1. OAuthおよびOpenID Connectを使用して、アプリケーションをOracle Identity Cloud Serviceと統合します
  2. Oracle Identity Cloud ServiceとのWebアプリケーションの統合について

Oracle Identity Cloud ServiceとのWebアプリケーションの統合について

認証の目的でWebアプリケーションをOracle Identity Cloud Serviceと統合する1つの方法として、OAuth 2.0やOpenID Connect 1.0などの業界標準のプロトコルおよびレイヤーがあります。

ほとんどの最新のWebアプリケーション開発フレームワークでは、付属のモジュールまたはライブラリを介して、OpenID ConnectプロバイダとのOpenID Connect 1.0の統合がサポートされています。このソリューションでは、Java Webアプリケーションの顧客見積を使用します。顧客見積りは、Idトークンおよびアクセス・トークンを取得するためのHTTPリクエストをOracle Identity Cloud Service REST APIエンドポイントに送信および受信します。

OAuth 2.0およびOpenID 1.0 Connectについて

OAuth 2.0およびOpenID Connectを使用して、Oracle Identity Cloud Serviceをカスタム・アプリケーションと統合できます。

Oracle Identity Cloud Serviceでは、フェデレーテッド・シングル・サインオン(SSO)およびカスタムWebアプリケーションとの認可統合に対して次のプロトコルをサポートしています。

  • OAuth 2.0:サード・パーティの認可リクエストに一般的に使用される認可プロトコル。

  • OpenID接続1.0: OpenID接続1.0は、OAuth 2.0プロトコルの上部に単純なアイデンティティ・レイヤーです。

標準プロトコルを使用すると、次のことが可能になります。

  • OAuth 2.0およびOpenID Connect 1.0サード・パーティ・ライブラリとフレームワークを使用して、Webアプリケーションを開発します。

  • カスタムWebアプリケーションとOracle Identity Cloud Serviceの間にSSOがフェデレートされます。ユーザーは一度だけサインインして、すべての統合アプリケーションにアクセスできます。Oracle Identity Cloud Serviceは、認証と資格証明の検証を実行します。

  • サード・パーティのサーバーに対する操作へのアクセスを認可します。ユーザーがサインインし、Oracle Identity Cloud Serviceでユーザー・アクセス・トークンが発行されると、Webアプリケーションはアクセス・トークンを使用してOracle Identity Cloud Serviceにコールし、関連するユーザー・コンテンツをリクエストできます。

アーキテクチャ

Webアプリケーションは、OpenID Connect 1.0プロトコルを使用して、Oracle Identity Cloud Serviceと統合できます。

デモンストレーション用のこのソリューションでは、顧客見積アプリケーションを使用します。この図は、OpenID Connect 1.0プロトコルを使用して、顧客見積アプリケーションとOracle Identity Cloud Serviceを統合する例を示しています。

次の図に、OpenID Connect 1.0プロトコルを使用して、顧客見積アプリケーションとOracle Identity Cloud Serviceを統合する例を示します。セキュリティ上の目的から、3つのleggedフローを使用してWebアプリケーションを認証用にOracle Identity Cloud Serviceと統合します。
openid-authorization-code-grant-type.pngの説明が続きます
画像openid-authorization-code-grant-type.pngの説明

顧客見積統合の例は、次の手順で構成されています。

  1. ユーザーが保護されたURLをリクエストします。

  2. Oracle Identity Cloud Service「サインイン」ページが表示されます。

  3. ユーザーは、自分のログイン資格証明を送信します。

  4. Oracle Identity Cloud Service承認コードを顧客見積アプリケーションの例に発行します。

  5. 顧客見積アプリケーション例では、Oracle Identity Cloud Service REST APIエンドポイントを呼び出して、ユーザー・アクセス・トークンの承認コードを交換します。

  6. 顧客見積アプリケーションの例では、ユーザーのコンテンツが表示されます。

必要なサービス、製品およびロールについて

このソリューションには次のサービスと製品が必要です。

  • Oracle Identity Cloud Service

  • 顧客見積アプリケーション

  • NetBeans IDE8.1

  • Java SDK

Oracle Identity Cloud Serviceでユーザーのサインイン資格証明が検証されると、ユーザーのWebブラウザが顧客見積りアプリケーションにリダイレクトされ、アプリケーションに認可コードが送信されます。顧客見積アプリケーションを使用してOracle Identity Cloud Serviceと通信し、アプリケーションが関連するユーザー・コンテンツを表示できるユーザー・アクセス・トークンの承認コードを交換します。

これらはOracle Identity Cloud Serviceに必要なロールです。

ロール... 必須...
アイデンティティ・ドメイン管理者、セキュリティ管理者またはアプリケーション管理者 Oracle Identity Cloud ServiceでWebアプリケーションを構成してアクティブにします。

Oracle SolutionsのOracle Cloudサービスを利用して、必要なクラウド・サービスを取得する方法について学習します。