12.10. 最初のログインフロー
ユーザーが ID ブローカーでログインすると、ユーザーのローカルデータベースがインポートされ、リンクされます。Red Hat Single Sign-On が外部アイデンティティープロバイダー経由でユーザーを認証した場合、2 つの状況が考えられます。
- すでに Red Hat Single Sign-On ユーザーアカウントをインポートし、認証されたアイデンティティープロバイダーアカウントとリンクしています。この場合、Red Hat Single Sign-On は既存ユーザーとして認証し、アプリケーションにリダイレクトします。
- この外部ユーザーにインポートされ、リンクされている既存の Red Hat Single Sign-On ユーザーアカウントはありません。通常は、新しいアカウントを登録して Red Hat Single Sign-On データベースに登録およびインポートするだけですが、同じメールで既存の Red Hat Single Sign-On アカウントがある場合はどうしたらよいですか?既存のローカルアカウントを外部アイデンティティープロバイダーに自動的にリンクすることは、常に外部アイデンティティープロバイダーからの情報を信頼できないセキュリティーです。
上記の競合や状況に関しては、さまざまな組織の要件が異なります。そのため、IDP 設定には First Login Flow
オプションがあり、ユーザーが外部 IDP から初めてログインした後に使用するワークフローを選択できます。デフォルトでは、これは最初の first broker login
フローを参照しますが、独自のフローを設定して使用することができ、異なるアイデンティティープロバイダーに異なるフローを使用することができます。
フロー自体は、Authentication
タブ下の管理コンソールで設定されます。First Broker Login
フローを選択すると、デフォルトで使用されているオーセンティケーターが表示されます。既存のフローを再構成できます。(たとえば、オーセンティケーターを無効にするか、required
として、そのオーセンティケーターをマークし、オーセンティケーターを設定します)。
12.10.1. デフォルトの最初のログインフロー
First Broker Login
フローで提供されるデフォルトの動作を説明します。
- プロファイルの確認
-
このオーセンティケーターは、ユーザーはアイデンティティープロバイダーから取得したプロファイル情報ページが表示される場合があります。オーセンティケーターは設定可能です。
Update Profile On First Login
オプションを設定できます。On
には常にプロファイルページと共に提示されます。この際、アイデンティティーをフェデレーションするために追加情報の入力を求めます。missing
の場合、ユーザーは必須の情報 (電子メール、名、姓) がアイデンティティープロバイダーによって提供されていない場合にのみ、プロファイルページとともに提示されます。Off
にすると、ユーザーが、Review profile info
リンク (Confirm Link Existing Account
オーセンティケーターによる最後の段階で表示される) でクリックしない限り、プロファイルページは表示されません。 - Create User If Unique
-
このオーセンティケーターは、アイデンティティープロバイダーからのアカウントと同じメールまたはユーザー名を持つ既存の Red Hat Single Sign-On アカウントがすでにあるかどうかを確認します。ない場合は、オーセンティケーターは新しいローカルの Red Hat Single Sign-On アカウントを作成し、それをアイデンティティープロバイダーとリンクし、フロー全体を終了します。それ以外の場合は、次の
Handle Existing Account
サブフローが処理されます。重複アカウントがないことを確認する場合は、このオーセンティケーターをREQUIRED
とマークできます。この場合、既存の Red Hat Single Sign-On アカウントがある場合、ユーザーはアカウント管理でアイデンティティープロバイダーアカウントをリンクする必要がある場合に、エラーページが表示されます。 - 既存のアカウントのリンクの確認
-
info ページで、同じメールを持つ既存の Red Hat Single Sign-On アカウントがあることを確認できます。プロファイルを再度確認し、異なるメールまたはユーザー名を使用できます (フローは再起動され、
Review Profile
オーセンティケーターに戻ります)。または、アイデンティティープロバイダーアカウントを既存の Red Hat Single Sign-On アカウントとリンクするかどうかを確認することができます。ユーザーがこの確認ページを表示する必要がない場合は、このオーセンティケーターを無効にしますが、メールの検証または再認証によりアイデンティティープロバイダーアカウントをリンクするよう簡単です。 - 既存のアカウントをメールで検証
-
このオーセンティケーターはデフォルトで
ALTERNATIVE
であるため、レルムに SMTP 設定が設定されている場合のみ使用されます。ユーザーがメールを送信します。ここで、アイデンティティープロバイダーを Red Hat Single Sign-On アカウントとリンクすることを確認できます。メールによるリンクを確認せず、常にパスワード (および OTP) で再認証する方が望ましい場合には、これを無効にします。 - 再認証による既存のアカウントの確認
- メールオーセンティケーターが無効または利用できない場合 (SMTP がレルム用に設定されていない) 場合に使用されます。Red Hat Single Sign-On アカウントをアイデンティティープロバイダーとリンクするためにユーザーが認証する必要があるログイン画面が表示されます。ユーザーは、すでに Red Hat Single Sign-On アカウントにリンクされている異なるアイデンティティープロバイダーで再認証することもできます。ユーザーを強制的に OTP を使用するようにすることもできます。そうでなければ、OTP がユーザーアカウントに既に設定されている場合に限り使用してください。