12.4.3. RH-SSO と連携する 3scale の設定
3scale 管理ポータルでインテグレーション設定を指定して、RH-SSO と連携するように 3scale を設定します。
手順
- 3scale 管理ポータルでの最上位のセレクターで Products をクリックし、OpenID Connect 認証を有効にする 3scale API プロダクトを選択します。
- [Your_product_name] > Integration > Settings の順に移動します。
Authentication で、OpenID Connect Use OpenID Connect for any OAuth 2.0 flow を選択します。
図12.3 OPENID CONNECT(OIDC)BASICS セクションを表示します。
- OpenID Connect Issuer Type フィールドで、設定が Red Hat Single Sign-On であることを確認します。
OpenID Connect Issuer フィールドに、設定された OpenID Connect アイデンティティープロバイダーの URL を入力します。この URL の形式は以下のようになります。
https://<client_id>:<client_secret>@<rhsso_host>:<rhsso_port>/auth/realms/<realm_name>
- プレースホルダーは、以前に書き留めた RH-SSO クライアントの認証情報、RH-SSO サーバーのホストおよびポート、および RH-SSO クライアントが含まれるレルムの名前に置き換えます。
OIDC AUTHORIZATION FLOW で、以下のいずれかを選択します。
- 認可コードフロー: RH-SSO では標準フローです。
- インプリシットフロー
- サービスアカウントフロー: クライアントクレデンシャルフローとも呼ばれます。
直接アクセスグラントフロー: リソースオーナーパスワードクレデンシャルとも呼ばれます。
図12.4 承認フローを選択する場所を示します。
これにより、API コンシューマーが OpenID Connect アイデンティティープロバイダーから JSON Web Tokens (JWT) を取得する方法が設定されます。3scale が OpenID Connect アイデンティティープロバイダーとして RH-SSO を統合する際に、Zync は 認可コードフロー のみが有効になっている RH-SSO クライアントを作成します。このフローは、ほとんどすべてのケースについて最もセキュアで適切なフローとして推奨されます。OpenID Connect アイデンティティープロバイダーがサポートする OAuth 2.0 フロー を必ず選択してください。
- 下方向にスクロールして Update Product をクリックし、設定を保存します。
- 左側のナビゲーションパネルで Integration > Configuration をクリックします。
- 下にスクロールして Promote v.x to APIcast Staging をクリックします。
次のステップ
RH-SSO とのインテグレーションをアイデンティティープロバイダーとしてテストします。すべてがそのまま機能したら、Integration > Configuration ページに戻り、下方向にスクロールして APIcast ステージングバージョンを実稼働バージョンにプロモートします。