SAML プロバイダと OIDC プロバイダをプログラムで管理する
このドキュメントでは、Identity Platform Admin SDK を使用して Security Assertion Markup Language(SAML)2.0 と OpenID Connect(OIDC)のプロバイダ構成をプログラムで管理する方法について説明します。
Admin SDK を使用すると、プロバイダの構成、基本的な CRUD オペレーションの実行、証明書のローテーションなどを行えます。これは、Google Cloud コンソールを使用して手動で管理することが煩雑なプロバイダが多数ある場合に役立ちます。
準備
SAML プロバイダの利用
SAML プロバイダ構成の作成
SAML プロバイダ構成を作成する際は、次のパラメータを指定する必要があります。各値を取得する方法の詳細については、必要に応じて、ID プロバイダのドキュメントをご覧ください。
- 表示名
- 構成のわかりやすい表示名。これは、Google Cloud コンソールにおけるプロバイダ ラベルでもあります。
- 有効
- 現在のプロバイダ構成の有効 / 無効。無効なプロバイダではログインできません。
- プロバイダ ID
saml.で始まるプロバイダの一意の ID。- ID プロバイダのエンティティ ID
- プロバイダのエンティティ ID。
- SSO の URL
- プロバイダの SAML SSO URL。URL は有効なものである必要があります。
- X.509 証明書
-
SAML プロバイダの X.509 証明書のリスト。証明書には、
-----BEGIN CERTIFICATE-----と-----END CERTIFICATE----の文字列を含みます。これは、ID プロバイダのトークン署名に使用されます。Identity Platform は、SAML レスポンスを受信すると、記録されている証明書を使用して署名を検証します。検証で不合格だと、レスポンスは拒否されます。証明書は、鍵がローテーションされると、更新する必要があります。ローテーション中のサービス停止を防ぐために、複数の証明書をアップロードすることを検討してください。
- リライング パーティ エンティティ ID
- SAML リライング パーティ(RP/SP)のエンティティ ID。通常は、アプリの URL です。SAML ID プロバイダでは、オーディエンスと呼ばれます。
- コールバック URL
-
認証の完了時に返される URL。通常、SAML プロバイダでは、ACS URL(Assertion Consumer Service URL)と呼ばれています。この URL を SAML プロバイダに登録する必要があります。Google Cloud コンソールに表示される URL と同様、
https://PROJECT-ID.firebaseapp.com/__/auth/handlerという形式の URL になります。詳細については、SAML を使用したユーザーのログインをご覧ください。デフォルトのコールバック URL を使用すると、SAML レスポンスを検証する複雑さが軽減されます。ただし、カスタム ドメインを表示することもできます。この場合、プロジェクトの Identity Platform コールバック URL が SAML ID プロバイダで正しく構成されていることを確認してください。通常、
https://AUTH-DOMAIN/__/auth/handlerのような形式になります。
SAML プロバイダ構成の作成方法を、次の例に示します。
Node.js
const newConfig = {
displayName: 'SAML provider name',
enabled: true,
providerId: 'saml.myProvider',
idpEntityId: 'IDP_ENTITY_ID',
ssoURL: 'https://example.com/saml/sso/1234/'
x509Certificates: [
'-----BEGIN CERTIFICATE-----\nCERT1...\n-----END CERTIFICATE-----',
'-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----',
],
rpEntityId: 'RP_ENTITY_ID',
// Using the default callback URL.
callbackURL: 'https://project-id.firebaseapp.com/__/auth/handler',
};
admin.auth().createProviderConfig(newConfig).then(() => {
// Successful creation.
}).catch((error) => {
// Handle error.
});
Go
newConfig := (&auth.SAMLProviderConfigToCreate{}).
DisplayName("SAML provider name").
Enabled(true).
ID("saml.myProvider").
IDPEntityID("IDP_ENTITY_ID").
SSOURL("https://example.com/saml/sso/1234/").
X509Certificates([]string{
"-----BEGIN CERTIFICATE-----\nCERT1...\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----",
}).
