アプリケーションの一覧

左側のメニューにある、"My Applications" オプションをクリックします。ここでは、 あなたが認可されているアプリケーションを見ることができます。ユーザが所属する 組織の1つを選択し、そのすべてのアプリケーションを表示することもできます。

図4: ユーザ・アプリケーションの一覧表示

図5: 組織のアプリケーションのリスト

アプリケーションの登録

ホーム・ページの "Applications" セクションで、"Register" をクリックして 新しいアプリケーションを登録できます。"My Application " ページから アプリケーションを登録することもできます。

図6: アプリケーション登録の ホーム

必須の属性がいくつかあります :

  • 名前 (Name)

  • 説明 (Description)

  • URL

  • Callback URL. OAuth 2.0プロトコルで必須

  • プロバイダ(Provider). 誰がアプリケーションのプロバイダになるのかを選択する必要が あります。自分自身か、あなたが所有者である組織の1つです

残りの属性は必須ではありませんが、その機能を理解することが重要です :

  • Sign-out Callback URL. サービスからサインアウトが実行された場合に Keyrock がユーザをリダイレクトする先の URL です。設定されていない場合は、URL パラメータで指定されたドメインにリダイレクトされます。 サインアウト oauth セクション で詳細を参照してください。

  • グラント・タイプ (Grant Type). OAuth アクセス・トークンを取得するさまざまな方法を 選択できます。 OAuth2.0 による IdM への接続 を確認してください

  • eIDAS 認証 (eIDAS Authentication). この属性はあなたのサービスが eID によってユーザを認証することを可能にします。 IdM を eIDAS ノードに接続するセクション で詳細を参照してください

図7: KeyRock による Application の登録

"Next" をクリックします。

2番目のステップでは、有効なファイル・タイプを選択してアプリケーションのロゴを 読み込みます。選択した画像の枠を再設定するオプションがあります。

このプロセスを完了したら "Crop Image" をクリックし、"Next" をクリックします。

図8: アプリケーションのロゴのアップロード

図9: 画像のトリミング

3番目のステップでは、アプリケーションのロールとパーミッションを設定します。 次のセクションで説明します。

ロールの管理

このページには、プロバイダ(Provider) と購入者(Purchaser) の2つの デフォルト・ロールがあります。このロールの1つをクリックすると、 そのロールに割り当てられたパーミッションが表示されます。

図10: ロールとパーミッションの一覧

また、新しいロールとパーミッションを作成することもできます。

図11: ロールとパーミッションの作成

新しいロールを作成するには、"New role" をクリックし、ロールの名前を 書き込んでから、"Save"をクリックします。

図12: Create a role

"New Permission" をクリックして新しいパーミッションを追加することもできます。 ここでは、パーミッション、説明、HTTP verb (GET, PUT, POST, DELETE) の名前と そのパーミッションへのパス (正規表現も使用できます) を入力する必要があります。 "Create Permission" と "Finish" をクリックして、アプリケーションの作成を 完了します。

図13: パーミッションの作成

必要に応じて、特定の XACML ルールを設定することもできます。

さらに、対応するボタンをクリックして作成したすべてのロールとパーミッションを 編集および削除できます。

対応するチェック・ボックスをオンにすると、新しいロールのパーミッションを 設定できます。新しい割り当てを作成するには、"Save" ボタンをクリックします。

図14: KeyRock の新しい割り当て

アプリケーションの表示

アプリケーションを作成すると、すべての情報が表示されるページにリダイレクト されます。この情報には、"My Applications" ページから対応するアプリケーションを クリックしてアクセスすることもできます。このページには、アプリケーションの Oauth2 資格情報が表示されます。

図15: アプリケーションのビュー

いくつかのアクションを実行することもできます :

  • アプリケーションを編集 : ここでは、アプリケーションの属性 (名前, 説明, urn, redirect_uri, ロゴ) を変更できます

  • ロールを管理 : 前のセクションで説明しました

  • PEP Proxy を登録

  • IoT Agent を登録

  • ユーザを認可

  • 組織を認可

PEP Proxy と IoT Agent の登録

各アプリケーションに対して、Oauth2 を介した認証と認可を有効にするために PEP Proxy を登録することができます。また、IoT Agent をアプリケーションに 登録して、IoT デバイスに軽量セキュリティメカニズムを提供することもできます。

図16: PEP Proxy と IoT Agent の登録

このコンポーネントのパスワードをリセットしたり、削除したりすることもできます。

ユーザと組織の認可

"Authorize" ボタンをクリックすると、アプリケーション内のユーザまたは組織を 追加できます。

図17: KeyRock による認可

ユーザとグループを管理できるモーダルを示します。ユーザまたは組織、および最初に 割り当てられたロールが表示されます。右の列にあるユーザまたは組織を検索できます。 図18と図19に示すように、ユーザのアイコンの下のロールのドロップダウンメニューを クリックすることで、ユーザまたは組織が追加された後にロールを割り当てることが できます。

図18: KeyRock によるユーザの認可

図19: KeyRockによる組織の認可

ロールを組織に割り当てる場合、ロールをアプリケーションの所有者またはメンバー であるユーザに割り当てます。次のセクションでは、組織の管理方法について 詳しく説明します。

信頼できるアプリケーション (trusted applications) の認可

ここ で説明したように Keyrock に組み込まれている PDP でパーミッションを検証するときには、パーミッションが作成されてユーザに 割り当てられたアプリケーションがチェックされます。

Keyrock を使用すると、アプリケーションの所有者は他のアプリケーションを 信頼できます。したがって、PDP チェックは、現在のアプリケーションまたは それが信頼しているアプリケーションのいずれかにユーザが特定の権限を 持っているかどうかを検証します。信頼できるアプリケーションを追加するには、 API または Web インターフェースを使用できます :

図20: KeyRock による信頼できるアプリケーション