ビデオ: OpenID Connect on Liberty (Liberty における OpenID Connect)

以下は、「OpenID Connect on Liberty (Liberty における OpenID Connect)」ビデオのトランスクリプトです。このビデオは、Liberty での OpenID Connect の構成方法を示しています。このトランスクリプトは、ビデオのストーリーボードです。音声は、ナレーションとキャプションを記述しています。画面上のアクションは、ビデオに表示される内容を記述したものです。

ビデオ OpenID Connect on Liberty (Liberty における OpenID Connect)

表 1. タイトル・ページ. タイトルを表示し、次に基本の OpenID Connect シナリオを、サポートされる OpenID プロバイダー、および OpenID Connect を使用する利点と共に表示します。
場面 音声 画面上のアクション
1 このビデオは、WebSphere® Application Server Liberty を使用した、シンプルな OpenID Connect の Web シングル・サインオン・シナリオのセットアップ方法を示します。 タイトル「OpenID Connect Quick Setup」が表示されます。
2 ここで、基本の「OpenID Connect」フローを説明します。ユーザーが、OpenID Connect で保護された Web アプリケーション (つまり、リライング・パーティー (RP)) に初めてアクセスしようとすると、ユーザーは OpenID Connect プロバイダーにリダイレクトされます。OpenID Connect プロバイダーはユーザーを認証し、ユーザーの許可を取得し、許可コードによって応答します。アプリケーション・コンテナーはその応答からコードを抽出し、検証のためにコードを OpenID プロバイダーに返送し、ID とアクセス・トークンを受け取ります。その結果として、ユーザーは、保護された Web アプリケーションへのアクセスを認証されます。アプリケーションは、アクセス・トークンを使用して、E メール・アドレスなどのユーザー情報を OpenID Connect プロバイダーから要求できます。また、OpenID Connect をサポートするどのサービスにもアクセスできます。このビデオでは、アプリケーションを「リライング・パーティー」(または RP) と呼び、「OpenID プロバイダー」を OP と呼んでいます。

サポートされるいくつかの OpenID プロバイダーを見てみましょう。

リライング・パーティー (RP)、OpenID プロバイダー (OP)、およびエンド・ユーザーを含む、基本の OpenID Connect シナリオが表示されます。
3 IBM® WebSphere Liberty を OpenID プロバイダーまたはリライング・パーティー (RP) として構成することができます。また、IBM Security Access Manager (ISAM とも呼ばれる) を OP として使用することもできます。あるいは、サポートされている数多くのサード・パーティーの OpenID プロバイダーを使用できます。 サポートされるいくつかの OpenID プロバイダーが表示されます。
  • IBM WebSphere
  • IBM Security Access Manager
  • Amazon
  • Microsoft
  • Okta
  • Google
4 OpenID Connect は、OAUTH 2.0 の上の識別層として多くの利点を提供します。OpenID Connect を使用して、ユーザーは、複数のサーバー、サービス、およびアプリケーションにわたる認証に使用できる単一のインターネット ID を持ちます。これにより、独自のユーザー・レジストリーが必要なくなるため、アプリケーションの保守作業の量が削減されます。

開発者にとっては、これによりパスワードを保管し管理する責任がなくなるため、ユーザーの認証作業が簡素化されます。また、OpenID Connect は、JavaScript、Ruby、node.js、または Java™ などの任意の言語で作成されたクラウド・ベース・アプリケーションおよびモバイル・アプリケーションにまでセキュリティー・サービスを拡張することができ、クラウド環境内の何百もの Liberty サーバーをプロビジョニングするための単一のセキュリティー・マネージャーとして機能することができます。OpenID Connect は、識別、認証、および OAuth の利点を兼ね備えているため、OAuth のみの場合と比べて大幅に改善されています。