RPEntityID("RP_ENTITY_ID").
CallbackURL("https://project-id.firebaseapp.com/__/auth/handler")
saml, err := client.CreateSAMLProviderConfig(ctx, newConfig)
if err != nil {
log.Fatalf("error creating SAML provider: %v\n", err)
}
log.Printf("Created new SAML provider: %s", saml.ID)
Python
saml = auth.create_saml_provider_config(
display_name='SAML provider name',
enabled=True,
provider_id='saml.myProvider',
idp_entity_id='IDP_ENTITY_ID',
sso_url='https://example.com/saml/sso/1234/',
x509_certificates=[
'-----BEGIN CERTIFICATE-----\nCERT1...\n-----END CERTIFICATE-----',
'-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----',
],
rp_entity_id='P_ENTITY_ID',
callback_url='https://project-id.firebaseapp.com/__/auth/handler')
print('Created new SAML provider:', saml.provider_id)
Java
SamlProviderConfig.CreateRequest request = new SamlProviderConfig.CreateRequest()
.setDisplayName("SAML provider name")
.setEnabled(true)
.setProviderId("saml.myProvider")
.setIdpEntityId("IDP_ENTITY_ID")
.setSsoUrl("https://example.com/saml/sso/1234/")
.addX509Certificate("-----BEGIN CERTIFICATE-----\nCERT1...\n-----END CERTIFICATE-----")
.addX509Certificate("-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----")
.setRpEntityId("RP_ENTITY_ID")
.setCallbackUrl("https://project-id.firebaseapp.com/__/auth/handler");
SamlProviderConfig saml = FirebaseAuth.getInstance().createSamlProviderConfig(request);
System.out.println("Created new SAML provider: " + saml.getProviderId());
完了時、このメソッドは、新しく作成された構成の SAMLAuthProviderConfig オブジェクトを返します。
SAML プロバイダ構成の更新
SAML プロバイダ構成の変更方法を、次の例に示します。プロバイダ ID 以外、任意の項目を更新できます。
Node.js
const updatedConfig = {
x509Certificates: [
'-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----',
'-----BEGIN CERTIFICATE-----\nCERT3...\n-----END CERTIFICATE-----',
],
};
admin.auth().updateProviderConfig('saml.myProvider', updatedConfig).then(() => {
// Successful update.
}).catch((error) => {
// Handle error.
});
Go
updatedConfig := (&auth.SAMLProviderConfigToUpdate{}).
X509Certificates([]string{
"-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nCERT3...\n-----END CERTIFICATE-----",
})
saml, err := client.UpdateSAMLProviderConfig(ctx, "saml.myProvider", updatedConfig)
if err != nil {
log.Fatalf("error updating SAML provider: %v\n", err)
}
log.Printf("Updated SAML provider: %s", saml.ID)
Python
saml = auth.update_saml_provider_config(
'saml.myProvider',
x509_certificates=[
'-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----',
'-----BEGIN CERTIFICATE-----\nCERT3...\n-----END CERTIFICATE-----',
])
print('Updated SAML provider:', saml.provider_id)
Java
SamlProviderConfig.UpdateRequest request =
new SamlProviderConfig.UpdateRequest("saml.myProvider")
.addX509Certificate("-----BEGIN CERTIFICATE-----\nCERT2...\n-----END CERTIFICATE-----")
.addX509Certificate("-----BEGIN CERTIFICATE-----\nCERT3...\n-----END CERTIFICATE-----");
SamlProviderConfig saml = FirebaseAuth.getInstance().updateSamlProviderConfig(request);
System.out.println("Updated SAML provider: " + saml.getProviderId());
完了時、このメソッドは、更新された構成の SAMLAuthProviderConfig オブジェクトを返します。
SAML プロバイダ構成の取得
通常、SAML 構成を特定するには、プロバイダ ID を使用します。SAML プロバイダ構成の取得方法を、次の例に示します。
Node.js
admin.auth().getProviderConfig('saml.myProvider').then((config) => {
// Get display name and whether it is enabled.
console.log(config.displayName, config.enabled);
}).catch((error) => {
// Handle error. Common error is that config is not found.
