OIDC を使用したシングルサインオンの設定
以下の手順に従って、DigiCert® account アカウントで OIDC (OpenID Connect)を使用した SSO (シングルサインオン)を有効にします。他のサインイン方法も有効になっている場合、ユーザーは使用する方法を選択できます。
前提条件
DigiCert® account で OIDC を設定する前に、以下のことを確認してください。
お使いの IDP (ID プロバイダ)サービス(例: PingOne、Okta)に対する管理者アクセス権を持っていること。
IDP (ID プロバイダ)側で DigiCert® account が OIDC アプリケーションとして登録されていること。
IDP 側で ID トークンに
preferred_usernameクレームを含めるよう構成していること。
ヒント
OIDC アプリケーションの登録方法やクレームの設定方法については、IDP のドキュメントを参照してください。
OIDC を使用した SSO のセットアップ
DigiCert® account で、[アカウント]アイコンから[Sign-in methods]を選択します。
[OIDC でシングルサインオン]を選択します。
[デジサートの IdP への接続]セクションでは、DigiCert® account アプリケーションの作成時に IdP に入力する必要がある詳細を取得できます。
リダイレクト URI
OIDC が有効化されたアカウントにユーザーがサインインすると、OIDC サービスは認証レスポンスとトークン ID を生成します。OIDC サービスは、この URL を使用して、その認証情報を DigiCert® account に返します。
ログイン URL
デジサートが提供する URL で、ユーザーは OIDC ベースの SSO で DigiCert® account にサインインできます。
ログアウト URL
OIDC プロバイダは、ログアウトエンドポイントを使用して、ユーザがプロバイダ経由でログインしているすべてのアプリケーションからサインアウトさせることができます。
IdP でアプリケーションを作成した後、[IdP のデジサートへの接続]セクションで、以下の値を入力します。
プロバイダの URL:
IdP の OIDC 検出エンドポイントの URL です。デジサートはこの URL を使って認証に必要なメタデータを取得します。この URL は通常、
https://<your-idp-domain>/.well-known/openid-configurationの形式になります。クライアント ID
IdP から提供される ID で、DigiCert® account が OIDC サービスへの要求時に自身を識別するために使用します。
クライアントシークレット
IdP から提供されるパスワードで、DigiCert® account が OIDC サービスへの要求を認証するために使用します。
ID トークンオーディエンス
OIDC サービスが生成する ID トークンの想定受信者です。IdP 側で設定されている IDトークンオーディエンス値と一致している必要があります。
両方の手順が終了したら、[Enable/Disable SSO with OIDC]セクションで、ボタンを切り替えて SAML を使用した SSO を有効化します。
[Save configuration]を選択します。
トラブルシューティング
OIDC を使用した SSO を設定するには、DigiCert® account 用の OIDC アプリケーションを IdP で作成する必要があります。このアプリケーションの作成中に、DigiCert URL が必要になります。アプリケーションの作成後、作成した OIDC アプリケーションから取得した個々の値を DigiCert® account に入力する必要があります。
ヒント
この操作を実行するには、IdP の管理者である必要があります。
選択する IdP:
選択する IdP:
選択する IdP:
選択する IdP:
二要素認証(2FA)と OIDC を使用した SSO
2FA が有効になっている場合でも、IdP に対してすでに OTP が入力されている場合、デジサートはワンタイムパスワード(OTP)の入力を求めません。