OpenID Connect を使用した場合のいくつかの利点が表示されます。
  • OpenID Connect を使用すると、ユーザーが単一のインターネット ID (ユーザー・アカウント) を使用して、複数のサーバー、サービス、およびアプリケーションにわたって認証を行うことが容易になります。
  • アプリケーションは、独自のユーザー・レジストリーを維持する必要がなくなります。
  • OpenID Connect は、JavaScript、Ruby、node.js、Java などの言語を使用してアクセス可能なクラウド・アプリケーションおよびモバイル・アプリケーションにまでセキュリティー・サービスを拡張します。
  • クラウド内の何百もの Liberty サーバーをプロビジョニングすることで、単一のセキュリティー・マネージャーを持つことが可能になります。
  • OpenID Connect は、OAUTH 2.0 に比べて大幅に改善されています。
表 2. OpenID プロバイダーを構成するデモ
場面 音声 画面上のアクション
5 WebSphere Application Server Liberty は、OpenID プロバイダー、リライング・パーティー (RP)、またはその両方として構成することができます。Liberty を OP と RP の両方として使用したい場合は、それらを別々の Liberty サーバー・インスタンス上に構成する必要があります。Liberty サーバーを OP および RP としてセットアップして、Liberty OP と Liberty RP 間のシンプルな Web シングル・サインオン・シナリオについて検討します。 タイトル「Setting up Liberty as OpenID Connect provider and relying party」が表示されます。
6 まず、OpenID プロバイダーをセットアップします。

そのためには、WebSphere Liberty 8554 以降をインストールします。これは、OpenID Connect のフィーチャーを使用するために必要です。OpenID Server のフィーチャーをインストールします。

Liberty サーバーを作成し、server.xml ファイルに OP 構成を追加します。このファイルのサンプルは、IBM developerWorks® からダウンロード可能です。

OP セットアップの概要が表示されています。
  1. WebSphere Liberty 8.5.5.4 以上をインストールする > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. OpenID Server フィーチャー (ダウンロード不要) をインストールする > bin/featureManager install openidConnectServer-1.0 --when-file-exists=ignore
  3. Liberty サーバーを作成する > server create oidcServer
  • 追加構成を使用して server.xml を編集する (サンプルのダウンロードが可能)
  • 必須フィーチャー
  • SSL 鍵ストア
  • ユーザー・レジストリー
  • OpenID サーバー
7 まず、Liberty JAR ファイルを解凍します。これにより、wlp ディレクトリーが作成されます。wlp の下の bin ディレクトリーに移動し、featureManager install コマンドを実行して OpenID Connect Server フィーチャーをインストールします。

同じディレクトリーで server create コマンドを実行して、Liberty OP サーバーを作成します。このサーバーに oidcServer という名前を付けます。

oidcServer は、最小構成の server.xml ファイルで作成されています。この構成は、wlp/usr/server/oidcServer ディレクトリー内にあります。

ここで、作成したばかりの server.xml ファイルの内容を確認することができます。この構成は、1 つのフィーチャーとポート情報のみという非常にシンプルなものです。これを、OP サーバー構成を持つ server.xml ファイルに置換します。(画面が分割され、右側に OP 構成が表示されます。)

(server.xml ファイルの更新の確認) この OP サーバー構成で、以下のことが行われます。
  • 必須フィーチャーが追加されます。
  • ホスト名が追加されます。
  • SSL フィーチャーのための鍵ストア構成が組み込まれます。
  • OP がユーザー・アカウントを維持するため、ユーザー・レジストリーが構成されます。

残りの部分は、OAuth テクノロジーを使用する OP 構成です。これには、許可を実行するリライング・パーティー (RP) に関する情報が含まれます。

追加したばかりの server.xml ファイルは、IBM DeveloperWorks からダウンロードできます。OP サーバーを開始します。これで OpenID プロバイダーのセットアップが完了したので、Liberty のリライング・パーティー (RP) をセットアップすることができます。

server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。
表 3. リライング・パーティーを構成するデモ
場面 音声 画面上のアクション
8 リライング・パーティー (RP) をセットアップするには、OP 構成と同様に、バージョン 8.5.5.4 以降の Liberty が必要であり、OpenID Client フィーチャーをインストールします。