});
Go
saml, err := client.SAMLProviderConfig(ctx, "saml.myProvider")
if err != nil {
log.Fatalf("error retrieving SAML provider: %v\n", err)
}
log.Printf("%s %t", saml.DisplayName, saml.Enabled)
Python
saml = auth.get_saml_provider_config('saml.myProvider')
print(saml.display_name, saml.enabled)
Java
SamlProviderConfig saml = FirebaseAuth.getInstance().getSamlProviderConfig("saml.myProvider");
System.out.println(saml.getDisplayName() + ": " + saml.isEnabled());
指定された ID のプロバイダが存在する場合、このメソッドにより SAMLAuthProviderConfig オブジェクトが返されます。
SAML プロバイダ構成の削除
SAML プロバイダ構成の削除方法を、次の例に示します。
Node.js
admin.auth().deleteProviderConfig('saml.myProvider').then(() => {
// Successful deletion.
}).catch((error) => {
// Handle error.
});
Go
if err := client.DeleteSAMLProviderConfig(ctx, "saml.myProvider"); err != nil {
log.Fatalf("error deleting SAML provider: %v\n", err)
}
Python
auth.delete_saml_provider_config('saml.myProvider')
Java
FirebaseAuth.getInstance().deleteSamlProviderConfig("saml.myProvider");
SAML プロバイダ構成の一覧表示
既存の SAML プロバイダ構成を一覧表示する方法を、次の例に示します。
Node.js
// Returns 10 SAML provider configs starting from the specified nextPageToken offset.
admin.auth().listProviderConfigs({type: 'saml', maxResults: 10, pageToken: 'nextPageToken'}).then((results) => {
results.providerConfigs.forEach((config) => {
console.log(config.providerId);
});
// To list the next 10:
// return admin.auth().listProviderConfigs(
// {type: 'saml', maxResults: 10, pageToken: results.pageToken});
}).catch((error) => {
// Handle error.
});
Go
iter := client.SAMLProviderConfigs(ctx, "nextPageToken")
for {
saml, err := iter.Next()
if err == iterator.Done {
break
}
if err != nil {
log.Fatalf("error retrieving SAML providers: %v\n", err)
}
log.Printf("%s\n", saml.ID)
}
Python
for saml in auth.list_saml_provider_configs('nextPageToken').iterate_all():
print(saml.provider_id)
Java
ListProviderConfigsPage<SamlProviderConfig> page = FirebaseAuth.getInstance()
.listSamlProviderConfigs("nextPageToken");
for (SamlProviderConfig config : page.iterateAll()) {
System.out.println(config.getProviderId());
}
結果の各バッチにはプロバイダ構成のリストと、次のバッチを取得するために使用されるページトークンが含まれます。すべてのプロバイダが表示されると、トークンは返されません。
デフォルトでは、1 バッチあたり 100 件のプロバイダが返されます。また、1 バッチあたりの最大プロバイダ数も 100 件です。
OIDC プロバイダの操作
OIDC プロバイダ構成の作成
OIDC プロバイダ構成を作成する際は、次のパラメータを指定する必要があります。各値を取得する方法の詳細については、必要に応じて、ID プロバイダのドキュメントをご覧ください。
- 表示名
- 構成のわかりやすい表示名。これは、Google Cloud コンソールにおけるプロバイダ ラベルでもあります。
- 有効
- 現在のプロバイダ構成の有効 / 無効。無効なプロバイダではログインできません。
- プロバイダ ID
oidc.で始まるプロバイダの一意の ID。- クライアント ID
- OIDC プロバイダの ID トークンのオーディエンスを確認するために使用される ID。
- クライアント シークレット
- OIDC コードフローを有効にするために必要なクライアント シークレット。
- 発行元
- プロバイダの
Issuer。https://example.comのようになります。Identity Platform は、この URL を使用して、プロバイダの OAuth エンドポイントと公開鍵を指定する OIDC ディスカバリ ドキュメント(通常は/.well-known/openid-configurationにあります)を検索します。Identity Platform は OpenID Connect 仕様に従って ID トークンを検証します。プロバイダが検出用の OIDC 仕様に準拠していない場合、Identity Platform では使用できません。 - レスポンス タイプ
-
OAuth 認証フローに関するプロバイダのレスポンス タイプ。{
idToken,code} のいずれかをtrueに設定できます。両方は設定できませんコードフローが有効になっている場合は、クライアント シークレットを提供する必要があります。
次の例は、暗黙の承認のフローを使用する OIDC プロバイダの構成を作成する方法を示しています。
Node.js
const newConfig = {
displayName: 'OIDC provider name',
enabled: true,
clientId: 'CLIENT_ID2',
issuer: 'https://oidc.com/CLIENT_ID2',
providerId: 'oidc.provider2',
responseType: {
idToken: true,
code: false,
},
};
admin.auth().createProviderConfig(newConfig).then(() => {
// Successful creation.
