アイデンティティ伝播認証メソッドはどのように機能しますか。

アイデンティティ伝播を使用する認証メソッドは、ログイン・ユーザーのアイデンティティを認証のためにサービスに渡します。

アイデンティティ伝播を使用するには、サービスでVisual BuilderからのIDCSアイデンティティ・トークンを理解し、そこからユーザー(またはサブジェクト)を抽出できる必要があります。 Visual Builderは、OAuth 2.0ユーザー・アサーション・フローを使用して調達されたIDCSによって発行されたJWTトークンをサポートします。

トークンは、SAMLやJWT形式など、異なる仕様に従ってコール元ユーザー・アイデンティティを文字列にエンコードする方法です。たとえば、ユーザーがJohn.Doeの場合、対応するJWTトークンは< header.body.signature > の形式をとり、次のようになります:

「図auth-jwt-token.pngの説明」

トークンの本文をデコードすると、ユーザー・アイデンティティおよびそのユーザーがアクセスを許可されているリソースに関する詳細が表示されます。シグネチャ部分は、ユーザーを認証した権限によって暗号化され、権限公開キーを使用して簡単に検証できます。有効なユーザー・アイデンティティがトークンにエンコードされるため、このトークンを受け取るサービス(REST API)はユーザーを認証済とみなすことができます。このトークンは通常、認可ヘッダーで" 「ベアラー<token>」 "として渡すことによってRESTサービスに渡されます。

アイデンティティ伝播を使用する認証メソッドは次のとおりです:

認証方式説明

認証方式	説明
Oracle Cloudアカウント	Oracle Cloudアプリケーション・サービスと通信するには、このメソッドを選択します。このメソッドを選択すると、ユーザーは、Visual Builderに関連付けられたOracle Identity Cloud Service (IDCS)内の有効なアカウントの資格証明を使用してサインインする必要があります。ユーザーのアイデンティティは、ユーザー・アサーションに変換され、次に、コールされるサービスのベースURLと同等のスコープのアイデンティティCS発行のJWTトークンに変換されます。たとえば、サービスのURLが`https://fa.oraclecloud.com/myservice`の場合、トークンは`https://fa.oraclecloud.com`のスコープに対して作成されます。
OAuth 2.0 User Assertion	このメソッドを選択すると、Oracle Identity Cloud Service (IDCS)内の特定のスコープを持つリソース・アプリケーションとして表すことができる外部システムのサービスがコールされます。また、ユーザーは有効なOracle Identity Cloud Serviceユーザー・アカウントを使用して署名する必要があります。 Oracle Cloudアカウント認証と同様に、ユーザー・アイデンティティはまずアサーションに変換され、次に構成したスコープのIDCS発行のJWTトークンに変換されます。違いは、このメソッドでは、サービスのURLを使用するのではなく、「独楽」スコープを指定できることです。
認証の委任(非推奨)	ノート: このメソッドは非推奨であり、お薦めしません。このメソッドは、以前は「Propagate Current User Identity」と呼ばれていました。このメソッドでは、サービス接続に独自の認証はありませんが、その認証をコールしているアプリケーションに委任します。次のことが適用されます: アプリケーションは、セキュリティのためにOracle Cloudアカウント・オプションのみを使用できます(webApp→「設定」→「セキュリティ」で設定)。サービスがアプリケーションからコールされると、デフォルトでOracle Cloudアカウント認証が適用されます。ユーザーのアイデンティティはアサーションに変換され、次にアイデンティティCS発行のJWTトークンに変換されます。サービスが(「サービス接続のテスト」タブから)サービス・テスターからコールされると、Visual Builderにログインしているユーザーのアイデンティティがトークンに変換され、サービスに渡されます。これは、Oracle Cloudアカウント認証での処理と同様です。実行時に使用される実際の認証は、コール元のwebアプリケーションのセキュリティ設定に依存するため、OAuthベースの暗黙的な付与認証を使用するWebアプリケーションでのみ使用することをお薦めします。

Oracle Cloudアカウント

Oracle Cloudアプリケーション・サービスと通信するには、このメソッドを選択します。このメソッドを選択すると、ユーザーは、Visual Builderに関連付けられたOracle Identity Cloud Service (IDCS)内の有効なアカウントの資格証明を使用してサインインする必要があります。ユーザーのアイデンティティは、ユーザー・アサーションに変換され、次に、コールされるサービスのベースURLと同等のスコープのアイデンティティCS発行のJWTトークンに変換されます。たとえば、サービスのURLがhttps://fa.oraclecloud.com/myserviceの場合、トークンはhttps://fa.oraclecloud.comのスコープに対して作成されます。

OAuth 2.0 User Assertion

このメソッドを選択すると、Oracle Identity Cloud Service (IDCS)内の特定のスコープを持つリソース・アプリケーションとして表すことができる外部システムのサービスがコールされます。また、ユーザーは有効なOracle Identity Cloud Serviceユーザー・アカウントを使用して署名する必要があります。 Oracle Cloudアカウント認証と同様に、ユーザー・アイデンティティはまずアサーションに変換され、次に構成したスコープのIDCS発行のJWTトークンに変換されます。違いは、このメソッドでは、サービスのURLを使用するのではなく、「独楽」スコープを指定できることです。

認証の委任(非推奨)

ノート:

このメソッドは非推奨であり、お薦めしません。

このメソッドは、以前は「Propagate Current User Identity」と呼ばれていました。

このメソッドでは、サービス接続に独自の認証はありませんが、その認証をコールしているアプリケーションに委任します。次のことが適用されます:

アプリケーションは、セキュリティのためにOracle Cloudアカウント・オプションのみを使用できます(webApp→「設定」→「セキュリティ」で設定)。サービスがアプリケーションからコールされると、デフォルトでOracle Cloudアカウント認証が適用されます。ユーザーのアイデンティティはアサーションに変換され、次にアイデンティティCS発行のJWTトークンに変換されます。
サービスが(「サービス接続のテスト」タブから)サービス・テスターからコールされると、Visual Builderにログインしているユーザーのアイデンティティがトークンに変換され、サービスに渡されます。これは、Oracle Cloudアカウント認証での処理と同様です。

実行時に使用される実際の認証は、コール元のwebアプリケーションのセキュリティ設定に依存するため、OAuthベースの暗黙的な付与認証を使用するWebアプリケーションでのみ使用することをお薦めします。