Relaying Party の登録

以上でOPとしての設定は終了である。続いて、このOPを利用するRPを登録する必要があ る。

また、OP の設定を変更したい場合は、再度 Realm Overview の画面まで戻って左側のメ ニュー内の Services を選択すれば、設定済みの OAuth 2.0プロバイダーが表示され、そこから 設定画面へ移動できる。

図C-9: OAuth 2.0プロバイダー一覧表示

図C-10: レルム選択

レルムを選択すると Realm Overview 画面が表示されるので、左メニューの Services を選択 する（図C-9）。

その後、[エージェント] タブ → [OAuth2.0 クライアント] タブの順に選択する。ここでエー ジェントのリストの [新規] ボタンを押して OAuth2.0 クライアントの作成画面に移動する（図 C-11）。

図C-11: OAuth 2.0クライアントの作成画面への移動手順

作成する際にはクライアントの ID とパスワードの入力が必要である。これらはトークンエン ドポイントでクライアントを認証する場合に用いられる。入力が完了したら右上の [作成] ボタ ンを押す（図C-12）。

図C-12: 新しいOAuth 2.0クライアントの追加

作成が成功すると、エージェントのリストに今作成したエージェントが追加されているので、

それを選択する（図C-13）。

図C-13: 設定を変更するクライアントの選択 選択後、クライアントの設定画面（図C-14）で必要な設定を行なう。

図C-14: クライアント設定画面

登録した OAuth 2.0クライアントを OpenID Connectに対応させるためにいくつかの設定を

行なう必要がある。最低限設定が必要な項目は、スコープ、リダイレクト URI、レスポンスタ イプの3つである。

OpenID Connect の場合、リクエスト時のスコープに “openid” が必ず指定される。RP のデ

フォルト設定ではスコープが未設定となっている。そのため、最低限スコープに “openid” を追 加する必要がある。その他に必要なスコープ（profile など）があれば適宜追加する。スコープ を登録するには新しい値に登録したいスコープを入力し [追加] ボタンを押す（図C-15）。追加を 押すと、[現在の値] リストに入力値が追加される。これを登録する必要があるスコープの分だけ

図C-15: スコープの登録

また、リダイレクトURIも初期設定では未設定となっているので設定が必要である。

レスポンスタイプはデフォルトで “code” や “id_token” などが既に登録済みである。もし、不 足がある場合は適宜追記する。

必要な設定項目の入力が終了したら設定画面右上の [保存] ボタンを押す。このボタンを押す までは各入力値は設定に反映されない。

以上で、RPの登録が終了である。

OpenAMにおける OpenID Connectのより詳しい設定ついては、ForgeRockのドキュメント

が参考になる^[8]。

8 OpenAM Administration Guide, 14. Managing OpenID Connect 1.0 Authorization - http://openam.forgerock.org/doc/bootstrap/admin-guide/index.html#chap-openid-connect

C.3. Ruby による OP サーバーのスクラッチ実装例