未認証呼び出し元のフローの例

以下の図は、未認証呼び出し元の認証情報と権限情報のフローを示しています。色は以下のように使用されます。

  • オレンジ:認証情報
  • 青:エンドポイントのアクセス権情報
  • 緑:リソースのアクセス権情報
  • 赤:プロキシユーザーとセッションユーザーの情報

いくつかの値を使用して、複数の種類のアクセスを決定します。これらの値は最初(1 つの種類のアクセスに適用されていない場合)は黒で表示されてから、1 つ以上の特定の色(特定の種類のアクセスに対してプロセスのその時点で使用されていることを値が反映する)で表示されます。

以下の例では、API 呼び出しが未認証呼び出し元によってトリガされています。


未認証呼び出し元の認証フロー
  1. 呼び出し元アプリケーションは、API 要求を ClaimCenter に送信します。この呼び出しには JWT が含まれておらず、ヘッダー内の認証情報もありません。
  2. この呼び出しには認証ヘッダーがないため、Unauthenticated.role.yaml の API 役割ファイルでの定義に従って、ClaimCenter によってエンドポイントアクセス権が付与されます(この場合、メタデータエンドポイントへのアクセス権のみが付与されます)。
  3. この呼び出しには認証ヘッダーがないため、unauthenticatedUser.role.yaml の API 役割ファイルでの定義に従って、ClaimCenter によってリソースアクセス権が付与されます(この場合、ビジネスリソースへのアクセス権は提供されません)。
  4. セッションに割り当てるプロキシユーザーを決定するために、ClaimCenterRestAuthenticationSourceCreator プラグインを呼び出します。この呼び出しには、認証ヘッダーはありません。そのため、プラグインは未認証ユーザー用プロキシユーザーの uauser を返します。
  5. ClaimCenter によって要求が処理されます。
    1. セッションユーザーは、プロキシ未認証ユーザーの uauser です。
    2. エンドポイントアクセス権は、Unauthenticated.role.yaml によって定義されます。
    3. リソースアクセス権は、unauthenticatedUser access.yaml によって定義されます。
  6. ClaimCenter によって、最初の呼び出しに対する応答が渡されます。