この記事は OIDC 認証向けの内容です。LDAP 認証を使用している場合は、「How to verify/debug LDAP authentication?」の手順を実施すると、対象ユーザーの属性名/値を確認できます。https://jp.mathworks.com/matlabcentral/answers/1631445-how-to-verify-debug-ldap-authentication
MATLAB Web App Server は、トークンのクレームとして含まれるユーザー属性、および userinfo エンドポイントで取得可能な属性にアクセスできます。MATLAB Web App Server で利用できる情報は、主にアイデンティティ プロバイダでのアプリ登録設定と、webapps_authn.json に含めるスコープによって決まります。
トークン要求として含まれるユーザー属性は?
成功したユーザーログインからトークンを取得してデコードすることで、トークンに含まれる属性の名前と値を確認できます。方法は「How can I capture and decode tokens to troubleshoot OIDC authorization with MATLAB Web App Server?」を参照してください。
userinfo エンドポイントで使用できるユーザー属性は?
要求したスコープに含まれる属性は、userinfo エンドポイントで取得可能になります。スコープは webapps_authn.json の “scope” パラメータで要求できます。特定のスコープにどのクレームが含まれるかは「Requesting Claims using Scope Values」を参照してください。
各クレームにマッピングされる具体的なユーザー属性は、アイデンティティ プロバイダの設定に依存する場合があります。特定のユーザーにおける特定クレームの値を確認するには、webapps_authn.json の “displayName” をそのクレーム名に設定し、ユーザーにログインしていただきます。webapps のホームページ右上にその値が表示されるはずです。
例として、ユーザーの “email” 属性に基づいてロール ベースのアクセスを判定したい場合、webapps_authn.json で “email” スコープを要求します:
>"scope": ["openid profile email"] }
特定ユーザーに紐づくメール アドレスを確認するには、webapps_authn.json の “displayName” を “email” に設定します:
>"displayName": "email"
その後、ユーザーに MATLAB Web App Server へログインしていただきます。webapps のホームページ右上に、ログインしたユーザーのメール アドレスが表示されるはずです。
トラブルシューティング
次のいずれの場所にも目的の属性が見つからない場合:
- その属性がアイデンティティ プロバイダに存在し、テストしているユーザーに割り当てられていることを確認します。
- 一部のクレームは、MATLAB Web App Server で利用可能にするため、アプリ登録時にアイデンティティ プロバイダ側で設定が必要な場合があります。特にグループ クレームでよくあります。例として、「How do I setup MATLAB Web App Server authentication and authorization with Azure AD?」の “Configuring Token Claims” セクションを参照します。
- アイデンティティ プロバイダによっては、特定の属性を標準クレームへ手動でマッピングしたり、カスタム クレームを作成したりする必要があります。詳細は各プロバイダのドキュメントを参照してください。例として、「How do I setup MATLAB Web App Server authentication and authorization with Okta?」の “User Attributes” セクションを参照します。
