概要
OpenID Connect(OIDC)を用いて認証を行うため設定方法について説明します。
本記事では、OpenID ProviderとしてGoogleを利用する場合の手順を紹介します。
検証環境
OS : Windows Server 2022
Spotfire バージョン: 12.5.0
検証環境ではSpotfire 12.5.0を使用していますが、Spotfire 12.0 LTS以降には同じ手順で設定可能です。
事前準備
Spotfire ServerにおけるOIDCの導入には、事前に以下の作業が必要です。
- Public Address設定
https://spotfire.example.com/のように、HTTPSプロトコルのPublic Addressを設定
- SSL設定
- Spotfire ServerもしくはSpotfire ServerへトラフィックをルーティングするロードバランサにSSL証明書をアタッチし、SSLを終端
- 自己署名証明書を利用することも可
Google側の設定
OpenID Providerとして、Googleを利用する場合の手順について説明します。
OAuth2 クライアント ID(認証情報)を作成し、リダイレクトURIを設定します。
Spotfire側の設定
OpenID Connect
1. Configuration Toolを起動し、ConfigurationタブのOpenID Connectを開き、Enable OpenID ConnectをYesに設定します。
2. Add new providerから任意の名前を入力します。
3. 名前を入力後に以下のプロパティを入力します。
| 項目 | 内容 |
|---|---|
| Enabled | Yes |
| Provider name | 任意の名称(例: Google) |
| Discovery document URL | https://accounts.google.com/.well-known/openid-configuration |
| Client ID | クライアントID |
| Client secret | クライアントシークレット |
Post Authentication Filter
Configuration Toolを開き、Post Authentication FilterのDefault filter modeをBlock(デフォルト値)からAuto-createに変更しておくことで、Googleに存在するユーザーをSpotfire Server側に事前に作成しておかなくても、初回ログイン時にユーザーが自動で作成されます。
OpenID ConnectによるSSO可能なユーザーをシステム管理者側で限定する必要がある場合は、Blockのままにしておくことを推奨します。ただし、この場合には、GoogleのユーザーにマッチするユーザーをSpotfire Server側に事前に作成しておく必要があります。
Spotfire Serverの再起動
上記の設定を保存した後、設定を反映させるためSpotfireサービスを再起動します。