}).catch((error) => {
// Handle error.
});
Go
newConfig := (&auth.OIDCProviderConfigToCreate{}).
DisplayName("OIDC provider name").
Enabled(true).
ID("oidc.myProvider").
ClientID("CLIENT_ID2").
Issuer("https://oidc.com/CLIENT_ID2")
oidc, err := client.CreateOIDCProviderConfig(ctx, newConfig)
if err != nil {
log.Fatalf("error creating OIDC provider: %v\n", err)
}
log.Printf("Created new OIDC provider: %s", oidc.ID)
Python
oidc = auth.create_oidc_provider_config(
display_name='OIDC provider name',
enabled=True,
provider_id='oidc.myProvider',
client_id='CLIENT_ID2',
issuer='https://oidc.com/CLIENT_ID2')
print('Created new OIDC provider:', oidc.provider_id)
Java
OidcProviderConfig.CreateRequest request = new OidcProviderConfig.CreateRequest()
.setDisplayName("OIDC provider name")
.setEnabled(true)
.setProviderId("oidc.myProvider")
.setClientId("CLIENT_ID2")
.setIssuer("https://oidc.com/CLIENT_ID2");
OidcProviderConfig oidc = FirebaseAuth.getInstance().createOidcProviderConfig(request);
System.out.println("Created new OIDC provider: " + oidc.getProviderId());
完了時、このメソッドは、新しく作成された構成の OIDCAuthProviderConfig オブジェクトを返します。
OIDC プロバイダ構成の更新
OIDC プロバイダ構成の変更方法を、次の例に示します。プロバイダ ID 以外、任意の項目を更新できます。
Node.js
const updatedConfig = {
displayName: 'OIDC provider name',
enabled: true,
clientId: 'CLIENT_ID',
clientSecret: 'CLIENT_SECRET'
issuer: 'https://oidc.com/',
responseType: {
code: true,
idToken: false,
},
};
admin.auth().updateProviderConfig('oidc.myProvider', updatedConfig).then(() => {
// Successful update.
}).catch((error) => {
// Handle error.
});
Go
updatedConfig := (&auth.OIDCProviderConfigToUpdate{}).
DisplayName("OIDC provider name").
Enabled(true).
ClientID("CLIENT_ID").
