OpenID Connect の設定
はじめに
GO-Globalを導入する上で、安全かつ信頼性の高い認証設定は不可欠です。この技術ガイドでは、Azure Entra ID、ADFS、Oracle Identity Cloud、Okta、ManageEngine Identity Manager Plus、KeyCloak、Google Workspaceといった主要なIDプロバイダーにおけるOpenID Connect(OIDC)の設定手順を、管理者向けに詳しく解説します。 明確で段階的な手順により、GO-Global Hostが最新のIDプラットフォームと正しく統合され、シームレスなユーザーアクセスとセキュリティの向上が実現されます。
Azure
GO-Global Host に接続するユーザーを認証するために Microsoft EntraID(旧 Azure AD)と連携する Azure アプリケーション登録を作成するには、以下の手順が必要です。この設定では、Microsoft Identity バージョン 2.0 向けの OAuth 2.0 が使用されます。
ステップ1:新しいアプリケーションを登録する
- 以下のURLにアクセスしてください:https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
- 新しいアプリケーションを登録する:
- 「 サポート対象のアカウントタイプ」で、「この組織ディレクトリ内のアカウントのみ(デフォルトディレクトリのみ - シングルテナント)」を選択します
- 「 リダイレクト URL」で、「タイプ」として「Web」を選択します。「値」には、ドメインのリダイレクト URL を入力します。例:https://example.com/callback.html
ステップ 2: ブランディングとプロパティの設定
「ブランディングとプロパティ」で、パブリッシャードメインが正しいドメインに設定されていることを確認してください。例:example.com
ステップ3:クライアントシークレットを作成する
- 「証明書とシークレット」に移動します。
- 「新しいクライアントシークレット」をクリックし、オプションを設定してください。
- シークレット値をコピーし、安全な場所に保管してください。
ステップ4:トークン設定を行う
- 「トークン設定」に移動します。
- 「オプションの請求を追加」をクリックします。
- 設定:
- トークンタイプ:ID
- 主張:UPNを選択
- 「追加」をクリックします。
- 「Microsoft Graph プロファイルのアクセス許可を有効にする」オプションを有効にします。
- 「追加」をクリックして保存してください。
注:
Azure Active Directory B2C でアプリ登録を設定する場合、Azure Portal のユーザー インターフェースには [トークン構成] ブレード はありません。その代わりに、マニフェスト JSON を通じてoptionalClaims を追加してください。
例:
"optionalClaims": {
"accessToken": [],
"idToken": [
{
"additionalProperties": [],
"essential": false,
"name": "upn",
"source": null
}
],
"saml2Token": []
},ステップ 5: API の権限を調整する
GO-Globalでは、 User.Readの代わりにプロファイル権限を使用します。不要な権限を削除してください:
- 「API 権限」に移動します。
- 「User.Read」を探して、「権限の削除」をクリックします。
- 「はい、削除」をクリックして確定してください。
「Microsoft Graphプロファイルの委任された権限」が一覧に表示されていることを確認してください。(通常、自動的に追加されます。)
ステップ6:認証の設定
- 管理コンソールで、「ホストオプション」→「認証」に移動します。
- 以下の設定を行ってください:
- 他のすべての認証オプションの選択を解除してください。
- 「OpenID Connect 認証」を選択します。
- いずれかを選択してください:
- ユーザーをローカルの Windows アカウントに自動的にサインインさせる、または
- ユーザーをドメインアカウントに自動的にサインインさせる。
- クライアント ID: Azure アプリ登録の概要ページから、アプリケーション(クライアント)IDをコピーします。
- クライアントシークレット:先ほどコピーしたシークレット値を貼り付けてください。
- 認証用URL:Azureアプリ登録の概要ページからディレクトリ(TENANTID)IDを取得します。以下のURL内の「TENANTID」を置き換えてください:https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
- トークン URL: Azure アプリ登録の概要ページからディレクトリ (TENANTID) IDを確認してください 。 https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token内のTENANTID を置き換えてください 。
- リダイレクト先URL:アプリ登録時に入力したURLと同じものを使用してください(例:https://example.com/callback.html)
3.「OK」をクリックして保存します。
注:
Azure App Registration の [ 認証] メニューで、[暗黙的グラント] および [ハイブリッド フロー] の設定が有効になっていないことを確認してください。
ADFS
GO-Global Host で使用する ADFS 内のエンタープライズ アプリケーションを作成するには、以下の手順と設定が必要です。
