IDP のコンフィギュレーション

内部ユーザーの場合、IDP には以下の情報を保存する必要があります。

  • ユーザーの認証情報(例:ユーザー名とパスワード)

外部ユーザーの場合、IDP には以下の情報を保存する必要があります。

  • ユーザーの認証情報(例:ユーザー名とパスワード)
  • ユーザーに付与される API 役割のリスト
  • ユーザーのリソースアクセス ID

Guidewire Hub がユーザーの身元をアサートするとき、IDP でこの情報を Guidewire Hub に提供する必要があります。この情報を使用してユーザーの身元を確認し、エンドポイントとリソースへのユーザーアクセス権を決定します。

ベアラートークン認証のための IDP のコンフィギュレーション

手順

  1. 外部ユーザーに割り当てられた API 役割のすべてが認識されるように、IDP をコンフィギュレーションします。
    • 通常、これは IDP グループを使用して行います。
    • 各グループ名には、gwa.<planetclass>.cc. の接頭辞を付け、<planetclass>prodpreprod、または lower のいずれかに設定する必要があります。
    • この接頭辞の後に続 く各グループ名は、システム API 役割名と同一にする必要があります。
    • 例えば、実稼働 Planet で Insured という名前の API 役割にユーザーを割り当てるには、IDP グループの名前を gwa.prod.cc.Insured にする必要があります。
  2. すべてのユーザーがユーザー認証情報(ユーザー名とパスワードなど)と関連付けされるように、IDP をコンフィギュレーションします。
  3. すべての外部ユーザーが API 役割と関連付けされるように、IDP をコンフィギュレーションします。
  4. すべての外部ユーザーが以下のように適切なリソースアクセス ID と関連付けされるように、IDP をコンフィギュレーションします。
    • 保険契約者の場合、これは 1 つ以上の保険証券番号の配列です。
    • サービス提供者の場合、これは、一意に識別される単一アドレス帳(gwabuid)です。
  5. ユーザーを検証するときに以下のように属性名が使用されて権限情報がアサートされるように、IDP をコンフィギュレーションします。
    • ユーザー名が cc_username としてアサートされる。
    • グループの名前が付いた配列として API 役割がアサートされる。
    • 保険契約者のリソースアクセス ID が、cc_policyNumbers という名前の配列としてアサートされる。
    • サービス提供者のリソースアクセス ID が cc_gwabuid としてアサートされる。