別個の Liberty サーバーを作成し、server.xml ファイルを編集します。

次に、アプリケーションをインストールし、SSL 通信のために OpenID プロバイダーと鍵を交換します。

RP セットアップの概要が表示されます。
  1. WebSphere Liberty 8.5.5.4 をインストールする > java -jar wlp-developers-runtime-8.5.5.4.jar
  2. OpenID Client フィーチャー (ダウンロードは不要) をインストールする > bin/featureManager install openidConnectClient-1.0 --when-file-exists=ignore
  3. Liberty サーバーを作成する > server create oidcRP
    • 追加構成を使用して server.xml を編集する (サンプルのダウンロードが可能)
    • 必須フィーチャー
    • SSL 鍵ストア
    • OpenID クライアント
    • アプリケーション
  1. (OpenID Connect を使用する) アプリケーションをインストールする >> アプリケーションの ear/war ファイルを app ディレクトリーにコピーする
    • SSL 通信のために OP と鍵を交換する
9 Liberty のバージョン 8.5.5.4 が既にこのマシンに構成されています。OpenID Client フィーチャーをインストールし、oidcRP という名前でサーバーを作成します。ここにデフォルトの server.xml ファイルがあります。これを、RP 構成を含む server.xml ファイルと比較します。 フィーチャー、エンドポイント・ホスト名、鍵ストアなどのセクションは、以前に OP で確認した更新と同じものです。

今回は、OP サーバー構成の代わりに OpenID Client 構成を行います。これは、認証要求の送信先である OP の URL を指定します。

RP 構成にはアプリケーション構成も含まれており、これらのアプリケーションは認証を行うために OP に依存します。

RP にはユーザー・レジストリー構成がないことに注意してください。RP に必要な構成はこれですべてになります。テスト・アプリケーションを RP の app ディレクトリーにコピーします。RP サーバーを始動する前に、SSL 通信のために RP と OP が鍵ストア内の鍵の交換を行ったことを確認してください。このデモでは、同じ鍵ストアとパスワードを使用します。

次に、RP サーバーを始動して、セットアップが正しく行われたかどうか確認します。

server.xml ファイルを更新するために使用されているコマンド・プロンプトのデモ。
表 4. OP/RP のセットアップをテストするデモ
場面 音声 画面上のアクション
10 OP サーバーと RP サーバーは既に始動されています。ブラウザーで、アプリケーションの URL にアクセスします。プロンプトが出されたら、OP のアカウント情報を入力します。RP が認証を実行するために OP に依存しているのが分かります。ユーザーが認証されると、RP はアプリケーション・ページをユーザーに表示します。では、この手順を実行してみましょう。 OP/RP のセットアップをテストするデモ
  1. OP サーバーと RP サーバーの両方を始動する > server start oidcServer > server start oidcRP
  2. ブラウザーで、RP のアプリケーション・ログイン・ページを指定する > https://oidc-rp.rtp.raleigh.ibm.com:9443/testpage
  3. プロンプトが出されたら、OP によって保守されているユーザー ID とパスワードを入力する > user1 / security
  4. RP は、認証に関して OP に依存する
  5. 認証が正常に行われると、RP は、ユーザー情報と共にアプリケーション・ページを表示する。
11 ブラウザーで、RP サーバー上のアプリケーション URL を入力します。ユーザー名とパスワードの入力を求めるプロンプトが出されます。RP は認証を OP に委任しているため、プロンプトは OP サーバーによって出されていることに注意してください。

OP アカウントの資格情報である user1security を入力します。これで、OP アカウントを使用して RP 上のアプリケーションに正常にログインしました。

OP アカウントを使用している RP 上のアプリケーションへの正常なログインを示すブラウザー・ログインのデモ。
表 5. 結び. OpenID Connect についての追加情報の参照先を示します。
場面 音声 画面上のアクション
12 詳しくは、以下のオンライン・リソースを参照してください。 資料に関する情報を表示します。
WebSphere Liberty ダウンロード・ページ
https://developer.ibm.com/wasdev/downloads/liberty-profile-using-non-eclipse-environments/
OpenID Connect フィーチャーのインストール
Server: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectServer-1.0
Client: https://developer.ibm.com/wasdev/downloads/#asset/features-com.ibm.websphere.appserver.openidConnectClient-1.0
IBM Knowledge Center - OpenID Connect のメインページ
http://www-01.ibm.com/support/knowledgecenter/api/content/nl/en-us/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.multiplatform.doc/ae/rwlp_using_oidc.html
IBM DeveloperWorks (OP/RP サンプルを含む)
http://www.ibm.com/developerworks/websphere/library/techarticles/1502_odonnell/1502_odonnell.html

OpenID Connect について詳しくは、『OpenID Connect の使用』を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=video_transcript_oidc_liberty
ファイル名: video_transcript_oidc_liberty.html