What makes the Authorization Code Flow with PKCE more secure for OIDC SSO?

The Authorization Code Flow with PKCE adds an extra layer of security to OpenID Connect Single Sign-On (OIDC SSO). By doing so, it protects against authorization code interception attacks, ensuring that only the intended client application can use the authorization code. This method is especially helpful for public clients like single-page applications. It allows for secure token exchanges without revealing sensitive data, reducing the chances of token leakage or unauthorized access. This makes it a dependable approach to protecting user authentication.

How do I resolve common issues when setting up OIDC SSO in Adalo Blue?

To address common challenges during the OpenID Connect (OIDC) SSO setup in Adalo Blue, start by reviewing your configuration settings. Make sure the redirect URL is an exact match between your Identity Provider (IdP) and Adalo. Double-check that your client ID , client secret , and all endpoint URLs - such as authorization, token, and user info - are entered correctly. If you run into errors, carefully examine the error messages for helpful details. Issues like unrecognized logins might require you to whitelist your IdP URL or confirm that trusted domains are properly configured in your settings. Testing in an incognito browser can also be useful to rule out any interference from cached data or cookies. For more in-depth guidance, explore Adalo's support resources or consult your IdP documentation to verify your setup and address specific problems.

How can I keep my OpenID Connect Single Sign-On (SSO) setup secure and up-to-date?

To maintain the security and reliability of your OpenID Connect SSO setup, it’s crucial to periodically update client credentials like client IDs and secrets. This helps reduce the risk of unauthorized access. Additionally, ensure you have robust token validation and claim verification processes in place to confirm both user authenticity and their permissions. Keep yourself updated on security guidelines and updates provided by your identity provider. Regularly review their documentation and apply any recommended changes to address vulnerabilities and strengthen your system’s security.

OpenID Connect SSO セットアップガイド

Adalo Blue で OIDC SSO をセットアップするには、OIDC 互換の IdP のアカウントへの管理者アクセスと、アクティブな Adalo Blue サブスクリプションが必要です。Adalo はデータベース駆動型ウェブアプリおよびネイティブ iOS および Android アプリ用のノーコードアプリビルダーで、3 つのプラットフォーム全体で 1 つのバージョンであり、Apple App Store と Google Play に公開されます。

必要なもの: OIDC 互換の IdP（例：Okta）への管理者アクセス Auth0) および Adalo Blue Team（$250/月）または Business プラン（$250/月）。
セットアップの概要:
1. IdP に Adalo Blue を登録し、クライアント ID、クライアントシークレット、およびディスカバリーエンドポイントを収集します。
2. これらの詳細で Adalo Blue を設定し、ユーザークレーム（例：）をアプリプロパティにマップします。 email, sub) をアプリプロパティにマップします。
3. Adalo Blue の組み込みツールを使用して接続をテストし、適切な認証を確認します。
4. SSO をアクティブ化し、ログイン URL をチームと共有します。

プロのヒント: 安全な認証のために認可コードフローを使用し、以下を確認します。 openid, emailおよび profile スコープが有効になっています。キーを定期的にローテーションし、IdP 設定を監視することで、設定を最新の状態に保ちます。

このガイドでは、IdP の設定から Adalo Blue での SSO のテストとアクティブ化まで、各ステップを説明し、スムーズで安全な統合を実現します。

での OIDC SSO セットアップの前提条件 Adalo Blue

Adalo Blue

必要なアカウントと権限

Adalo Blue で OIDC SSO をセットアップするには、Team プラン（$250/月）または Business プラン（$250/月）のいずれかのアカウントへの管理者アクセスが必要です。これらのプランには、統合に必要な SSO 機能が含まれています。Professional プラン（$36/月）は高度な API 統合を提供していますが、完全な SSO 機能はサポートしていません。

さらに、Okta、Auth0、または Azure AD などの OIDC 互換の Identity Provider（IdP）への管理者アクセスが必要です。このアクセスにより、統合の作成、リダイレクト URI の設定、クライアント認証情報の生成が可能になります。権限とアカウントを確認したら、IdP から必要な詳細情報の収集を開始できます。

