ユーザがコーポレートアイデンティティシステムを使用してログインできるように Veeva Vault モバイルを設定することは、2 段階のプロセスです。
- まず、Vault 用に Oauth 2.0 を設定します。詳細な手順は OAuth 2.0/OpenID 接続プロファイルの設定をご覧ください。
- 次に、認証サーバで、Vault モバイルに OAuth 2.0/OpenID 接続アプリを設定・登録します。詳しい手順は、以下1をご確認ください。
認証サーバサポート
このセクションでは、互換性のあるさまざまな認証サーバを設定するために必要な手順について説明します。セキュリティを確保するために、認証サーバ に PKCE を有効化することが推奨されます。
ADFS
Vault モバイルを ADFS のアプリケーションとして設定するには:
- ADFS 内で、アプリケーショングループ > アプリケーション > ネイティブアプリケーションに進みます。
- 次のクライアント ID を入力します:
Vault モバイル
。 - 次のリダイレクト URI を入力します:
com.veeva.Vault モバイル://authorize
。
次に、Vault をウェブ API として設定する必要があります:
- ADFS 内で、アプリケーショングループ > アプリケーション > ウェブ API に進みます。
- 識別子タブをクリックして、Vault を証明書利用者識別子として追加します。
- 表示名に
Vault
と入力します。 - 次の証明書利用者識別子を入力します:
https://login.veevavault.com。
- 発行変換ルールタブをクリックして、カスタム要求ルールを作成します。
- このタブで、ルールの追加 > カスタムルールを使用した要求の送信 > 次へをクリックします。
- 次のカスタムルールを入力し、「mail」を連携 ID として使用したいフィールドに置き換えます:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";mail;{0}", param = c.Value);
- クライアント権限タブをクリックして、Vault モバイルを選択します。
- allatclaims チェックボックスを選択します。
- openid チェックボックスを選択します。
- 適用をクリックして、ウェブ API 設定を保存します。OK をクリックして、ダイアログを終了します。
PingFederate
新規 Ping Identity プロファイルを設定するには:
- プロファイル clientID を
vaultmobile
に設定します。クライアント ID にクライアントシークレットがない
ことを確認します。 - クライアント認証でなしを選択します。
- 表示名を入力します。このプロファイルを
Vault モバイル
とすることが推奨されます。 - 次のリダイレクト URI を入力します:
com.veeva.vaultmobile://authorize
。
お使いのアプリケーションは、次のタイプを付与するよう設定する必要があります:
- 認証コード
- リフレッシュトークン
Vault は、連携 ID として id_token
と access_token
にサブ要求を使用します。
お使いのアプリケーションの設定は、以下の範囲を考慮する必要があります:
openid
offline_access
Microsoft Azure AD
注: Microsoft Azure を使用したエンタープライズログインには、Veeva Vault モバイルアプリバージョン 213.2.1 以降が必要です。
Microsoft Azure AD のアプリケーションとして Vault モバイルを設定するには、最初に login.veevavault.com のアプリケーション登録を作成する必要があります:
- Microsoft Azure 内で、Azure アクティブディレクトリ > アプリ登録に移動します。
- 新規登録を選択します。
- 名前フィールドに、登録の名前を入力します。
login.veevavault.com
が推奨されます。 - 登録を選択します。
次に、Veeva Vault モバイルのアプリケーション登録を作成します。
- Microsoft Azure 内で、Azure アクティブディレクトリ > アプリ登録に移動します。
- 新規登録を選択します。
- 名前フィールドに、登録の名前を入力します。Vault モバイルをお勧めします。
- サポートされているアカウントタイプで、Vault モバイルにアクセスできるユーザを選択します。
- リダイレクトURI パネルで、パブリッククライアント/ネイティブ (モバイルおよびデスクトップ)を選択し、次の URI を入力します:
com.veeva.vaultmobile://authorize
- 登録を選択します。
- アプリ登録 > API の公開に移動します。
- アプリケーション ID URI フィールドで、設定を選択します。
- Azure が ID を選択したら、保存を選択します。
- スコープの追加を選択します。
- スコープ名フィールドに、手順 3 で選択した名前を入力します。
- 同意できる人フィールドで、管理者およびユーザを選択します。
- 希望する名前と説明を入力します。
- 状態フィールドで、有効を選択します。
- スコープの追加を選択します。
OAuth 2.0/OpenID Connect プロファイルを編集して、次のことを確認します。
- アイデンティティクレームがアイデンティティは別の要求に含まれますに設定されていること。
- 要求が upn に設定されていること。
- ユーザ ID タイプが連携 ID に設定されていること。
Vault モバイルをクライアントアプリケーションとして追加し、次のことを確認します。
- アプリケーションクライアント ID が vaultmobile に設定されていること。
- 認証クライアントサーバ ID が、Azure が手順 8 で生成したアプリケーション (クライアント) ID と一致すること。
Okta
Vault モバイルを Okta のアプリケーションとして設定するには:
- Okta 内で、アプリケーション > アプリケーションの追加 > 新規アプリの作成に進みます。
- プラットフォームにネイティブアプリを選択します。
- サインオン方法に OpenID 接続を選択します。
- 作成をクリックします。
- アプリケーション名を入力します。このプロファイルを Vault モバイルとすることが推奨されます。
- 次のログインリダイレクト URI を入力します:
com.veeva.vaultmobile://authorize
- 次のログイン開始 URI を入力します:
com.veeva.vaultmobile://authorize
- 保存をクリックすると、アプリケーションが作成されます。
アプリケーションを作成したら、一般設定タブに進んで、次の設定を確認します:
- アプリケーションラベル: Okta で「アプリ統合名」として入力した値 (Vault モバイルなど)
- アプリケーションタイプ: ネイティブ
- 許可されている付与タイプ: 認証コードとリフレッシュトークン
- ログインリダイレクト URI:
com.veeva.vaultmobile://authorize
全般設定タブで、クライアント認証情報セクションにスクロールします。Okta ではクライアント ID を設定できないため、代わりに Okta がランダムな固有識別子を割り当てます。これをサポートするには、Vault で ClientID マッピングを設定して、この固有識別子を認証サーバクライアント ID フィールドに入力する必要があります。アプリケーションクライアント ID フィールドに vaultmobile
を使用できます。このセクションでは、クライアント認証を PKCE を使用 (パブリッククライアント用) に設定する必要があります。
次に、サインオンタブに進んで、サインオン方法が OpenID 接続に設定されていることを確認します。
最後に、割り当てタブで Okta ユーザを追加します。Okta の OAuth 2.0/OpenID 接続プロファイルに割り当てたすべての Vault ユーザをここで追加する必要があります。OAuth 2.0/OpenID 接続プロファイルのユーザ ID タイプが Vault ユーザ名に設定されている場合、Okta ユーザ名は Vault ユーザ名と一致する必要があります。これが連携 ID に設定されている場合、Okta ユーザ名は Vault ユーザの連携 ID と一致する必要があります。
認証サーバメタデータの追加
プロファイルを設定したら、認証サーバメタデータを取得します。ほとんどの認証サーバは、URL から AS Metadata を表示しますが、一部では AS Metadata JSON ファイルをダウンロードすることができます。Vault で OAuth 2.0/OpenID 接続プロファイルに AS Metadata をアップロードするには、URL か JSON ファイルのいずれかを使用します。