12.10. 最初のログインフロー

ユーザーが ID ブローカーでログインすると、ユーザーのローカルデータベースがインポートされ、リンクされます。Red Hat Single Sign-On が外部アイデンティティープロバイダー経由でユーザーを認証した場合、2 つの状況が考えられます。

  • すでに Red Hat Single Sign-On ユーザーアカウントをインポートし、認証されたアイデンティティープロバイダーアカウントとリンクしています。この場合、Red Hat Single Sign-On は既存ユーザーとして認証し、アプリケーションにリダイレクトします。
  • この外部ユーザーにインポートされ、リンクされている既存の Red Hat Single Sign-On ユーザーアカウントはありません。通常は、新しいアカウントを登録して Red Hat Single Sign-On データベースに登録およびインポートするだけですが、同じメールで既存の Red Hat Single Sign-On アカウントがある場合はどうしたらよいですか?既存のローカルアカウントを外部アイデンティティープロバイダーに自動的にリンクすることは、常に外部アイデンティティープロバイダーからの情報を信頼できないセキュリティーです。

上記の競合や状況に関しては、さまざまな組織の要件が異なります。そのため、IDP 設定には First Login Flow オプションがあり、ユーザーが外部 IDP から初めてログインした後に使用するワークフローを選択できます。デフォルトでは、これは最初の first broker login フローを参照しますが、独自のフローを設定して使用することができ、異なるアイデンティティープロバイダーに異なるフローを使用することができます。

フロー自体は、Authentication タブ下の管理コンソールで設定されます。First Broker Login フローを選択すると、デフォルトで使用されているオーセンティケーターが表示されます。既存のフローを再構成できます。(たとえば、オーセンティケーターを無効にするか、required として、そのオーセンティケーターをマークし、オーセンティケーターを設定します)。

12.10.1. デフォルトの最初のログインフロー

First Broker Login フローで提供されるデフォルトの動作を説明します。

プロファイルの確認
このオーセンティケーターは、ユーザーはアイデンティティープロバイダーから取得したプロファイル情報ページが表示される場合があります。オーセンティケーターは設定可能です。Update Profile On First Login オプションを設定できます。On には常にプロファイルページと共に提示されます。この際、アイデンティティーをフェデレーションするために追加情報の入力を求めます。missing の場合、ユーザーは必須の情報 (電子メール、名、姓) がアイデンティティープロバイダーによって提供されていない場合にのみ、プロファイルページとともに提示されます。Off にすると、ユーザーが、Review profile info リンク (Confirm Link Existing Account オーセンティケーターによる最後の段階で表示される) でクリックしない限り、プロファイルページは表示されません。
Create User If Unique
このオーセンティケーターは、アイデンティティープロバイダーからのアカウントと同じメールまたはユーザー名を持つ既存の Red Hat Single Sign-On アカウントがすでにあるかどうかを確認します。ない場合は、オーセンティケーターは新しいローカルの Red Hat Single Sign-On アカウントを作成し、それをアイデンティティープロバイダーとリンクし、フロー全体を終了します。それ以外の場合は、次の Handle Existing Account サブフローが処理されます。重複アカウントがないことを確認する場合は、このオーセンティケーターを REQUIRED とマークできます。この場合、既存の Red Hat Single Sign-On アカウントがある場合、ユーザーはアカウント管理でアイデンティティープロバイダーアカウントをリンクする必要がある場合に、エラーページが表示されます。
既存のアカウントのリンクの確認
info ページで、同じメールを持つ既存の Red Hat Single Sign-On アカウントがあることを確認できます。プロファイルを再度確認し、異なるメールまたはユーザー名を使用できます (フローは再起動され、Review Profile オーセンティケーターに戻ります)。または、アイデンティティープロバイダーアカウントを既存の Red Hat Single Sign-On アカウントとリンクするかどうかを確認することができます。ユーザーがこの確認ページを表示する必要がない場合は、このオーセンティケーターを無効にしますが、メールの検証または再認証によりアイデンティティープロバイダーアカウントをリンクするよう簡単です。
既存のアカウントをメールで検証
このオーセンティケーターはデフォルトで ALTERNATIVE であるため、レルムに SMTP 設定が設定されている場合のみ使用されます。ユーザーがメールを送信します。ここで、アイデンティティープロバイダーを Red Hat Single Sign-On アカウントとリンクすることを確認できます。メールによるリンクを確認せず、常にパスワード (および OTP) で再認証する方が望ましい場合には、これを無効にします。
再認証による既存のアカウントの確認
メールオーセンティケーターが無効または利用できない場合 (SMTP がレルム用に設定されていない) 場合に使用されます。Red Hat Single Sign-On アカウントをアイデンティティープロバイダーとリンクするためにユーザーが認証する必要があるログイン画面が表示されます。ユーザーは、すでに Red Hat Single Sign-On アカウントにリンクされている異なるアイデンティティープロバイダーで再認証することもできます。ユーザーを強制的に OTP を使用するようにすることもできます。そうでなければ、OTP がユーザーアカウントに既に設定されている場合に限り使用してください。