OIDC SSOの使用

PhoenixAIは、OpenID Connect（OIDC）シングルサインオン（SSO）を使用したユーザー認証をサポートしています。

important

• OIDC SSO を設定できるのは、Account admin ロールを持つコンソールユーザーのみです。
• SAML SSO と OIDC SSO は相互に排他的です。OIDC SSO を有効にする前に、SAML SSO を無効にしてください。

OIDC SSO の有効化

以下のチュートリアルでは、Okta、AWS、および Google の例を示します。

ステップ 1：PhoenixAI Redirect URLの準備

1. アカウント管理者として PhoenixAI Cloudコンソール にサインインします。
2. 左側のナビゲーションペインで、Account > Account settings を選択します。
3. Account settings ページの Single sign-on タブで、OIDC セクションの Configure をクリックして、Configure OIDC ダイアログボックスを表示します。
4. Configure OIDC ダイアログボックスで、PhoenixAI Redirect URL フィールドの横にある Copy アイコンをクリックし、URL を適切に保存します。

注記

PhoenixAI Cloud コンソールを閉じないでください。以降のステップでコンソール上でさらに設定を完了する必要があります。

ステップ 2：IdP のセットアップ

Okta を IdP として使用

以下の手順に従って IdP をセットアップします：

1. 管理者権限を持つメンバーとして Okta 管理コンソールにサインインします。

2. 左側のナビゲーションペインで、Applications > Applications を選択します。

3. Applications ページで、Create App Integration をクリックして、Create a new app integration ダイアログボックスを表示します。

4. Create a new app integration ダイアログボックスで、Sign-in method に OIDC - OpenID Connect を選択し、Application type に Web Application を選択します。

   

5. Next をクリックします。

6. New Web App Integration ページの General Settings セクションで、アプリケーションの名前を入力し、Client acting on behalf of itself に Client Credentials を選択し、Core grants に Authorization Code と Refresh Token を選択します。

   

7. New Web App Integration ページの Sign-in redirect URIs セクションに PhoenixAIリダイレクトURL を貼り付けます。

   

8. New Web App Integration ページの Assignments セクションで、Controlled access に Limit access to selected groups を選択し、Selected group(s) フィールドでグループを検索して選択し、Save をクリックします。

   

9. Okta コンソールの左側のナビゲーションペインで、Applications > Applications を選択します。

10. Applications ページで、作成したアプリケーションをクリックして、アプリケーション詳細ページに入ります。

11. General タブの Client Credentials セクションで、Client ID をコピーして適切に保存します。次に、セクションの Edit をクリックし、Proof Key for Code Exchange (PKCE) に Require PKCE as additional verification を選択し、Save をクリックします。

12. General タブの CLIENT SECRETS セクションで、クライアントシークレットの値をコピーして適切に保存します。

    

13. General タブの Federation Broker Mode セクションで、Edit をクリックし、Enable Federation Broker Mode をクリックします。表示されるメッセージで、Continue をクリックします。次に、Save をクリックします。

    

14. Applications ページで、Assign Users to APP をクリックします。

15. Assign Applications ページの Assign Apps to People タブで、次のように設定します。

a. Applications セクションで、作成したアプリケーションを選択します。

b. People セクションで、アプリケーションを割り当てたいユーザーを選択します。

c. Next をクリックします。

16. Assign Applications ページの Confirm Assignments タブで、Confirm Assignments をクリックします。

AWS を IdP として使用

以下の手順に従って IdP をセットアップします：

1. 管理者権限を持つユーザーとしてAWS Cognito コンソールにサインインします。

2. 左側のナビゲーションペインで、User pools を選択します。

3. User pools ページで、Create user pool をクリックします。

4. Set up resources for your application ページの Define your application セクションで、Application type に Traditional web application を選択し、アプリケーションの名前を入力します。

5. Set up resources for your application ページの Configure options セクションで、認証用の Options for sign-in identifiers を選択します。

6. Set up resources for your application ページの Add a return URL セクションで、Return URL フィールドに PhoenixAIリダイレクトURL を貼り付けます。

7. Create user directory をクリックします。

   

