注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
OpenID Connect(OIDC)↗は、OIDCとも呼ばれ、静的な資格情報を使用せずに外部ソースリソースに認証することを可能にするオープンな認証プロトコルです。
OIDCを使用すると、Foundryでソースシステムの資格情報を設定する必要がありません。そのため、Foundry内でソースシステムの資格情報を長期間保持するシークレットとして複製する必要がありません。代わりに、Foundryとソースシステム間の信頼関係を設定します。FoundryはOIDCのアイデンティティプロバイダとして機能し、Foundryのワークフローがソースシステムで認証する必要があるたび(例えば、Data Connectionの同期時など)、Foundryは使用されているData Connectionソースを識別する主張を含むOIDCトークンを発行します。ソースシステムはこれらの主張を検証し、その後のソースシステムとの対話に使用できる短期間のアクセストークンを提供できます。そのアクセストークンのスコープ、たとえばアクセスが許可されているリソースなどは、利用可能なネイティブの認証および認可ツールを使用してソースシステム内で完全に管理されます。信頼関係を設定する際には、受信リクエストをフィルター処理する条件を追加できます。信頼されていないFoundryソースは、アクセスすべきでないソースシステムのリソースへのアクセストークンを要求できません。
以下のソースがOIDC認証をサポートしています。OIDCとPalantir間の信頼関係を設定する方法の詳細については、各ソースのドキュメンテーションを参照してください。
以下は、Foundryによって生成されたOIDCトークンの例です:
{
"iss": "https://pltroidcpublicexample.blob.store.com/foundry", // 発行者
"sub": "ri.magritte..source.7f3b8e21-4d9a-6c2e-1b7d-8a5f3c9e0b4f", // 主題
"aud": "your-source-system-audience", // 聴衆
"iat": <issued-at>, // 発行時刻
"nbf": <not-before>, // これ以前は使用できません
"exp": <expiry>, // 有効期限
"jti": "<token-unique-identifier>", // トークンの一意な識別子
"scp": "<additonal-scope>", // 追加のスコープ
}
| クレーム | クレームタイプ | 説明 |
|---|---|---|
| iss | issuer url | Foundry を OIDC 身元認証プロバイダとして識別する URL。 |
| sub | subject | ユーザーのソースシステムに接続する Foundry ソースのソース RID。 |
| aud | audience | ユーザーのソースシステムを識別する設定された audience。 |
source-ridは、信頼できない Foundry ソースがユーザーのリソースにアクセスできないように、着信リクエストをフィルター処理するために使用する必要があります。
Foundry によって生成された OIDC トークンは、1 時間後に有効期限が切れます。