Issuer("https://oidc.com")
oidc, err := client.UpdateOIDCProviderConfig(ctx, "oidc.myProvider", updatedConfig)
if err != nil {
log.Fatalf("error updating OIDC provider: %v\n", err)
}
log.Printf("Updated OIDC provider: %s", oidc.ID)
Python
oidc = auth.update_oidc_provider_config(
'oidc.myProvider',
client_id='CLIENT_ID',
issuer='https://oidc.com')
print('Updated OIDC provider:', oidc.provider_id)
Java
OidcProviderConfig.UpdateRequest request =
new OidcProviderConfig.UpdateRequest("oidc.myProvider")
.setDisplayName("OIDC provider name")
.setEnabled(true)
.setClientId("CLIENT_ID")
.setIssuer("https://oidc.com");
OidcProviderConfig oidc = FirebaseAuth.getInstance().updateOidcProviderConfig(request);
System.out.println("Updated OIDC provider: " + oidc.getProviderId());
完了時、このメソッドは、更新された構成の OIDCAuthProviderConfig オブジェクトを返します。
OIDC プロバイダ構成の取得
通常、OIDC 構成を特定するには、プロバイダ ID を使用します。OIDC プロバイダ構成の取得方法を、次の例に示します。
Node.js
admin.auth().getProviderConfig('oidc.myProvider').then((config) => {
// Get display name and whether it is enabled.
console.log(config.displayName, config.enabled);
}).catch((error) => {
// Handle error. Common error is that config is not found.
});
Go
oidc, err := client.OIDCProviderConfig(ctx, "oidc.myProvider")
if err != nil {
log.Fatalf("error retrieving OIDC provider: %v\n", err)
}
log.Printf("%s %t", oidc.DisplayName, oidc.Enabled)
Python
oidc = auth.get_oidc_provider_config('oidc.myProvider')
print(oidc.display_name, oidc.enabled)
Java
OidcProviderConfig oidc = FirebaseAuth.getInstance().getOidcProviderConfig("oidc.myProvider");
System.out.println(oidc.getDisplayName() + ": " + oidc.isEnabled());
指定された ID のプロバイダが存在する場合、このメソッドにより OIDCAuthProviderConfig オブジェクトが返されます。
OIDC プロバイダ構成の削除
OIDC プロバイダ構成の削除方法を、次の例に示します。
Node.js
admin.auth().deleteProviderConfig('oidc.myProvider').then(() => {
// Successful deletion.
}).catch((error) => {
// Handle error.
});
Go
if err := client.DeleteOIDCProviderConfig(ctx, "oidc.myProvider"); err != nil {
log.Fatalf("error deleting OIDC provider: %v\n", err)
}
Python
auth.delete_oidc_provider_config('oidc.myProvider')
Java
FirebaseAuth.getInstance().deleteOidcProviderConfig("oidc.myProvider");
OIDC プロバイダ構成の一覧表示
既存の OIDC プロバイダ構成を一覧表示する方法を、次の例に示します。
Node.js
// Returns 10 OIDC provider configs starting from the specified nextPageToken offset.
admin.auth().listProviderConfigs({type: 'oidc', maxResults: 10, pageToken: 'nextPageToken'}).then((results) => {
results.providerConfigs.forEach((config) => {
console.log(config.providerId);
});
// To list the next 10:
// return admin.auth().listProviderConfigs(
// {type: 'oidc', maxResults: 10, pageToken: results.pageToken});
}).catch((error) => {
// Handle error.
});
Go
iter := client.OIDCProviderConfigs(ctx, "nextPageToken")
for {
oidc, err := iter.Next()
if err == iterator.Done {
break
}
if err != nil {
log.Fatalf("error retrieving OIDC providers: %v\n", err)
}
log.Printf("%s\n", oidc.ID)
}
Python
for oidc in auth.list_oidc_provider_configs('nextPageToken').iterate_all():
print(oidc.provider_id)
Java
ListProviderConfigsPage<OidcProviderConfig> page = FirebaseAuth.getInstance()
.listOidcProviderConfigs("nextPageToken");
for (OidcProviderConfig oidc : page.iterateAll()) {
System.out.println(oidc.getProviderId());
}
結果の各バッチにはプロバイダ構成のリストと、次のバッチを取得するために使用されるページトークンが含まれます。すべてのプロバイダが表示されると、トークンは返されません。
デフォルトでは、1 バッチあたり 100 件のプロバイダが返されます。また、1 バッチあたりの最大プロバイダ数も 100 件です。