IdP から必要な情報

Adalo Blue をアプリケーションとして IdP に登録した後、以下の重要な情報を収集します。

Client ID: これはアプリケーションの公開識別子です。
Client Secret: Adalo Blue を IdP で認証するために使用される秘密鍵です。これをパスワードのように扱い、安全に保管してください。
ディスカバリーエンドポイント: 通常は以下で終了します /.well-known/openid-configuration 設定の詳細を自動的に提供します。

すべてが正しく設定されていることを確認するには、ディスカバリーエンドポイント URL をブラウザに貼り付けます。接続メタデータを含む JSON オブジェクトを返す必要があります。IdP が共有するように設定されていることを確認してください openid, profileおよび email スコープ - これらは Adalo Blue でユーザークレームを正しくマップするために必要です。これらの詳細を収集したら、Adalo Blue の設定に進む準備ができています。

Adalo Blue 設定アクセス

IdP の詳細が揃ったら、Adalo Blue にログインして SSO 設定を開始します。 設定セクション （サイドバーの魔法の杖アイコンを探します）に移動して、SSO セットアップオプションにアクセスします。ここでは、IdP 認証情報を入力し、認証プロトコルを管理できる統合とセキュリティ設定を見つけることができます。

Adalo Blue は設定でリダイレクト URI を提供します。この URI をコピーして IdP のアプリケーション設定に貼り付け、認証応答が正しいエンドポイントにルーティングされるようにします。Adalo Blue の設定パネルに進む前に、すべての IdP の詳細が準備されていることを確認してください。

OpenID Connect SSO を設定する方法

Identity Provider（IdP）を設定する

管理者アクセスで Identity Provider（IdP）アカウントにログインして開始します。Okta、Auth0、Azure AD、または別の OIDC 互換プロバイダーを使用している場合でも、セットアップは通常同様のプロセスに従います。まず、新しいアプリケーション統合を作成し、 OIDC - OpenID Connect をサインイン方法として選択し、 Web アプリケーション をアプリケーションタイプとして選択します。

次に、 認可コード グラントタイプを選択します。このフローは Adalo Blue などのウェブベースの統合に強く推奨されており、サーバー側の認証を確保します。Adalo Blue ダッシュボードからコールバック URL をコピーして、IdP の「サインインリダイレクト URI」フィールドに貼り付けます。この URL は重要です。これにより、IdP は成功した認証後にユーザーをアプリに送り返します。

また、必要なスコープを設定する必要があります。最低限、 openid スコープを含めてください profile さらに email IdP が重要なユーザー情報を共有するようにします。アプリケーションを保存すると、IdP は Client ID さらに Client Secretを生成します。これらの値をすぐにコピーしてください。次のステップで必要になります。

Adalo Blue に OIDC 詳細を入力する

Adaloの設定 Adalo Blue のセクションをクリックして、サイドバーの魔法の杖アイコンをクリックします。SSO 設定パネルを探します。ここでは、クライアント ID、クライアントシークレット、および発行者 URL を入力するためのフィールドが表示されます。IdP からクライアント ID とクライアントシークレットを各フィールドに貼り付けます。クライアントシークレットは機密情報であることを忘れずに。パスワードのように扱い、安全でない方法で共有または保存することは避けてください。

発行者 URL については、IdP のディスカバリーエンドポイントを使用します。通常は以下で終了します /.well-known/openid-configuration。この URL により、Adalo Blue は認可、トークン、UserInfo などのキーエンドポイントを自動的に取得および設定でき、手動エラーのリスクを低減します。Adalo Blue のリダイレクト URI が、IdP に入力したものと完全に一致することを確認してください。わずかな矛盾でも認証問題につながる可能性があります。これらの詳細を入力したら、ユーザークレームとロールをマップして設定を完了します。

ユーザークレームとロールのマッピング

最後のステップは、IdPのユーザー属性をAdalo Blueのユーザープロパティにマッピングすることです。ユーザーがログインすると、IdPはクレーム（ユーザーに関する検証済み情報）を含むIDトークンを送信します。

Adalo BlueのSSO設定で、以下を探します ユーザー名クレームキー フィールド。これは、IdPからのどのクレームがユーザーの一意識別子として機能するかを決定します。一般的なオプションには以下が含まれます sub または email。IdPが送信するクレームを確認するには、クレームプレビュー機能を有効にします。このツールを使用すると、送信されているクレームを検査し、情報がシステムの要件と一致していることを確認できます。


