外部IDP(説明済み)
IDPはIdentity Providerの頭字語です。外部IDPは、ユーザーID情報を保存および管理し、他のシステムにユーザー認証サービスを提供できる外部アプリケーションおよびサービスです。外部IDPはXProtectVMSに関連付けることができます。
XProtect は OpenID コネクト(OIDC)に対応した外部IDPをサポートしています。
ユーザー認証
外部IDPが設定されている場合、XProtectクライアントは追加の認証オプションとして外部IDPの使用をサポートします。
クライアントのログイン画面のコンピュータアドレスが外部IDPが設定されたXProtectVMSを指している場合、APIコールがトリガーされ、外部IDPの認証オプションがログイン画面で使用可能になります。APIコールは、クライアントの起動時およびアドレスが変更されるたびにアクティベートされます。
クライアントがクエリを実行する特定のAPIは、ユーザー認証を必要としないパブリックAPIであるため、この情報は常にクライアントによって読み取ることができます。
クレーム
クレームは、ユーザーやアプリケーションが自らのことについて表現する記述です。
クレーム名とクレームの値で構成されるクレーム。例えば、クレーム名はクレームの値の内容を説明する標準的な名前である可能性があります。また、クレームの値はグループ名である可能性があります。詳細については、外部IDPからのクレームの例をご参照ください。外部IDPからのクレームの例。
クレームは必須ではありません。ただし、外部IDPユーザーをXProtectVMS内の役割に自動的にリンクし、ユーザーの権限を決定するために必要です。クレームは、外部IDPからのユーザーのIDトークンに含まれ、役割との関連付けによってXProtectのユーザー権限が決定されます。
XProtectVMS役割に関連するクレームが外部IDPユーザーに提供されていない場合、外部IDPユーザーは、初めてログオンするときにXProtectVMSで作成できます。この場合、外部IDPユーザーはどの役割にもリンクされません。その後、XProtectVMS管理者は手動でユーザーを役割に追加する必要があります。
外部IDPの前提条件
VMSで設定する前に、外部IDPで次の手順を完了する必要があります。
-
XProtectVMSで使用するクライアントIDとシークレットは、外部IDPで作成されている必要があります。詳細については、外部IDPユーザーの固有のユーザー名 をご参照ください。
-
外部IDPの認証機関が分かっている必要があります。詳細については、[オプション]ダイアログボックスの外部IDPの認証機関に関する情報をご参照ください。
-
XProtectVMSへのリダイレクトURIは、IDPで設定されている必要があります。詳細については、Webクライアント用リダイレクトURIを追加をご参照ください。
-
必要に応じて、IDP内のユーザーまたはグループに対してVMS関連のクレームが構成されている必要があります。
-
XProtectVMSは、すべての通信が暗号化されたhttps経由で行われるように、証明書を使用して完全に構成する必要があります。そうしないと、ほとんどの外部IDPがXProtectVMSとそのクライアントからの要求を受け入れないか、通信フローの一部とセキュリティトークンの交換が失敗します。
-
XProtectVMSおよび外部IDPを使用するすべてのクライアントコンピューターまたはスマートフォンが、外部IDPログインアドレスに接続できる必要があります。
外部IDPからXProtect VMSにログインすることを許可する
-
外部IDPから、ユーザーを作成し、XProtectVMSでユーザーを外部IDPユーザーとして識別するためのクレームを作成します。クレームの作成は必須の手順ではありませんが、これによってユーザーを役割に自動的にリンクできるようになります。詳細については、クレームをご参照ください。
-
XProtect VMSから、VMSに組み込まれているIdentity Providerが外部IDPにコンタクトするための設定を作成します。外部IDP用の設定を作成する方法の詳細については、外部IDPを追加して設定するをご参照ください。
-
XProtectのVMSで、外部IDPからのユーザークレームをXProtectの役割にマッピングして、ユーザーの認証を確立します。クレームを役割にマッピングする方法の詳細については、XProtectで外部IDPからのクレームを役割にマッピングするをご参照ください。
-
ユーザー認証に外部IDPを使用してXProtectクライアントにログインする方法については、 外部IDP経由でログインするをご参照ください 。
リダイレクト URI