1. ADFS Windows サーバーで、ADFS 管理ツールを開きます。
2. 左側のナビゲーション ツリーで [Application Groups] を右クリックし、[Add Application Group] を選択してウィザードを開きます。
3. ウィザードの [Standalone applications] 領域で[Server application]を選択し、[Next] をクリックします。
4. アプリケーションの名前を入力し、クライアント識別子 (Client ID) をコピーして保存します。
5. [Redirect URI] フィールドに GO-Global コールバック URL を入力し、[次へ]をクリックします。
6. [共有シークレットを生成] を選択し、生成されたものをコピーして [Shared Secret] に使用します。
7. [次へ] をクリックします。
8. [次へ]をクリックし、この新しいアプリケーショングループを保存します。
認証およびトークンエンドポイントのリンクを設定するには、https://server1.domain.com/adfs/oauth2/authorize および https://server1.domain.com/adfs/oauth2/token 内の「server1.domain.com」を、ADFS サーバーの FQDN に置き換えてください。
Authorize URL の例:
https://[ADFS サーバーの FQDN]/adfs/oauth2/authorize
Token URL の例:
https://[ADFS サーバーの FQDN]/adfs/oauth2/token
注:
管理コンソールの「ホストオプション」ダイアログにある「認証」タブで、「ユーザーをローカル Windows アカウントに自動的にサインインさせる」または「ユーザーをドメインアカウントに自動的にサインインさせる」のいずれかを選択する必要があります。これらの OpenID Connect 認証オプションのいずれかが選択されていない場合、ログオンは完了しません。
オラクル
GO-Global Host で使用するアプリケーションを Oracle Identity Cloud に作成するには、以下の手順と設定が必要です。
1. Oracle Identity Cloud Service にログインします。
2. [Applications]に移動し、[Add] をクリックして [Confidential Application] を選択します。
3. アプリケーションの[Name]を入力します。
4. [ Linking callback URL] には、GO-Global の callback.html への URL を使用します。 (例: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. 「次へ」 をクリックして、 クライアントを設定します。
6. 「許可されたグラントタイプ」で、「認証コード」を選択します。
7. HTTPS 以外の URL を使用する必要がある場合は、「 HTTPS 以外の URL を許可する」オプションを選択します。
8. リダイレクト URL には、GO-Global Host の callback.html を使用します。
(例: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. 「Bypass Consent」を「Enabled」に設定します。
その他のオプションは、Oracle が設定したデフォルト値を使用できます。
アプリケーションの作成後、アプリケーションをクリックして詳細を表示します。 「クライアント ID」と「クライアントシークレット」は、「構成」タブの「一般情報」で確認できます。これらを GO-Global ホストのOpenID Connect 設定にコピーする必要があります。
認証 URL の例:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code
トークン URL の例:
https://tenant-base-url/oauth2/v1/token?
注:
管理コンソールの「ホストオプション」ダイアログにある「認証」タブで 、「ユーザーをローカル Windows アカウントに自動的にサインインさせる」または 「ユーザーをドメインアカウントに自動的にサインインさせる」のいずれかを選択する必要があります。これらの OpenID Connect 認証オプションのいずれかが選択されていない場合、ログオンは完了しません。
Okta Identity Cloud
GO-Global Host で使用するアプリケーションを Okta Identity Cloud で作成するには、以下の手順と設定が必要です。記載されていない設定については、デフォルト値のままにしておいてください。
Okta に関する詳細については、以下をご覧ください。
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm
1. Okta Identity Cloud ダッシュボードから、「Applications」に移動します。
2. [アプリ統合を作成] ボタンをクリックします。
3. [サインイン方法] で、[OIDC - OpenID Connect] を選択します。
4. 手順 3 で OIDC を選択すると表示される [Web アプリケーション] を選択します。
5. [アプリケーションの種類] で、[Web アプリケーション] を選択します。
6. [次へ]をクリックします。
7. [名前] フィールドに名前を入力します。
8. 「クライアントが自身を代表して動作する」 を選択し、 「クライアント認証情報」のチェックボックスをオンにします。
