12.5. OAuth 2.0 supported flows

API クライアントは、3scale で設定した OpenID Connect (OIDC) 発行者からアクセストークンを取得する必要があります。この場合、その OpenID プロバイダーのサポートする任意の OAuth 2.0 フローが使用されます。RH-SSO の場合、以下のフローがサポートされます(RH-SSO クライアントで使用される用語は括弧で指定されます)。

  • 認可コード (標準フロー)
  • リソースオーナーパスワードクレデンシャル (直接アクセスグラントフロー)
  • インプリシット (インプリシットフロー)
  • クライアントクレデンシャル (サービスアカウントフロー)

OpenID Connect(OIDC)下のクライアントが 3scale で作成されると、Red Hat Single Sign-On(RH SSO)で Zync により作成される対応するクライアントのみが有効です。このフローは、ほとんどすべてのケースについて最もセキュアで適切なフローとして推奨されます。ただし、他のフローを有効にすることが可能です。

12.5.1. OAuth 2.0 対応の認証フローの仕組み

クライアントは、承認リクエストもしくはトークンリクエスト、またはその両方を使用してアクセストークンを取得します。これらのリクエストを受け取る URL は、OpenID プロバイダーの .well-known/openid-configuration エンドポイントを使用して把握することができます。それぞれ、"authorization_endpoint" および "token_endpoint" が該当します。たとえば、https://<RHSSO_HOST>:<RHSSO_PORT>/auth/realms/<REALM_NAME>/.well-known/openid-configuration