PingFederate を使用したアプリケーションアクセス制御の構成

MATLAB^® Production Server™ の管理者は、Ping Identity^® の PingFederate^® を使用して、デプロイされたアプリケーションへのアクセスを特定のユーザーまたはユーザーグループのみに制限できます。アプリケーションアクセス制御を有効にするには、PingFederate の管理者と相談しながら、PingFederate を構成してアクセス制御ポリシールールを指定します。

前提条件

OAuth ユースケース、クライアント、およびエンドポイントの構成、ならびに OpenID^® プロバイダー情報の構成については、PingFederate のドキュメンテーションを参照してください。

ダッシュボードでの PingFederate の構成

PingFederate でアプリケーションを登録したら、ダッシュボードの [Application Access Control] タブで PingFederate の構成を作成します。[作成] をクリックして [PingFederate] を選択します。

[Create Identity Provider for Application Access Control] に、アプリケーション固有の値およびプロバイダー固有の値を入力します。[作成] をクリックします。サーバーが Windows^® バーチャルマシン上で実行されている場合は、値の保存に最大 30 秒かかることがあります。

次の表は、入力が必要な値を説明しています。

フィールド	値
名前	PingFederate 構成の名前。
アプリ ID	JWT の対象となる受信者。受信者は、JWT で aud クレームを検証するのに役立ちます。
JWT Issuer	ID プロバイダーの JWT 発行者メタデータ。メタデータの文字列が JWT の iss クレームと一致していなければなりません。
JWKS URI	JSON Web Key Set (JWKS) を取得するための URI。

アクセス制御ポリシールールの指定

アクセス制御ポリシールールを定義することで、特定のユーザーまたはユーザーグループがアクセスできるアプリケーションを指定します。ルールを定義するには、ダッシュボードの [Application Access Control] タブで、[Access Control Policy] の下にある [ルールの追加] をクリックします。次に、以下の情報を指定します。

フィールド	値
ルール ID	ルールの名前
Description	ルールの説明
Users	デプロイされたアプリケーションへのアクセスが許可されるユーザー名
グループ	デプロイされたアプリケーションへのアクセスが許可されるグループ ID (該当する場合)
アプリケーション	特定のユーザーグループにアクセスを許可するアプリケーション。すべてのアプリケーションを選択するには、`Apply this rule to all applications` を選択します。

アプリケーションアクセス制御の有効化

ID プロバイダーを構成してアクセス制御ポリシールールを指定したら、ダッシュボードから [はい] オプションを選択して、ダッシュボードアクセス制御を有効にする必要があります。

Application Access Control tab showing that access control is enabled

アクセストークンの生成

アプリケーションアクセス制御が有効になると、アクセス制御ポリシールールに指定されているユーザーはベアラーアクセストークンを生成できます。アクセストークンの生成の詳細については、PingFederate OAuth 2.0 Developer Guide を参照してください。

MATLAB Production Server RESTful API を使用してサーバーにリクエストを行う際、クライアントプログラムはこのアクセストークンを HTTP 認証ヘッダーで使用します。このヘッダーの形式は Authorization:Bearer <access token> です。