OIDCクレーム	Adalo Blueユーザープロパティ	説明
`sub`	ユーザーID / 一意識別子	ユーザーの一意識別子
`email`	メール	ユーザーの検証済みメールアドレス
`given_name`	名	ユーザーの名または名前
`family_name`	姓	ユーザーの姓または苗字
`groups`	ロール / 権限	ロールベースアクセス制御用のオプションクレーム

アプリがロールベースアクセス制御を必要とする場合は、IdPを設定してIDトークンに以下を含めます groups または roles クレーム。Adalo Blueはこのクレームを使用して、ログイン時にユーザーに権限を自動的に割り当てることができます。初期設定中はクレームプレビュー機能を有効に保ち、すべてが正しくマッピングされていることを確認します。設定が正確であることを確認したら、通常の使用時にプレビュー機能を無効にできます。

Adalo BlueでOIDC SSOをテストおよび有効化する

Adalo Blue SSO テストツールを使用する

SSOをロールアウトする前に、制御された環境で接続をテストすることが重要です。Adalo Blue SSO設定ダッシュボードの以下にアクセスします 接続をテスト タブをクリックして テストログインをクリックします。これによりSSO フローをシミュレートし、接続ステータスを表示する新しいウィンドウが開き、問題が強調表示され、Identity Provider（IdP）からの完全な応答が表示されます。

テストツールは、IdPが送信するクレームに関する詳細情報を提供します。これには、以下のような標準属性、および設定したカスタムロールが含まれます sub, emailおよび name。このデータを慎重に確認して、すべてのマッピングが正確であることを確認します。テストは権限に影響しません。

IdPが不完全なユーザー情報を含む「シントークン」を送信する場合、テスト結果はこの問題にフラグを立てます。これに対処するには、以下を設定します UserInfo エンドポイント （Fat Token URLとも呼ばれます）を設定して、完全なユーザープロフィールを取得します。

有効化に進む前に、テスト中に特定された問題をすべて解決してください。

一般的な問題のトラブルシューティング

テスト接続が失敗した場合、ツールは問題を特定するのに役立つ特定の警告を提供します。一般的な問題の1つは、リダイレクトURIが一致しないことです。わずかなタイプミスや余分な文字でも認証が中断される可能性があります。


一般的な問題	推奨される解決方法	トラブルシューティング手順
無効なリダイレクトURI	IdPとAdalo Blueの不一致	URIが両方のダッシュボードで完全に一致することを確認します
ユーザーデータの欠落	不正または欠落スコープ	以下を確認します `openid`, `email`および `profile` スコープがリクエストされています
不完全なプロフィール	IdPからのシンIDトークン	UserInfo（Fat Token）URLを設定します
ロール同期エラー	大文字と小文字の区別または無効なロール名	IdPロール文字列を予想される値と完全に一致させます
メタデータの404	不正な検出エンドポイント	URLの末尾が以下であることを確認してください `/.well-known/openid-configuration`

IdPアプリケーションに必要な openid, emailおよび profile スコープが含まれていることを確認してください。ブラウザで検出URLをテストして、JSONメタデータが返されることを確認します。ロールマッピングは大文字と小文字を区別するため、細心の注意を払ってください。ロール名は完全に一致する必要があります。ロール割り当てをテストするときは、管理者アカウント以外のアカウントで開始して、誤って管理アクセスをロックアウトすることを避けてください。

すべての問題が解決されたら、SSOをアクティブ化する準備が完了しました。

チームのOIDC SSOをアクティブ化

すべてのテストに合格した後、SSOをアクティブ化します SSO認証を許可 設定パネルでスイッチを切り替えます。ロールマッピングを再度確認して、手動割り当てを上書きしないようにします。

次に、ログアウトしてSSOフローをテストして、すべてが予期通りに機能することを確認します。確認後、一意のSSOログインURLをチームと共有します。

ロールアウト中にロックアウトされるのを避けるために、複数のチームメンバーがSSOを介して正常に認証できることを確認するまで、セカンダリ管理ログイン方法をアクティブに保つます。この予防措置により、チームのスムーズな移行が確保されます。

