OIDC を使用したシングルサインオンの設定
以下の手順に従って、DigiCert® account アカウントで OIDC (OpenID Connect)を使用した SSO (シングルサインオン)を有効にします。他のサインイン方法も有効になっている場合、ユーザーは使用する方法を選択できます。
前提条件
DigiCert® account で OIDC を設定する前に、以下のことを確認してください。
お使いの IDP (ID プロバイダ)サービス(例: PingOne、Okta)に対する管理者アクセス権を持っていること。
IDP (ID プロバイダ)側で DigiCert® account が OIDC アプリケーションとして登録されていること。
IDP 側で ID トークンに
preferred_usernameクレームを含めるよう構成していること。
ヒント
OIDC アプリケーションの登録方法やクレームの設定方法については、IDP のドキュメントを参照してください。
OIDC を使用した SSO の有効化と設定
DigiCert アカウントにサインインします。
DigiCert アカウントメニューで、[アカウント]アイコンから[Sign-in methods]を選択します。
[OIDC でシングルサインオン]を選択します。
[Connect your IdP to DigiCert]セクションで、以下の IdP 側の値を入力します。これによりデジサートが OIDC 認証のために IdP と通信できるようにします。
プロバイダの URL:
IdP の OIDC 検出エンドポイントの URL です。デジサートはこの URL を使って認証に必要なメタデータを取得します。この URL は通常、
https://<your-idp-domain>/.well-known/openid-configurationの形式になります。クライアント ID
IdP から提供される ID で、DigiCert® account が OIDC サービスへの要求時に自身を識別するために使用します。
クライアントシークレット
IdP から提供されるパスワードで、DigiCert® account が OIDC サービスへの要求を認証するために使用します。
ID トークンオーディエンス
OIDC サービスが生成する ID トークンの想定受信者です。IdP 側で設定されている IDトークンオーディエンス値と一致している必要があります。
ヒント
これらの値は通常、IdP のダッシュボード内の[認証]または[OIDC settings]セクションにあります。
[Connect DigiCert to your IdP]セクションでは、デジサートの各種エンドポイントを IdP に入力して、リダイレクト、ログイン開始、およびログアウトのプロセスを構成します。
リダイレクト URI
OIDC が有効化されたアカウントにユーザーがサインインすると、OIDC サービスは認証レスポンスとトークン ID を生成します。OIDC サービスは、この URL を使用して、その認証情報を DigiCert® account に返します。
ログイン URL
デジサートが提供する URL で、ユーザーは OIDC ベースの SSO で DigiCert® account にサインインできます。
ログアウト URL
OIDC プロバイダは、ログアウトエンドポイントを使用して、ユーザがプロバイダ経由でログインしているすべてのアプリケーションからサインアウトさせることができます。
両方の手順が完了したら、[Enable/Disable SSO with OIDC]セクションで切り替えボタンをオンにして SAML を使用した SSO を有効化します。
[Save configuration]を選択します。
次の操作
IDP 側で残りのステップをすべて終了し、接続を完了させます。 DigiCert® account
DigiCert® account は、アカウント内の既存ユーザーに、「Single sign-on access to DigiCert」というメールを送信します。このメールにより、アカウントに対して SSO が有効になったことがユーザーに通知されます。ユーザーは[サインイン]を選択して、SSO サインインページにアクセスします。その際、SSO URL(デジサートが提供するログイン開始エンドポイント)を使用してアカウントにサインインします。
二要素認証(2FA)と OIDC を使用した SSO
2FA が有効になっている場合でも、IdP に対してすでに OTP が入力されている場合、デジサートは OTP の入力を求めません。