この記事では、ID プロバイダのサポート、機能、および要件の概要を説明しています。
サポート対象 IDP
Vault File Manager は以下の ID プロバイダをサポートしています。
- Ping Identity
- ADFS
- Okta
- Microsoft Azure™ AD
認証の仕組み
Vault File Manager 認証の仕組み
- Vault プロファイルから取得した認証サーバ (AS) メタデータを使うことで、ユーザは AS via OAuth 2.0 / OpenID 接続で AS を認証、またはユーザ名とパスワードで直接 Vault を認証することができます。
id_token
またはaccess_token
に基づいて Vault セッションをリクエストします。- キーを JWKs URI 経由で発行する際にトークンが JWT として表示される場合、Vault はトークンをローカルで検証することができます。
- トークンが AS によって表示される場合、Vault はイントロスペクションエンドポイントを使ってリモートでトークンを検証することができます。
注: 19R1.4 以降は、OAuth 2.0 / OpenID 接続プロファイルで「Ping」または「その他」を選択した場合、認証サーバのリダイレクト URI を com.veeva.vaultfilemanager://authorize に更新することが推奨されます。動的リダイレクト URI を引き続き使用することは推奨されません。詳細については、カスタマーサクセスマネージャまでお問い合わせください。
認証サポート
Vault File Manager は以下をサポートしています:
- クライアントシークレットがない OAuth 2.0 / OpenID 接続。
openid
およびoffline_access
範囲の認証コード
付与タイプ。- AS が
offline_access
範囲を付与し、refresh_token
を表示する場合、Vault セッションのサイレントリフレッシュ。 - ユーザの連携 ID または Vault ユーザ名に基づく連携。
- 設定されている場合、Microsoft ADFS で認証を行う モダン Windows 認証 (ADAL)。
要件
Vault File Manager は以下が必要です:
- トークンの
サブ
クレームに含まれるユーザの連携 ID。サブクレームが利用できず、正しい連携 ID を含めるよう変更できない場合、顧客は
代わりの ID クレームを設定できます。 - ハードコード化されたクライアント ID をサポートする AS。顧客は、Vault File Manager などクライアントアプリに保存されているハードコード化されたクライアント ID と AS の要求によって生成された ID の間に顧客は、Vault File Manager などクライアントアプリに保存されているハードコード化されたクライアント ID と AS の要求によって生成された ID の間にすることができます。
注: Veeva Vault プラットフォームは、認証サーバが PKCE をサポートすることを強く助言します。