webアプリケーションに特定のクライアント属性を含める必要があります。

アプリケーションの認証サービスの提供を担当するOpenIDプロバイダを決定するためにWebLogic Serverが使用する構成情報を含むoidcAuth.propertiesファイルを作成する必要があります。

1. WebアプリケーションのWEB-INF/ディレクトリに、新しいファイルを作成し、oidcAuth.propertiesとして保存します。
2. OpenIDプロバイダのOAuthクライアントから次の構成属性を取得し、次の形式でoidcAuth.propertiesに追加します。

   issuer=issuer identifier
   clientId=client ID
   clientSecret=client secret
   redirectUrl=redirect URL

   たとえば:

   issuer=https://example.com:8443:/realms/dev
   clientId=devclient
   clientSecret=57gw6LVlkWUTWDmbksiwH96ihFgpbF6d8
   redirectUrl=https://organization.com:7002/devapp/go

3. 変更内容を保存します。
4. アプリケーションの開発およびデプロイメント・プロセスを続行します。

ノート:

oidcAuth.propertiesに変更を加えるたびに、アプリケーションを再パッケージ化し、再デプロイしてそれらの変更を実装する必要があります。