このページの内容は最新ではありません。最新版の英語を参照するには、ここをクリックします。
その他の ID プロバイダーを使用したアプリケーション アクセス制御の構成
MATLAB® Production Server™ は、アプリケーション アクセス制御のために複数の OAuth 2.0 プロバイダーと統合されています。アプリケーション アクセス制御を使用すると、サーバー管理者は、デプロイされたアプリケーションへのアクセスを特定のユーザーまたはユーザー グループのみに制限できます。アプリケーション アクセス制御を有効にするには、OAuth 2.0 プロバイダーの管理者と相談しながら、ID プロバイダーを構成してアクセス制御ポリシー ルールを指定します。
ID プロバイダーでのアプリケーションの登録
アプリケーション アクセス制御に ID プロバイダーを使用するには、ID プロバイダーでアプリケーションを登録します。ID プロバイダーの管理者と相談してアプリケーションを登録します。
ダッシュボードでの ID プロバイダーの構成
ID プロバイダーでアプリケーションを登録したら、ダッシュボードの [Application Access Control] タブで ID プロバイダーの構成を作成します。[作成] をクリックして [その他] を選択します。[Create Identity Provider for Application Access Control] に、アプリケーション固有の値およびプロバイダー固有の値を入力します。[作成] をクリックします。サーバーが Windows® バーチャル マシン上で実行されている場合は、値の保存に最大 30 秒かかることがあります。
次の表は、入力が必要な値を説明しています。
フィールド | 値 |
---|---|
名前 | ID プロバイダーの名前。 |
アプリ ID | JWT の対象となる受信者。受信者は、JWT で aud クレームを検証するのに役立ちます。 |
JWT Issuer | ID プロバイダーの JWT 発行者メタデータ。メタデータの文字列が JWT の iss クレームと一致していなければなりません。 |
JWKS URI | JSON Web Key Set (JWKS) を取得するための URI。 |
[Create Identity Provider for Application Access Control] の下に、既定値以外の値を [UserAttribute ID] および [GroupAttribute ID] に指定するためのオプションがあります。[UserAttribute ID] は、ユーザーを一意に識別する JWT クレーム名です。[GroupAttribute ID] は、ユーザーが属しているグループをリストする JWT クレーム名です。使用する ID プロバイダーに応じて、既定値の変更が必要になる可能性があります。
アクセス制御ポリシー ルールの指定
アクセス制御ポリシー ルールを定義することで、特定のユーザーまたはユーザー グループがアクセスできるアプリケーションを指定します。ルールを定義するには、ダッシュボードの [Application Access Control] タブで、[Access Control Policy] の下にある [ルールの追加] をクリックします。次に、以下の情報を指定します。
フィールド | 値 |
---|---|
ルール ID | ルールの名前。 |
Description | ルールの説明。 |
Users | デプロイされたアプリケーションへのアクセスが許可される、ID プロバイダーでセットアップされたユーザー名。 |
グループ | デプロイされたアプリケーションへのアクセスが許可される、ID プロバイダーでセットアップされたグループ ID。 |
アプリケーション | 指定されたユーザーおよびグループがアクセスできるアプリケーション。 すべてのアプリケーションを選択するには、 |
アプリケーション アクセス制御の有効化
ID プロバイダーを構成してアクセス制御ポリシー ルールを指定したら、ダッシュボードから [はい] オプションを選択して、ダッシュボード アクセス制御を有効にする必要があります。
アクセス トークンの生成
アプリケーション アクセス制御を有効にしたら、クライアントはベアラー トークンを生成できます。クライアント プログラムは、トークンの生成にサードパーティのライブラリを使用できます。OAuth ライブラリのリストについては、OAuth libraries を参照してください。MATLAB Production Server RESTful API を使用してサーバーにリクエストを行う際、クライアント プログラムはこのベアラー トークンを HTTP 認証ヘッダーで使用します。このヘッダーの形式は Authorization:Bearer <access token>
です。