8. AWS Cognito コンソールに戻り、左側のナビゲーションペインで User pools を選択し、作成したユーザープールをクリックします。

9. ユーザープールの概要ページで、コピーボタンをクリックして User pool ID をコピーし、適切に保存します。

10. 左側のナビゲーションペインで、Applications > App clients を選択します。

11. App clients and analytics ページで、作成したWebアプリケーションをクリックします。

12. アプリクライアントの概要ページで、コピーボタンをクリックして Client ID と Client secret をコピーし、適切に保存します。

13. AWS Cognito コンソールに戻り、左側のナビゲーションペインで Users を選択し、Create a user をクリックします。

14. ユーザープールのサインインおよびセキュリティ要件を確認し、パスワード要件、利用可能なアカウント復旧方法、およびユーザープールのエイリアス属性に関するガイダンスを参照してください。

15. アプリケーションを割り当てるユーザーの Username を指定します。

16. ユーザーに対して Create a password するか、Generate a password します。

17. Create をクリックします。

Google を IdP として使用

以下の手順に従ってIdPをセットアップします：

1. 管理者権限を持つユーザーとして Google 管理コンソールにサインインします。

2. 左側のナビゲーションペインで、APIs & Services > Credentials を選択します。

3. Credentials ページで、Create credentials をクリックし、OAuth Client ID を選択します。

4. Create OAuth client ID ページで、以下のように設定します：

   a. Application type に Web Application を選択します。

   b. Name フィールドにアプリケーションの名前を入力します。

   c. Authorized redirect URIs セクションで Add URI をクリックし、URIフィールドに PhoenixAIリダイレクトURL を貼り付けます。

   

5. Create をクリックします。

6. 表示されるメッセージで、コピーボタンをクリックしてWebアプリケーションの Client ID と Client secret をコピーし、適切に保存します。次に、Ok をクリックします。

7. 左側のナビゲーションペインで、 APIs & Services > OAuth consent screen を選択します。次に、Audience を選択します。

8. Audience ページで、Add users をクリックします。

9. Add users タブで、アプリケーションを割り当てたいユーザーのメールアドレスを入力します。その後、Save をクリックします。

important

Webアプリケーションで Refresh Token を有効にする必要があります。有効にしないと、セッションをサイレントに更新できず、id_token が期限切れになるたびに（通常は 1 時間ごと）ユーザーが IdP にリダイレクトされます。

• Oktaでは、Grant type の Refresh Token チェックボックスを選択する必要があります。
• Google Workspaceでは、access_type=offline と prompt=consent を設定します（リテラルの offline_access スコープはGoogleに拒否されます）。
• 他の IdP では、同等のオプションを使用します（例：リクエストされたスコープに offline_access を含める）。

ステップ 3：PhoenixAI での OIDC SSO の設定と有効化

1. PhoenixAI Cloud コンソールの OIDCの設定 ダイアログボックスに戻ります。

2. コピーした Web アプリケーションのクライアント ID を Client ID フィールドに貼り付けます。

3. コピーした Web アプリケーションのクライアントシークレットを Client Secret フィールドに貼り付けます。

4. IdP の Discovery URL（OIDC ディスカバリードキュメントのパス、または well-known OpenID 設定パス）を指定します。以下の表に Okta と Google の Discovery URL の形式を示します。他の IdP については、対応する公式ドキュメントを参照してください。

   IdP	Discovery URL
   Okta	https://<your-tenant>.okta.com/.well-known/openid-configuration（<your-tenant>を実際のテナントに置き換えてください。）
   AWS	https://cognito-idp.<aws_region>.amazonaws.com/<user_pool_id>/.well-known/openid-configuration（<aws_region>を AWS リージョン ID に、<user_pool_id>を実際のユーザープール ID に置き換えてください。）
   Google	https://accounts.google.com/.well-known/openid-configuration

5. IdP が認証に別のフィールドを使用している場合を除き、Username Claim に email を指定します。

6. Submit をクリックします。

7. Account settings ページの Single sign-on タブで、Test SSO をクリックして、OIDC 設定の接続性をテストします。

8. 表示されるページで IdP にログインすると、ログインが成功した場合は PhoenixAI Cloud コンソールにリダイレクトされます。

9. テストに合格したら、Account settings ページのSingle sign-on タブで Enable をクリックします。