トークン認証の前提条件

JSON Webトークン(JWT)を使用してAPIデプロイメントの認証および認可を有効にする前に、これらのタスクを実行する必要があります。

• OAuth2準拠のアイデンティティ・プロバイダ(たとえば、アイデンティティ・ドメインを使用するOCI IAM、Oracle Identity Cloud Service (IDCS)、Auth0など)が、APIデプロイメントへのアクセスを許可されたユーザーについてJWTを発行するようにすでに設定されている必要があります。
• 認可ポリシーでカスタム・クレームを使用する場合は、発行するJWTにカスタム・クレームを追加するようにアイデンティティ・プロバイダを設定する必要があります。

詳細は、アイデンティティ・プロバイダ・ドキュメント(たとえば、OCI IAM with Identity Domainsドキュメント、Oracle Identity Cloud Service (IDCS)」ドキュメント、Auth0ドキュメントを参照してください。

発行元のアイデンティティ・プロバイダによって提供された対応する公開検証キーを使用してJWTを検証するには:

• JWTの署名の生成に使用される署名アルゴリズムは、RS256、RS384またはRS512のいずれかである必要があります
• 公開検証キーの最小長は2048ビットで、4096ビットを超えることはできません

認可サーバーのイントロスペクション・エンドポイントを使用してトークンを検証するには:

• クライアント資格証明(クライアントIDおよびクライアント・シークレット)を取得するには、クライアント・アプリケーションを認可サーバーにすでに作成して登録しておく必要があります。詳細は、認証サーバー・ドキュメント(たとえば、OCI IAM with Identity Domainsドキュメント、Oracle Identity Cloud Service (IDCS)」ドキュメント、Auth0ドキュメント)を参照してください
• 認可サーバーから取得したクライアント・シークレットをシークレットとしてVaultサービスのボールトにすでに格納していること(Vaultでのシークレットの作成を参照)、およびシークレットのOCIDとバージョン番号を知っている必要があります。
• クライアント・シークレットを含むボールト・シークレットにアクセスする権限を動的グループ内のAPIゲートウェイに付与するポリシーがすでに設定されている必要があります(Vaultサービスにシークレットとして格納された資格証明へのAPIゲートウェイ・アクセスを付与するポリシーの作成を参照)。