OIDCおよびOAuth2.0を使用したシングルサインオンのセットアップ方法 Entra ID サードパーティアプリとの連携

Entra ID

セキュアでスケーラブルなOIDC SSOのベストプラクティス

OIDC SSOセットアップのテストが完了したら、これらの重要なプラクティスで統合を強化および拡張するときです。

設定を保護する

定期的なキーローテーションを実装してシークレットを保護します。キーをローテーションするには、アイデンティティプロバイダー（IdP）で新しいシークレットを生成し、Adalo Blueで更新してから、古いシークレットを迅速に無効化します。

モバイルおよびブラウザベースのアプリの場合は、常にPKCEを備えた認可コードフローを使用します。これにより、認証プロセス中のトークン傍受を防ぐのに役立ちます。さらに、リダイレクトURIを完全な絶対URLに制限します。ワイルドカードサブドメインの使用は避けてください。これらは悪意のあるアクターがトークンリダイレクト攻撃を実行するためにシステムを公開する可能性があります。

必要なスコープのみをリクエストします。例えば openid, emailおよび profile内部使用を目的とするアプリケーションの場合、組織のメールドメインへのログインを制限することでセキュリティを強化できます。この簡単な対策により、不正な外部アクセスがブロックされます。

SSO設定を最新の状態に保つ

Oktaなどのアイデンティティプロバイダーはしばしば90日ごとに署名キーをローテーションしますが、このスケジュールは異なる場合があります。先手を打つために、定期的に /.well-known/jwks.json エンドポイントをクエリして公開キーを更新します。 /.well-known/openid-configuration 検出エンドポイントを使用して、認可エンドポイントおよびトークンエンドポイントなどの設定の更新を自動化します。これにより、手動エラーが最小化され、設定が最新の状態に保たれます。

クライアントシークレットをローテーションし、設定を確認するルーチンを作成します。四半期ごとのスケジュールはほとんどの組織に適していますが、認証情報の漏洩の兆候がある場合は頻度を増やす必要があある場合があります。ピーク使用時には、IdPのレート制限ヘッダーを監視してください（例： X-Rate-Limit-Remaining）サービスの中断を避けます。

セットアップが安全で定期的に更新されているので、より広いエンタープライズ使用のためにSSOをスケーリングすることに注意を向けることができます。

エンタープライズ使用のためにSSOをスケーリング

データベースの準備ができたら、アプリを機能的にするインタラクティブスクリーンを作成する時間です。これらのスクリーンにより、クライアントはサービスを予約でき、プロバイダーはスケジュールを管理できます。例えば、Adaloの予約アプリテンプレートは、カレンダービュー、予約フォーム、管理ツールなどの事前構築されたスクリーンを提供します。スライドデッキを編集するのと同じように、これらのテンプレートを簡単にカスタマイズできます。データベースとユーザーフローが所定の位置にあるため、ユーザーとプロバイダーの両方のモバイルアプリスクリーンを設計する方法は次のとおりです。 groups クレームを使用してAdalo Blueのユーザーロールをマップします。これにより、ユーザーベースが拡大するにつれてアクセス制御が簡素化されます。ユーザーが複数のグループに属している場合は、Org Adminなどの上位レベルのロールが下位レベルのロールを自動的に上書きする優先度システムの実装を検討してください。

複数の組織にサービスを提供するB2Bアプリケーションの場合、各顧客に一意のOIDCクライアント認証情報を割り当てます。単一のグローバル認証情報システムの使用は避けてください。管理が複雑になり、セキュリティが低下する可能性があります。多様なユーザーベースを処理している場合は、ホームレルム検出（HRD）を実装します。この機能は、ユーザーのメールドメインに基づいてユーザーを特定のエンタープライズIdPにルーティングし、ログインプロセスをシームレスにします。


セキュリティ機能	使用時期	主な利点
PKCE	モバイルおよびシングルページアプリ	認可コード傍受攻撃を防止
グループクレーム	エンタープライズスケーリング	ロールベースのアクセス制御を自動化
ドメインフィルタリング	内部/B2Bアプリ	認可されたユーザーのみへのアクセスを制限

