Internet User Authorization (IUA) のサポート
インターシステムズ製品には、IHE Internet User Authorization (IUA) プロファイルの要件を満足する OAuth 2.0 のサポートが組み込まれています。IHE IUA プロファイルは、HTTP RESTful トランザクションの承認プロファイルを提供するものです。IUA プロファイルの概要は、IHE の WikiOpens in a new tab を参照してください。
IUA のアクターとトランザクションはすべてインターシステムズ製品でサポートされます。これらのアクターとトランザクションを実装する方法は、"OAuth 2.0 および OpenID Connect の使用法" ガイドの各セクションで説明されています。アクターまたはトランザクションに関する具体的な説明は、以下のリンクを参照してください。"OAuth 2.0 および OpenID Connect の使用法" ガイドではアクセス・トークンという用語が使用されているのに対し、IHE プロファイルでは承認トークンという用語が使用されていることに注意してください。
IUA のアクター
インターシステムズ製品は、IUA の 3 つすべてのアクターとして機能できます。
-
承認クライアント — 承認サーバから承認トークンを取得して、リソース・サーバへの要求にそのトークンを接続し、サーバがトランザクションを完了することを承認されていることを証明します。実装の詳細は、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “OAuth 2.0 クライアントとしての InterSystems IRIS Web アプリケーションの使用法” を参照してください。
-
承認サーバ — リソース・サーバとのトランザクションを完了するために使用する承認トークンをクライアントに発行する前に、承認クライアントの資格情報と他の情報を確認します。実装の詳細は、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “OAuth 2.0 承認サーバとしての InterSystems IRIS の使用法” を参照してください。
-
リソース・サーバ — 有効な承認トークンが要求に含まれる限り、HTTP RESTful トランザクション要求を受け入れます。実装の詳細は、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “OAuth 2.0 リソース・サーバとしての InterSystems IRIS Web アプリケーションの使用法” を参照してください。
IUA のトランザクション
インターシステムズ製品は、Get Authorization Token および Incorporate Authorization Token の両方の IUA トランザクションを正常に完了することができます。
Get Authorization Token (ITI-71)
Get Authorization Token トランザクションには、承認クライアントと承認サーバの両方が関与し、そのどちらもインターシステムズ製品でサポートされています。承認クライアントが承認トークンを要求して取得する設定とプロセスは、“OAuth 2.0 クライアントとしての InterSystems IRIS Web アプリケーションの使用法” の “構成要件” および “トークンの取得” のセクションを参照してください。承認トークンに対するクライアントの要求を処理し、そのトークンを付与するための設定と基本的なロジックは、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “OAuth 2.0 承認サーバとしての InterSystems IRIS の使用法” を参照してください。
Incorporate Authorization Token (ITI-72)
承認クライアントは、承認トークンを正常に取得した後、リソース・サーバに送信される RESTful トランザクション要求にそのトークンを組み込む必要があります。インターシステムズ製品がトークンを RESTful 要求に組み込む方法の詳細は、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “HTTP 要求へのアクセス・トークンの追加” を参照してください。HTTP 要求を受け入れるリソース・サーバとしてインターシステムズ製品を使用することもできます。受信要求から承認トークンを抽出して検証するリソース・サーバを構築する方法のガイドは、"OAuth 2.0 および OpenID Connect の使用法" ガイドの “コード要件” を参照してください。
IUA アクターのオプション
IUA プロファイルに従って、すべてのアクターは、承認トークンのために JSON Web トークン形式 (JWT) をサポートする必要があります。これらのアクターは、SAML または OAuth ベアラー・トークン形式をサポートすることもできます。任意のトークン形式を使用するようにインターシステムズの承認クライアントとリソース・サーバを構築できますが、インターシステムズは、SAML トークンの生成と処理についてはテストしていません。
既定では、インターシステムズ製品を承認サーバとして使用した場合、OAuth ベアラー・トークンが生成されます。JWT トークンを生成するよう切り替えるには、以下の手順に従います。
-
管理ポータルを開き、[システム管理] > [セキュリティ] > [OAuth 2.0] > [サーバ] に移動します。
-
[カスタマイズ] タブを選択します。
-
[トークン生成クラス] フィールドに、%OAuth2.Server.JWT と入力します。
-
"OAuth 2.0 および OpenID Connect の使用法" の説明に従って、JWT を使用するための他の要件をすべて完了します。