DSAR ウェブフォームの認証は、OpenID 接続(OIDC)の暗黙的許可タイプをサポートする認証済み ID プロバイダ(IdP)を介して構成できます。これは、クライアントが既存のアカウントを使用して認証を行う特定のデータ主体にウェブフォームを提供する場合に便利です。ウェブフォームはその IdP アカウントから取得した情報で事前入力されます。
注記
次の手順では、IdP の例として Okta を使用します。その他の認定 IdP に関するドキュメントは、OneTrust チームがテストした場合に入手可能です。
メニューのを選択します。[ウェブフォームテンプレート]画面が表示されます。
-
目的のウェブフォームの[表示]ボタンを選択して、[ウェブフォームのカスタマイズ]画面を開きます。
注記
この記事では、公開されたウェブフォームを例として使用します。新しいウェブフォームの作成の詳細については、ウェブフォームの作成を参照してください。
[検証]タブに移動します。
IdP を介して認証を許可するには、[ウェブフォームで認証を有効にする]設定を有効にします。
-
認証されていないユーザーにフォームへのアクセスを許可する場合は、[認証なしでウェブフォームへのアクセスを許可する]設定を有効にします。
注記
これにより、フォームにアクセスするユーザーは、既存のアカウントにログインするか、ログインせずに続行するかを選択できます。
[ID プロバイダの構成]フィールドで、[新規追加]を選択して、ID プロバイダの設定モーダルを開きます。
-
[ID プロバイダ名]に、この IdP 構成の名前を入力します。
注記
このモーダルを開いたままにします。IdP からベース URL を取得した後に戻ります。
ヒント
複数の構成に同じ IdP を使用する場合は、各ウェブフォーム認証の設定に一意の名前を作成することをお勧めします。
Okta を使用してシングルページアプリケーションを作成するには
-
別のウィンドウで、Okta アカウントにログインし、メインナビゲーションメニューの[アプリケーション]タブを選択します。[アプリケーション]画面が表示されます。
-
[アプリケーションの追加]ボタンをクリックし、[新しいアプリケーションの作成]画面で[単一ページアプリ]を選択して、ウェブフォームを単一ページアプリケーションとして設定します。終了したら、[次へ]ボタンをクリックします。
-
[アプリケーション設定]ブロックで、IdP 構成用に作成した名前を OneTrust の[名前]フィールドに入力します。
注記
このページは開いたままにします。ベース URL とリダイレクト URI を入力します。
-
IdP のベース URL をコピーし、OneTrust の ID プロバイダー設定モーダルの[ベース URL]フィールドに貼り付けます。
-
[検証]ボタンをクリックして IdP を検証します。
-
検証が完了すると、OneTrust は、IdP での認証にウェブフォーム URL を使用する方法を示す構成ブロックを生成します。
注記
このページは開いたままにします。IdP からクライアント ID を取得した後に戻ります。
-
提供されている公開ウェブフォーム URL の横にある[コピー]ボタンをクリックし、Okta の[ログインリダイレクト URL]フィールドに貼り付けます。
-
公開されたウェブフォームリンクからベース URL をコピーし、Okta の[ベース URL]フィールドに貼り付けます。
-
で[暗黙的]にチェックを入れます。
[完了]をクリックして変更を保存し、IdP 構成を確定します。新しく作成したアプリのページが表示されます。
-
[全般]タブで、[クライアント資格情報]ブロックの[クライアント ID]フィールドを探します。フィールドの情報をコピーし、OneTrust の[クライアント ID]フィールドに貼り付けます。
許可の種類として[暗黙的]が選択されていることを確認します。
スコープは、IdP がアクセストークンを発行するときにアクセス権限を指定するために使用されます。IdP から要求するスコープを指定できます。必要に応じて、スコープから対応するウェブフォームフィールドに要求をマップして、IdP から取得したデータをフィールドに事前入力できます。
知っておくべきこと
スコープとクレームは、承認エンドポイントを通じて取得される ID トークンで使用可能である必要があります。次に、ウェブフォームフィールドを事前入力するには、OneTrust に対して適切にマップする必要があります。
OneTrust では、ユーザー情報エンドポイントを介して送信される情報の事前作成はサポートされていません。
スコープは大文字と小文字が区別されます。
OIDC の場合は、スコープとして openid を含める必要があります。それがないと構成は失敗します。
属性のネストについては、入れ子のクレームを参照してください。
-
国または州の値にデータをマッピングする場合、IdP は ISO 3166 コード標準(カリフォルニア = CA、合衆国 = US など)を使用して OneTrust にデータを送信する必要があります。
注記
シードされた州フィールドにマッピングする場合、ユーザーは必須フィールドとして国にもマップする必要があります。
IdP の指定されたフィールドに従ってクレームを照合します。Okta の予想されるペイロードとスコープ依存のクレームの詳細については、「Okta ID トークンペイロード」を参照してください。
-
[スコープとクレーム]ブロックで、[スコープ]フィールドにウェブフォームから収集するスコープを入力します。
IdP からウェブフォームにマップするクレーム/属性を[クレーム/属性]フィールドに入力します。
-
対応するウェブフォームフィールドを[フォームフィールド]フィールドのクレーム/属性に一致させます。
[保存]ボタンをクリックします。
-
[公開]ボタンをクリックして、変更を送信します。DSAR ウェブフォームのユーザー認証を使用した OIDC のセットアップが完了しました。
入れ子のクレーム
単一のスコープのネストされた属性をマップできます。IdP の指定されたクレームまたは属性を参照して、対応するウェブフォームフィールドと一致させて、入れ子になったデータを収集します。
[クレーム/属性]ブロックで、スコープに合致する入れ子になった属性をすべて一覧表示します。
入れ子になったクレームを対応するウェブフォームフィールドと一致させます。
サンプルコード
profile {
"address" :
{ "street_address": "123 Hollywood Blvd.",
"locality": "Los Angeles",
"region": "CA",
"postal_code": "90210",
"country": "US"
},
}
-
[テスト]ボタンをクリックしてウェブフォームにアクセスします。ゲストユーザーとしてサインインするか、続行するかを選択できます。
-
ブラウジングセッションで認証済みユーザーとして既にサインインしている場合、ウェブフォームは IdP アカウントの名前と電子メールフィールドに自動的に入力されます。これらのフィールドはグレー表示され、変更できません。
新しい未認証ユーザーは IdP のログイン画面にリダイレクトされ、ウェブフォームにアクセスするための資格情報を入力するように求められます。
ゲストユーザーとしてサインインすると、ウェブフォームは事前入力されないか、認証済みになります。さらに、ID は、ウェブフォームを送信するために、別の ID 検証プロセス(ドキュメントのアップロード、電子メールの検証など)を通じて検証する必要があります。
-
ユーザーが事前入力されたウェブフォームを送信すると、Idp からウェブフォームにマップされたフィールドの横にチェックマークが表示されます。
