The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

よく知られたOpenID Connect プロバイダーの設定

はじめに

OpenID Connect Authorization Code Flow を使用して Quarkus エンドポイントを保護する場合は、OpenID Connect プロバイダーへの接続方法、そのようなプロバイダーへの認証方法、使用するスコープなどを指示するように Quarkus を設定する必要があります。

一部のプロバイダーは OpenID Connect を完全に実装していなかったり、実際は OAuth2 providers only だったりするため、これらを回避するために設定を使用しなければならない場合があります。

このようなプロバイダーの設定は、複雑で非常に技術的になり、理解が困難になる可能性があります。

よく知られた OpenID Connect および OAuth2 プロバイダーを参照するために、quarkus.oidc.provider 設定プロパティーが導入されました。このプロパティーを使用して、最小限のカスタマイズのみが必要な github などのプロバイダーを参照することができます。通常、アカウント固有の client idclient secret およびいくつかのプロパティーを設定して設定を完了する必要があります。

このプロパティーは、application.properties、複数のプロバイダーを設定する必要がある場合は multi-tenant セットアップ (たとえば、https://quarkiverse.github.io/quarkiverse-docs/quarkus-renarde/dev/security.html#_using_oidc_for_login[Quarkus Renarde security documentation]) を参照)、テナント設定が動的に作成される場合はカスタムの TenantConfigResolvers で使用することができます。

よく知られたプロバイダー

GitHub

GitHub の OIDC を設定するには、 GitHub developer settings で新しい OAuth アプリケーションを作成する必要があります。

oidc github 1

詳細を適切に入力する必要がありますが、さらに重要なのは、Authorization Callback URL を http://localhost:8080/_renarde/security/github-success に設定することです (Quarkus DEV モードを使用してテストする場合)。

次に、Register application をクリックすると、アプリケーションページが表示されます。

oidc github 2

Generate a new client secret をクリックし、クレデンシャルを確認して、Client ID と Client Secret を書き留める必要があります (特に Client Secret は、後でこのページで再度見ることができないため、書き留めてください。ただし、いつでも再作成できますので、心配しすぎる必要はありません)。

oidc github 3

次に、以下の設定を application.properties に追加します。

quarkus.oidc.provider=github
quarkus.oidc.client-id=<Client ID>
quarkus.oidc.credentials.secret=<Secret>

Google

OIDC for Google を設定するには、 Google Cloud Platform console で新しいプロジェクトを作成する必要があります。

プロジェクト名を選択し、CREATE をクリックします。

oidc google 1

次に、トップセレクターでプロジェクトを選択し、左側のメニューバーから APIs and Services > OAuth consent screen をクリックします。

oidc google 2

External を選択して、Google ユーザーがアプリケーションにログインすることを許可し、CREATE を押します。

oidc google 3

これで、アプリケーション名、サポートメール、開発者の連絡先情報を入力して、SAVE AND CONTINUE を押すことができます。

oidc google 4

次のページにスコープを追加せずに、SAVE AND CONTINUE を押します。

oidc google 5

次のページにテストユーザーを追加せずに、SAVE AND CONTINUE を押します。

oidc google 6

トップメニューの CREATE CREDENTIALS > OAuth client ID をクリックします。

oidc google 7

Application type として Web application を選択し、Authorised redirect URIs リストに http://localhost:8080/_renarde/security/oidc-success を追加して、CREATE を押します。

oidc google 8

Client ID と Client Secret をコピーします。

oidc google 9

これで、application.properties を設定できます。

quarkus.oidc.provider=google
quarkus.oidc.client-id=<Client ID>
quarkus.oidc.credentials.secret=<Secret>

Microsoft

Microsoft 用の OIDC をセットアップするには、 Microsoft Azure Portal にアクセスし、Azure Active Directory を検索してクリックする必要があります。

oidc microsoft 1

そこで、左側の Manage の下にある App registrations をクリックしてから、New registration をクリックします。

oidc microsoft 2

アプリケーション名を入力し、Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox) を選択して誰でもログインできるようにし、 Web Redirect URI を http://localhost:8080/_renarde/security/oidc-success として追加してから `Register`をクリックします。

oidc microsoft 3

その結果のページで、Client Id (Application (client) ID の下) をコピーしてから、Add a certificate or secret をクリックします。

oidc microsoft 4

次に、Client secrets (0) の下にある New client secret をクリックします。

oidc microsoft 5

何も変更せずに、そのダイアログで Add をクリックします。

oidc microsoft 6

結果のページで、Secret ID をコピーします。

oidc microsoft 7

これで、application.properties を設定できます。

quarkus.oidc.provider=microsoft
quarkus.oidc.client-id=<Client ID>
quarkus.oidc.credentials.secret=<Secret>

Apple

Apple 用の OIDC を設定するには、開発者アカウントを作成し、99 ユーロ/年のプログラムにサインアップする必要がありますが、他のほとんどの OIDC プロバイダーのように localhost でアプリケーションをテストすることはできません。https で実行して公開する必要があるため、開発目的では https://ngrok.com などのサービスを使用することをお勧めします。

