Oracle Mobile Hubアプリケーションの認証戦略について
Oracle Mobile Hubでは、すべてのリソースが保護されており、これらのリソースへのアクセスが許可されている認証ユーザーによってのみアクセスできます。モバイル・バックエンドで1つ以上の認証メソッドを有効にし、これらのメソッドのいずれかを使用するアプリケーション・コードを記述できます。
他のOracle Cloud SaaSサービスとの認証を目的として、最も重要な認証方法はEnterprise Single Sign-On (SSO)およびOAuth Consumerです。認証の設定方法を決定する際には、Oracle Mobile Hub APIにアクセスするためのクロスオリジン・リソース共有(CORS)の保護についても考慮する必要があります。
Oracle Mobile Hubでのエンタープライズ・シングル・サインオンについて
Oracle Mobile HubでエンタープライズSSOが機能するように設定するには、次のいずれかの方法を使用します:
- Oracle Mobile Hubを使用したブラウザベースのSSO。アプリは、ブラウザにOracle Mobile Hub SSO URLを開き、一連のリダイレクト後にリモート・アイデンティティ・プロバイダのログイン画面を表示します。ユーザーが資格証明を正常に入力すると、ユーザーはOAuthトークンを受け取ります。このトークンは、後続のOracle Mobile Hub APIコールごとにBearerトークンとして含めます。
- サードパーティのSAMLトークンおよびJWTトークン。アプリケーションは、信頼できるサード・パーティ発行者からトークンを取得し、Oracle Mobile Hubトークン交換エンドポイントにAPIコールを行い、発行されたトークンを受け取ります。このトークンは、後続のOracle Mobile Hub APIコールごとにBearerトークンとして含めます。
Oracle Mobile HubでのOAuthコンシューマ認証について
Oracle Mobile HubのすべてのカスタムAPIについて、認証が必要かどうかを決定します。これにより、使用されるOAuthフローが決定されます。認証アクセスには、リソース所有者のパスワード資格証明の付与を使用します。未認証アクセスの場合は、クライアント資格証明の付与を使用します。
OAuth 2.0は、明示的にRESTを使用して設計されています。モバイル・アプリを含め、REST APIにアクセスする様々なクライアント・タイプをサポートします。セキュアなAPIは、モバイル・アプリが有効なOAuthアクセス・トークンを発行した後にのみ使用できます。
OAuthのOracle Mobile Hub実装により、Oracle Mobile Hubは、個別のサービスごとに個別のログインを必要とせずに、権限を管理し、アプリケーションにサービスへのアクセス権を付与できます。資格証明は、モバイル・バックエンドごとに発行されます。モバイル・バックエンドに登録されている各モバイル・アプリは、これらの資格証明を使用して、そのモバイル・バックエンドに関連付けられているAPIで認証します。
モバイル・アプリケーションがOracle Mobile Hub APIにアクセスするには、まずOracle Mobile Hub OAuthサーバーに登録する必要があります。登録は通常は1回のタスクで、モバイル・バックエンドの作成時に実行できます。登録すると、取り消すまで有効です。