Zoho DirectoryでのOpen ID Connect(OIDC)の利用方法
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
OpenID プロバイダーとして、Zoho Directory (ZD) はユーザーを認証し、ユーザーのプロフィール情報へのアクセス権限を安全に取得するのに役立ちます。これは OIDC 認証プロトコルを通じて行われます。OIDC の詳細はこちら。
Zoho Directory では、任意のサードパーティアプリに対して OpenID Connect (OIDC) を設定できます。OIDC の動作は、ZD と連携させるアプリケーションの種類によって異なります。
OIDC の動作:
サードパーティアプリ(Relying Party)は、ZD の Authorization Endpoint にリクエストを送信し、ユーザーを認証して、特定のユーザー情報へのアクセス権限を取得します。ユーザーの認証と権限の取得が完了すると、Authorization Endpoint は ID トークンとアクセストークンを Relying Party (RP) に送信します。
このトークン交換に使用される方式は、RP の種類と選択した認証フローによって異なります。RP の種類と、それぞれに推奨される認証フローについてはこちら。
RP は、ZD の UserInfo Endpoint にアクセストークンを付与してユーザー情報(クレーム)を要求します。ZD は、同意済みのクレームを RP に送信します。
理解を深めるための OIDC 用語:
OpenID Provider
Relying Party
Claims
Sign-in URL
Sign-出力 URL
Callback URL
クライアントID
Client シークレット
Authorization Endpoint
Token Endpoint
ユーザー Info Endpoint
Discovery endpoint
JSON Web キー (JWK) endpoint
OpenID Provider
Zoho Directory (ZD) は OpenID Provider (OP) です。ユーザーを認証し、RP が特定のユーザー情報にアクセスできるよう、ユーザーからの同意を取得します。
Relying Party
OIDC フローにおける Relying Party は、ZD で設定し、ユーザーの認証と認可を ZD に要求するサードパーティアプリです。
Claims
ZD から RP に送信される、ユーザーに関するあらゆる情報をクレームと呼びます。ZD は、氏名、名、性別、メールアドレス、プロフィール画像など、ユーザーの基本的なプロフィール情報を送信します。
Sign-in URL
ユーザーがサインイン処理を開始する RP 側の URL です。
Sign-出力 URL
ユーザーが Zoho Directory からログアウトした際に、自動的にログアウトされる RP 側の URL です。
Callback URL
Zoho がユーザーの認証後にリダイレクトする URL です。
クライアントID
ユーザーがサインインしようとしたときに、RP を識別するために付与される一意の ID です。
Client シークレット
ユーザーがサインインしようとしたときに、RP を識別するために付与されるシークレットキーです。
Authorization Endpoint
ユーザーが自身を認証し、自分に関する特定の情報へのアクセス権限を付与するエンドポイントです。
Token Endpoint
RP が認可コードと引き換えに必要なトークンを取得するエンドポイントです。
ユーザー Info Endpoint
RP が、サインインしようとしているユーザーの必要なプロフィール情報を要求するエンドポイントです。
Discovery endpoint
Zoho Directory に関連するすべての OIDC 詳細が公開されている場所です。
JSON Web キー (JWK) endpoint
RP が、受け取ったトークンの正当性を検証するためのキーを取得する場所です。