ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、こちらまでご連絡ください。

JWTベアラーフローの設定

Liferay で JWT Bearer を付与タイプとして使用するには、クライアント認証方法を Client Secret Basic または Postに設定して OAuth 2 クライアントを作成する必要があります。クライアントは、Liferay アクセストークンと引き換えに、アサーションと許可タイプとともにクライアント ID とシークレットを送信する必要があります。

アサーションを検証するには、Liferay で着信アサーション発行者を設定する必要があります。これは、Liferay (信頼当事者) と発行者 (トークンサービス) の間に信頼関係を形成するためです。認可付与としてのアサーションを参照

グローバルメニュー () を開き、 コントロールパネル → インスタンス設定に移動します。
OAuth 2 受信アサーション構成で、追加をクリックします。
発行者の名前、JSON Web キーセット、およびユーザー認証タイプを入力します。
[保存]をクリックします。

発行者の値は、発行者の JWT アサーション内の iss 値と等しくなければなりません。ユーザー認証タイプの値は、JWT アサーション内の サブ 値と一致する必要があります。これらの値をマップするには、トークンサービスで追加の構成が必要になる場合があります。

JSON Web キーセットは通常、トークンサービスの JWKS URI で入手できます。たとえば、Keycloakを使用している場合、JWKS URIは次の場所で入手できます。

http://{hostname}/realms/{realm_name}/protocol/openid-connect/certs

JWTベアラーフローの有効化

受信アサーション発行者を構成した後、クライアントの JWT ベアラーフローが有効になっていることを確認します。

グローバルメニュー () を開き、 コントロールパネル → OAuth 2 管理に移動します。
OAuth 2 クライアントを選択し、「許可された認証タイプ」まで下にスクロールします。
JWT_BEARER チェックボックスをオンにします。
[保存]をクリックします。

Liferayからアクセストークンを取得する

着信アサーション発行者を設定し、クライアントの JWT_BEARER フローを有効にすると、Liferay からアクセストークンの取得を開始できます。

機密クライアントを使用している場合は、Liferay のトークン URL https://{hostname}/o/oauth2/token への POST リクエストを開始し、本文に次のパラメータを含める必要があります ( application/x-www-form-urlencodedとしてエンコードされます)。

client_id=YOUR_CLIENT_ID
client_secret=YOUR_CLIENT_SECRET
grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer
assertion=JWT assertion from the token service

以下は、Keycloak からの JWT アサーションを使用して Liferay に対して行われたトークン要求のサンプルです。 Keycloak は、Liferay の着信アサーション発行者として設定されています。

Liferay は JWT Bearer フローのアクセストークンを発行します。