Main Content

PingFederate を使用したアプリケーション アクセス制御の構成

MATLAB® Production Server™ の管理者は、Ping Identity® の PingFederate® を使用して、デプロイされたアプリケーションへのアクセスを特定のユーザーまたはユーザー グループのみに制限できます。アプリケーション アクセス制御を有効にするには、PingFederate の管理者と相談しながら、PingFederate を構成してアクセス制御ポリシー ルールを指定します。

前提条件

OAuth ユース ケース、クライアント、およびエンドポイントの構成、ならびに OpenID® プロバイダー情報の構成については、PingFederate のドキュメンテーションを参照してください。

ダッシュボードでの PingFederate の構成

  1. PingFederate でアプリケーションを登録したら、ダッシュボードの [Application Access Control] タブで PingFederate の構成を作成します。[作成] をクリックして [PingFederate] を選択します。

  2. [Create Identity Provider for Application Access Control] に、アプリケーション固有の値およびプロバイダー固有の値を入力します。[作成] をクリックします。サーバーが Windows® バーチャル マシン上で実行されている場合は、値の保存に最大 30 秒かかることがあります。

    次の表は、入力が必要な値を説明しています。

    フィールド
    名前

    PingFederate 構成の名前。

    アプリ IDJWT の対象となる受信者。受信者は、JWT で aud クレームを検証するのに役立ちます。
    JWT IssuerID プロバイダーの JWT 発行者メタデータ。メタデータの文字列が JWT の iss クレームと一致していなければなりません。
    JWKS URIJSON Web Key Set (JWKS) を取得するための URI。

アクセス制御ポリシー ルールの指定

アクセス制御ポリシー ルールを定義することで、特定のユーザーまたはユーザー グループがアクセスできるアプリケーションを指定します。ルールを定義するには、ダッシュボードの [Application Access Control] タブで、[Access Control Policy] の下にある [ルールの追加] をクリックします。次に、以下の情報を指定します。

フィールド
ルール ID

ルールの名前

Descriptionルールの説明
Usersデプロイされたアプリケーションへのアクセスが許可されるユーザー名
グループデプロイされたアプリケーションへのアクセスが許可されるグループ ID (該当する場合)
アプリケーション

特定のユーザー グループにアクセスを許可するアプリケーション。

すべてのアプリケーションを選択するには、Apply this rule to all applications を選択します。

アプリケーション アクセス制御の有効化

ID プロバイダーを構成してアクセス制御ポリシー ルールを指定したら、ダッシュボードから [はい] オプションを選択して、ダッシュボード アクセス制御を有効にする必要があります。

Application Access Control tab showing that access control is enabled

アクセス トークンの生成

アプリケーション アクセス制御が有効になると、アクセス制御ポリシー ルールに指定されているユーザーはベアラー アクセス トークンを生成できます。アクセス トークンの生成の詳細については、PingFederate OAuth 2.0 Developer Guide を参照してください。

MATLAB Production Server RESTful API を使用してサーバーにリクエストを行う際、クライアント プログラムはこのアクセス トークンを HTTP 認証ヘッダーで使用します。このヘッダーの形式は Authorization:Bearer <access token> です。

関連するトピック