Create a new identifier にアクセスして + を押します

oidc apple 1

何も触れないで、App IDs を選択したまま Continue を押します。

oidc apple 2

何も触れないで、App を選択したまま Continue を押します。

oidc apple 3

説明とバンドル ID を入力します (アプリケーションパッケージ名を使用します)。

oidc apple 4

次に、下にスクロールして Sign in with Apple 機能を見つけ、それを選択して、Continue を押します。

oidc apple 5

アプリ ID 接頭辞を書き留めてから、Register を押します。

oidc apple 6

Identifiers ページに戻り、 + を押します。

oidc apple 7

Service IDs を選択し、Continue を押します。

oidc apple 8

説明とバンドル ID を入力 (アプリケーションパッケージ名を使用) し、Continue を押します。

oidc apple 9

次に、Register を押します。

oidc apple 10

サービスリストに戻り、新しく作成したサービスをクリックします。

oidc apple 11

Sign in with Apple を有効にして、Configure を押します。

oidc apple 12

ドメインを追加して URL (<host>/_renarde/security/oidc-success に設定) を返し、Next を押します。

oidc apple 13

次に Done を押します。

oidc apple 14

続いて Continue を押します。

oidc apple 15

そして、Save を押します。

oidc apple 16

左側のメニューの Keys ページに移動し、+ を押します。

oidc apple 17

キー名を入力し、Sign in with Apple を有効にして、Configure を押します。

oidc apple 18

Primary App ID を選択し、Save を押します。

oidc apple 19

キーページに戻り、Continue を押します。

oidc apple 20

次に、Register を押します。

oidc apple 21

Key ID を書き留めてキーをダウンロードし、src/main/resources/AuthKey_<KEYID>.p8 の Quarkus アプリケーションに保存します。

oidc apple 22

これで、application.properties を設定できます。

quarkus.oidc.provider=apple
quarkus.oidc.client-id=<Bundle ID>
quarkus.oidc.credentials.jwt.key-file=AuthKey_<Key ID>.p8
quarkus.oidc.credentials.jwt.token-key-id=<Key ID>
quarkus.oidc.credentials.jwt.issuer=<App ID Prefix>
quarkus.oidc.credentials.jwt.subject=<Bundle ID}

Facebook

Facebook では、他のほとんどの OIDC プロバイダーのように localhost でアプリケーションをテストすることはできません。https で実行して公開する必要があるため、開発目的では https://ngrok.com などのサービスを使用することをお勧めします。

Facebook 用の OIDC を設定するには、 Creating an application から開始し、アプリのタイプとして None を選択して Next を押します。

oidc facebook 1

次に、アプリケーション名と連絡先のメールアドレスを入力し、Create app を押します。

oidc facebook 2

アプリページで、Facebook login 製品の Set up をクリックします。

oidc facebook 3

Quickstarts ページをクイックし、左側のメニューの Facebook login > Settings をクリックします。

oidc facebook 4

Redirect URIs を入力 (<host>/_renarde/security/oidc-success に設定) し、Save changes を押します:

oidc facebook 5

次に、左側のメニューの Settings > Basic に移動し、App IDApp secret を書き留めます。

oidc facebook 6

これで、application.properties を設定できます。

quarkus.oidc.provider=facebook
quarkus.oidc.client-id=<App ID>
quarkus.oidc.credentials.secret=<App secret>

Twitter

OIDC ログインには Twitter を使用できますが、現時点では、ユーザーのメールへのアクセスが制限されているため、ご自身で Twitter を取得して確認する必要があります。

Twitter 用の OIDC を設定するには、 Creating a project で開始し、プロジェクト名を入力して、Next を押します。

oidc twitter 1

ユースケースを入力し、Next を押します。

oidc twitter 2

プロジェクトの説明を入力し、Next を押します。

oidc twitter 3

次に、アプリケーション名を入力して、Next を押します。

oidc twitter 4

キーは再び表示されないので書き留めて、App Settings を押します。

oidc twitter 5

User authentication settings セクションに移動し、Set up を押します。

oidc twitter 6

OAuth 2.0 チェックボックスをオンにします。

oidc twitter 7

アプリケーションタイプとして Web App を選択し、アプリケーションの詳細を入力します (Callback URI の場合は <host>/_renarde/security/twitter-success を使用)。

Twitter は実際には https を使用する必要はありませんが、https がないと Website URL を受け入れないため、ngrok を引き続き使用できます。

次に、Save を押します。

oidc twitter 8

これで、Client ID および Client Secret をコピーして Done を押すことができます。

oidc twitter 9

これで、application.properties を設定できます。

quarkus.oidc.provider=twitter
quarkus.oidc.client-id=<Client ID>
quarkus.oidc.credentials.secret=<Client Secret>

Spotify

Spotify application を作成します。

oidc spotify 1

開発目的のテスト用に、リダイレクト URI として http://localhost:8080 を追加することを忘れないでください。Spotify アプリケーションのセットアップが完了すると、クライアント ID とシークレットが生成されます。以下に例を示します。

oidc spotify 2

これで、application.properties を設定できます。

quarkus.oidc.provider=spotify
quarkus.oidc.client-id=<Client ID>
quarkus.oidc.credentials.secret=<Client Secret>