結論

前述の手順に従うことで、OpenID Connect（OIDC）シングルサインオン（SSO）はアプリに対して安全かつ効率的なアクセスを確保します。

OIDC SSOをAdalo Blueと統合すると、Azure AD、Okta、またはGoogleなどのプロバイダーを通じた認証が簡素化されます。セットアッププロセスには、アイデンティティプロバイダー（IdP）へのアプリの登録、リダイレクトURIの設定、およびユーザークレームをデータベースプロパティと整列させることが含まれます。すべてが整ったら、ユーザーはワンクリックアクセスを利用でき、一元化されたアイデンティティ管理によりユーザープロビジョニングが簡素化されます。

OIDCは多要素認証やPKCEなどの最新のセキュリティプロトコルを採用しており、セキュリティリスクを軽減しながらIT作業量を削減するのに役立ちます。

エンタープライズチームの場合、単一の設定はWeb、iOS、およびAndroidプラットフォーム全体でのシームレスなアクセスをサポートし、ユーザーに一貫したエクスペリエンスを提供します。自動ロールマッピングとスケーラブルな設定により、追加の複雑性なく成長を簡単に管理できます。

「シングルサインオンは、IT費用削減、従業員の仕事満足度の向上、顧客体験の向上など、多くの利点を提供するテクノロジーです。」- Explorance Blue

適切なOIDC SSO設定により、アプリはユーザーのためのセキュアで効率的なアクセス、ITチームのための一元化された制御、およびエンタープライズレベルのセキュリティを実現し、持続的な成長の基礎を築きます。

よくある質問

PKCE付きの認可コードフローがOIDC SSOにおいてより安全である理由は何ですか?

アプリのコア構造（スクリーン、コンポーネント、データベースコレクション、基本的なアクション）を生成します。そこから、ドラッグアンドドロップツールを使用してデザインと機能を微調整します。 PKCE付きの認可コードフロー OpenID Connect Single Sign-On (OIDC SSO)にセキュリティの追加レイヤーを追加し、認可コードインターセプション攻撃から保護することで、意図されたクライアントアプリケーションのみが認可コードを使用できるようにします。

この方法は、シングルページアプリケーションなどのパブリッククライアントに特に役立ちます。機密データを公開することなく安全なトークン交換を可能にし、トークンリークや不正アクセスのリスクを低減します。これにより、ユーザー認証を保護するための信頼性の高いアプローチとなります。

Adalo BlueでOIDC SSOをセットアップする際の一般的な問題を解決するにはどうすればよいですか？

Adalo BlueでOpenID Connect (OIDC) SSOセットアップ中の一般的な課題に対処するには、まず設定を確認してください。 リダイレクトURL がアイデンティティプロバイダー (IdP) とAdaloの間で完全に一致していることを確認してください。 クライアントID, クライアントシークレット、および認可、トークン、ユーザー情報などのすべてのエンドポイントURLが正しく入力されていることを確認してください。

エラーが発生した場合は、エラーメッセージを注意深く確認して詳細を確認してください。ログインが認識されない問題などは、IdP URLをホワイトリストに登録したり、信頼されたドメインが設定で正しく構成されていることを確認したりする必要がある場合があります。シークレットブラウザでのテストもキャッシュデータやクッキーの干渉を除外するのに役立ちます。

さらに詳しいガイダンスについては、Adaloのサポートリソースを確認するか、IdPドキュメントを参照して、セットアップを確認し、特定の問題に対処してください。

OpenID Connect Single Sign-On (SSO)セットアップを安全で最新の状態に保つにはどうすればよいですか？

OpenID Connect SSOセットアップのセキュリティと信頼性を維持するには、クライアントIDやシークレットなどのクライアント認証情報を定期的に更新することが重要です。これは不正アクセスのリスクを低減するのに役立ちます。さらに、ユーザーの真正性とそのアクセス権限の両方を確認するための堅牢なトークン検証とクレーム検証プロセスが導入されていることを確認してください。

アイデンティティプロバイダーが提供するセキュリティガイドラインと更新について常に最新の情報を得てください。定期的にドキュメントを確認し、脆弱性に対処し、システムのセキュリティを強化するために推奨される変更を適用してください。

OpenID Connect SSO設定ガイド