9. 「クライアントがユーザーを代表して動作する 」を選択し、 「認証コード 」のチェックボックスをオンにします。 「暗黙的(ハイブリッド)」は選択しないでください。
10. 「サインインリダイレクト URI」には、ホストの FQDN を入力します: http://MyHost.MyDomain.com:491/callback.html
11. 割り当て:これを使用して、アクセス権を持つユーザーを設定します。または、この手順をスキップし、アプリ作成後に設定することもできます。
12. 「割り当て」で、「選択したグループへのアクセスを制限する」または「グループ割り当てをスキップする」を選択し、グループを割り当てずにアプリを作成します。
13. [保存]をクリックして、この新しいアプリ連携を作成します。
14. 新しい Web アプリを選択して、編集ページを表示します。
15. [全般] タブから 、クライアント ID とクライアント シークレットをコピーして保存します。これらは、GO-Global ホストの OpenID Connect 設定にコピーする必要があります。
GO-Global ホスト設定
GO-Global 管理コンソールの OIDC 設定画面で、以下の Okta 認証 URL およびトークン URL を使用し、YOUR-OKTA-Domain の部分に御社の Okta カスタムドメインを入力してください。
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token
認証 URL の例:
https://dev-111222.okta.com/oauth2/default/v1/authorize
トークン URL の例:
https://dev-111222.okta.com/oauth2/default/v1/token
注:
管理コンソールの「ホストオプション」ダイアログにある「認証」タブで、「ユーザーをローカルの Windows アカウントに自動的にサインインさせる」または「ユーザーをドメインアカウントに自動的にサインインさせる」のいずれかを選択する必要があります。これらの OpenID Connect 認証オプションのいずれかが選択されていない場合、ログオンは完了しません。
Oktaに関する詳細については、https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htmをご覧ください。
ManageEngine - Identity Manager Plus
GO-Global Host で使用するアプリケーションを Identity Manager Plus で作成するには、以下の手順が必要です。
1. IdentityManager の管理ページから、「アプリケーション」タブ に移動します。
2. 「アプリケーションの追加」をクリックします。
3. 「アプリケーション名」と「ドメイン名」を入力します。
4. 「OAuth/OpenID Connect」タブを選択します。
5. 「Enable OAuth/OpenID Connect」オプションを有効にします。
6. 「Supported SSO Flow」を「SP Initiated」に設定します。
7. 「 Login Redirect URL(s)」には、GO-Global Hostのcallback.html URLを使用します。
8. 「Response Type」では、「Authorization Code」 のみが選択されていることを 確認してください。
9. 「リフレッシュトークンを許可」を有効にします。
10. 「アクセス トークンの有効期間」を3600 秒に設定します。
11. 「キー アルゴリズム」をHS256 に設定します。
12. 「クライアント認証モード」を「クライアント シークレット(Basic)」および「クライアント シークレット(Post)」に設定します。
13. 「アプリケーションの追加」をクリックします。
クライアント ID、クライアント シークレット、トークン、および認証 URL は、Identity Manager Plus | アプリケーションで確認できます。 [ IdP Details] 列の[Details] リンクをクリックします。
認証 URL の例:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize
トークン URL の例:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token
KeyCloak
GO-Globalは、標準のAuthorize URLを使用してKeyCloakをサポートしています。
管理者は、IDトークン内のどのフィールドにユーザー名を含めるかを指定できます。デフォルトでは、GO-GlobalはKeyCloakから提供されたメールアドレスフィールドからユーザー名を取得しようとしますが、HostProperties.xmlファイル内のOpenIDConnectUserNameFieldプロパティを設定することで、他のフィールドからユーザー名を取得するように構成することも可能です。
OpenIDConnectUserNameFieldプロパティを設定するには
1. アプリケーション公開サービスを停止します。
2. テキストエディタで %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml を開きます。
3. OpenIDConnectUserNameFieldプロパティを探し、その値を、GO-Global が Windows 上でユーザーを認証するために使用する UPN を含む、ユーザーの OIDC ID トークン内のクレーム名に変更します。
4. HostProperties.xml ファイルを保存します。
