一般的なOIDC
Cloudflare Accessには、Accessに既に設定されていないIdPを統合するための一般的なOpenID Connect (OIDC) コネクタがあります。
-
あなたのアイデンティティプロバイダーを訪れ、クライアント/アプリを作成します。
-
クライアント/アプリを作成する際、あなたのIdPは承認されたリダイレクトURIを要求する場合があります。次のURLを入力してください:
https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callbackあなたのチーム名は、Zero Trustの設定 > カスタムページの下にあります。
-
次のフィールドの内容をコピーします:
- Client ID
- Client secret
- Auth URL: あなたのIdPの
authorization_endpointURL - Token URL: あなたのIdPの
token_endpointURL - Certificate URL: IdPのトークンに署名するための
jwks_uriエンドポイント
これらの値は、あなたのアイデンティティプロバイダーのOIDCディスカバリーエンドポイントで見つけることができます。一部のプロバイダーはこれを「ウェルノウンURL」と呼びます。
-
Zero Trust ↗に移動し、設定 > 認証に進みます。
-
ログイン方法の下で、新規追加を選択します。
-
OpenID Connectを選択します。
-
あなたのアイデンティティプロバイダーに名前を付け、ステップ3で取得した情報で必須フィールドを埋めます。
-
(オプション)IdPがプロトコルをサポートしている場合、Proof of Key Exchange (PKCE) ↗を有効にします。PKCEはすべてのログイン試行で実行されます。
-
(オプション)オプションの設定の下で、ユーザーのアイデンティティに追加したいカスタムOIDCクレームを入力します。この情報は、ユーザーアイデンティティエンドポイントで利用可能になります。
-
保存を選択します。
接続が機能しているかテストするには、認証 > ログイン方法に移動し、テストしたいログイン方法の横にあるテストを選択します。成功すると、確認画面が表示されます。
OIDC統合は、カスタムOIDCクレームの使用をサポートしています。カスタムOIDCクレームは、Accessポリシーで参照でき、これらの特定の属性に基づいてユーザーアクセスを制御する手段を提供します。カスタムOIDCクレームは、現在Gatewayポリシーではサポートされていません。
Accessがユーザーのメールを識別するために使用するカスタムEmailクレーム名を指定できます。これは、あなたのIdPがOIDC IDトークンに標準のemailクレームを返さない場合に便利です。
Cloudflare Accessは、マルチレコードOIDCクレームのサポートを拡張しています。これらのクレームは解析され、ポリシーで個別に参照できます。この機能により、アプリケーション内での詳細なアクセス制御と正確なユーザー認可が可能になります。
Cloudflare Accessは、部分的なOIDCクレーム値の参照やOIDCスコープをサポートしていません。
{ "config": { "client_id": "<your client id>", "client_secret": "<your client secret>", "auth_url": "https://accounts.google.com/o/oauth2/auth", "token_url": "https://accounts.google.com/o/oauth2/token", "certs_url": "https://www.googleapis.com/oauth2/v3/certs", "scopes": ["openid", "email", "profile"] }, "type": "oidc", "name": "一般的なGoogle"}