リダイレクト URI は、認証に成功した後にユーザーに送るページを指定します。外部IDPで、マネジメントサーバーのアドレスの後に、XProtect Management Clientで定義したコールバックパス を追加する必要があります。例えば、https://management-server-computer.company.com/idp/signin-oidc
XProtectVMSへのアクセス方法、ネットワーク、サーバー、およびMicrosoft Active Directoryの設定方法に応じて、いくつかのリダイレクトURIが必要になる場合があります。以下に例をいくつか示します。
例
URLにドメインが含まれている、または含まれていない管理サーバー:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
URLにドメインが含まれている、または含まれていないモバイルサーバー:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
モバイルサーバーがインターネット経由でアクセスするように設定されている場合は、パブリックアドレスとポートも追加する必要があります。
外部IDPユーザーの固有のユーザー名
外部IDP経由でMilestone XProtectにログインするユーザーに対してユーザー名は自動的に作成されます。
外部IDPは、XProtectのユーザーに対して名前を自動作成するためのクレーム一式を提供します。また、XProtectでは、外部IDPからVMSデータベース上で固有の名前を選択するため、アルゴリズムが使用されます。
外部IDPからのクレームの例
クレーム名とクレームの値で構成されるクレーム。例:
クレーム名 | クレームの値 |
|---|---|
| 名前 | Raz Van |
| 電子メール | 123@domain.com |
| amr | パスワード |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | オペレータ |
| ロケール | ja-JP |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | アメリカ/Los_Angeles |
| email_verified | 真 |
対象の場所でユーザー名を作成するためクレームのシーケンス番号を使用 - 対象の場所:XProtect
XProtectでは、下の表に示されているクレームのシーケンス番号によって、XProtectのVMS上でユーザーを作成する際の検索優先度が管理されます。XProtectのVMS上では、最初に利用できるクレーム名が使用されます:
クレーム名 | シーケンス番号 | 説明 |
|---|---|---|
| UserNameClaimType | 1 | ユーザー名を設定するため1件のクレームを使って設定されたマッピング。クレームは、[ツール] > [オプション] の [外部IDP] タブにある[ユーザー名の作成に使用するクレーム] フィールドで設定されます。 |
| preferred_username | 2 | 外部IDPから発信できるクレーム。Oidc(OpenID接続) で通常使用される標準的なクレーム。 |
| 名前 | 3 | |
| given_name family_name | 4 | 名と姓の組み合わせ(例えばBob Johnson)。 |
| 電子メール | 5 | |
| 最初に利用できるクレーム + 番号(最初に利用できる番号) | 6 | 例えば、ボブ#1 |
対象の場所でユーザー名を作成するための特定のクレームを設定中 - 対象の場所:XProtect
XProtectのシステム管理者は、XProtect VMS上でユーザー名の作成に使用すべき外部IDPからの特定のクレームを設定できます。システム管理者がXProtect VMS上でユーザー名の作成に使用するクレームを設定すると、クレーム名が外部IDPからのクレーム名とまったく同じ名前となります。
-
ユーザー名に使用するクレームは、[ツール] > [オプション] の [外部IDP] タブにある[ユーザー名の作成に使用するクレーム] フィールドで設定できます。
外部 IDP ユーザーを削除する
XProtectで外部IDPのログインによって作成されたユーザーは、基本ユーザーと同じ方法で削除できます。作成後であればいつでも削除できます。
XProtectでユーザーが削除され、削除されたユーザーが外部IDPから再びログインすると、XProtectで新規ユーザーが作成されます。ただし、プライベートビューや役割などXProtectでユーザーに関連付けられたデータは失われ、失われた情報はXProtectでユーザーに対して再び作成する必要があります。
Management Clientで外部IDPを削除すると、外部IDPを介してVMSに接続しているすべてのユーザーも削除されます。