5. アプリケーション公開サービスを再起動します。
Google Workspace/Cloud Identity
作業を開始する前に、カスタムドメイン付きの「Google Workspace Premium」または「Cloud Identity Premium」をご利用であることをご確認ください。また、Google 管理コンソールに組織が存在することを確認してください。新規アカウントの場合、カスタムドメインの自動作成に時間がかかることがあります。必要に応じて新しいユーザーを作成してください。GraphOn では、すべてのユーザーに対して 2 段階認証を有効にすることを推奨しています。
Google Cloud Console ガイド
A. 新しいプロジェクト(例:GG-OIDC-Project)を作成し、作成したプロジェクトに移動します。
B. OAuth同意画面の設定
1. 「APIとサービス」に移動します。左側のナビゲーションバーから「OAuth同意画面」 を選択します。または、新しいGoogle Auth Platformページから、左側の「ブランディング」を選択します。
2. 「ユーザータイプ」で「 内部」を選択します 。
3. 「アプリ名」を設定します(例:GG-Auth-Consent)。
4. [アプリケーションのホームページ] ボックスに、GO-Global ホストまたはロードバランサーの URL を入力します。(例:https://myapp.example.com)
5. [承認済みドメイン] ボックスに、GO-Global ホストのトップレベルドメイン (TLD) を入力します。(例:example.com)
6. [保存して続行] をクリックします。
7. 組織のポリシーで必要とされない限り、スコープの追加はスキップしてください。
8. [保存して続行] をクリックします。
C. OAuth クライアント ID を作成する
1. [API とサービス] | [認証情報] | [認証情報の作成] | [OAuth クライアント ID] に移動します。または、新しい Google Auth Platform ページで、左側の[クライアント]を選択します。
2. [アプリケーションの種類] で、[Web アプリケーション] を選択します。
3. OAuthクライアントに名前を付けます(例:GG-Auth-Client)。
4. 「Authorized redirect URI」に、GO-GlobalのWebサーバーURLまたはロードバランサーのURLに「/callback.html」を接尾辞として付加したものを追加します(例:https://myapp.example.com:491/callback.html)。 ロードバランサーのフロントエンドがポート 443 でリスニングしている場合は、:491 を省略してください。
5. クライアントを作成します。
6. 生成されたクライアント IDおよびクライアントシークレットを安全に保管してください。
GO-Global ホスト設定
GO-Global ホストで以下の設定を行ってください:
1. [ツール] | [ホストオプション] | [認証] に移動します。
2. すべてのチェックボックスのチェックを外します。
3. OpenID Connect 認証を有効にします。
4. [ユーザーをローカルの Windows アカウントに自動的にサインインさせる] または [ユーザーをドメインアカウントに自動的にサインインさせる] のいずれかを選択します。
5. 「クライアント ID」ボックスに、OpenID Connect サーバーの設定から取得したクライアント ID文字列を入力します。
6. 「クライアント シークレット」ボックスに、OpenID Connect サーバーの設定から取得したクライアントシークレット文字列を入力します。
7. 「 認証 URL」ボックスに、OpenID Connect サーバーでユーザーを認証するために使用する 認証 URLを入力します。 例:
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. OpenID Connect サーバーでユーザーを認証するために使用するトークン URL を[Token URL] ボックスに入力します。例: https://oauth2.googleapis.com/token
9. [Redirect URL] ボックスに、GO-Global Web サーバー、サードパーティの Web サーバー、またはロードバランサーの URL に、接尾辞 /callback.html を付けて入力します。
(例: https://myapp.example.com:491/callback.html)。ロードバランサーのフロントエンドがポート 443 でリスニングしている場合は、:491 を省略してください。
10. [OK] をクリックします。
結論
GO-Globalを導入する上で、安全かつ信頼性の高い認証設定は不可欠です。この技術ガイドでは、Azure Entra ID、ADFS、Oracle Identity Cloud、Okta、ManageEngine Identity Manager Plus、KeyCloak、Google Workspaceといった主要なIDプロバイダーにおけるOpenID Connect(OIDC)の設定手順を、管理者向けに詳しく解説します。 明確で段階的な手順により、GO-Global Hostが最新のIDプラットフォームと正しく統合され、シームレスなユーザーアクセスとセキュリティの向上が実現されます。
クラウドベースのアプリケーション配信を検討中のISVですか?GO-Globalがお客様のエンドユーザーのソフトウェアアクセスを合理化するためにどのようなお手伝いができるかについては、当社までお問い合わせください。または、無料トライアルをダウンロードしてご自身でお試しください。
