コンテンツにスキップ
Kong Logo | Kong Docs Logo
  • ドキュメント
    • API仕様を確認する
      View all API Specs すべてのAPI仕様を表示 View all API Specs arrow image
    • ドキュメンテーション
      API Specs
      Kong Gateway
      軽量、高速、柔軟なクラウドネイティブAPIゲートウェイ
      Kong Konnect
      SaaSのエンドツーエンド接続のための単一プラットフォーム
      Kong AI Gateway
      GenAI インフラストラクチャ向けマルチ LLM AI Gateway
      Kong Mesh
      Kuma と Envoy をベースにしたエンタープライズサービスメッシュ
      decK
      Kongの構成を宣言型で管理する上で役立ちます
      Kong Ingress Controller
      Kubernetesクラスタ内で動作し、Kongをプロキシトラフィックに設定する
      Kong Gateway Operator
      YAMLマニフェストを使用してKubernetes上のKongデプロイメントを管理する
      Insomnia
      コラボレーティブAPI開発プラットフォーム
  • Plugin Hub
    • Plugin Hubを探索する
      View all plugins すべてのプラグインを表示 View all plugins arrow image
    • 機能性 すべて表示 View all arrow image
      すべてのプラグインを表示
      AI's icon
      AI
      マルチ LLM AI Gatewayプラグインを使用してAIトラフィックを管理、保護、制御する
      認証's icon
      認証
      認証レイヤーでサービスを保護する
      セキュリティ's icon
      セキュリティ
      追加のセキュリティレイヤーでサービスを保護する
      トラフィック制御's icon
      トラフィック制御
      インバウンドおよびアウトバウンドAPIトラフィックの管理、スロットル、制限
      サーバーレス's icon
      サーバーレス
      他のプラグインと組み合わせてサーバーレス関数を呼び出します
      分析と監視's icon
      分析と監視
      APIとマイクロサービストラフィックを視覚化、検査、監視
      変革's icon
      変革
      Kongでリクエストとレスポンスをその場で変換
      ログ記録's icon
      ログ記録
      インフラストラクチャに最適なトランスポートを使用して、リクエストと応答データをログに記録します
  • サポート
  • コミュニティ
  • Kongアカデミー
デモを見る 無料トライアルを開始
Kong Gateway
3.7.x
  • Home icon
  • Kong Gateway
  • Kong Manager
  • Authentication and Authorization
  • OpenID Connect
  • OIDC 認証済みグループマッピング
report-issue問題を報告する
  • Kong Gateway
  • Kong Konnect
  • Kong Mesh
  • Kong AI Gateway
  • Plugin Hub
  • decK
  • Kong Ingress Controller
  • Kong Gateway Operator
  • Insomnia
  • Kuma

  • ドキュメント投稿ガイドライン
  • 3.10.x (latest)
  • 3.9.x
  • 3.8.x
  • 3.7.x
  • 3.6.x
  • 3.5.x
  • 3.4.x (LTS)
  • 3.3.x
  • 2.8.x (LTS)
  • アーカイブ (2.6より前)
  • 導入
    • Kong Gatewayの概要
    • サポート
      • バージョンサポートポリシー
      • サードパーティの依存関係
      • ブラウザサポート
      • 脆弱性パッチ適用プロセス
      • ソフトウェア部品表
    • 安定性
    • リリースノート
    • 互換性のない変更
      • Kong Gateway 3.7.x
      • Kong Gateway 3.6.x
      • Kong Gateway 3.5.x
      • Kong Gateway 3.4.x
      • Kong Gateway 3.3.x
      • Kong Gateway 3.2.x
      • Kong Gateway 3.1.x
      • Kong Gateway 3.0.x
      • Kong Gateway 2.8.x またはそれ以前
    • キーコンセプト
      • サービス
      • ルート
      • コンシューマ
      • アップストリーム
      • プラグイン
      • コンシューマグループ
    • Kongの仕組み
      • トラフィックのルーティング
      • ロードバランシング
      • ヘルスチェックとサーキットブレーカー
    • 用語集
  • Kongを始めましょう
    • Kongを入手
    • サービスとルート
    • Rate Limiting
    • プロキシキャッシュ
    • Key Authentication
    • ロードバランシング
  • Kongのインストール
    • 概要
    • Kubernetes
      • 概要
      • Kong Gatewayのインストール
      • Admin APIを構成する
      • Kong Managerのインストール
    • Docker
      • docker runの使用
      • 独自の Docker イメージをビルドする
    • Linux
      • Amazon Linux
      • Debian
      • Red Hat
      • Ubuntu
    • インストール後
      • データストアの設定
      • エンタープライズライセンスを適用する
      • Kong Managerを有効にする
  • 本番環境のKong
    • デプロイメントトポロジー
      • 概要
      • ハイブリッドモード
        • 概要
        • Kong Gatewayをハイブリッドモードでデプロイする
      • DBレスデプロイメント
      • 伝統的な
    • 実行中のKong
      • 非rootユーザーとしてKongを実行する
      • Admin APIの保護
      • systemdの使用
    • アクセス制御
      • Kong Gatewayを安全に起動する
      • プログラムによる管理者の作成
      • RBACを有効にする
    • ライセンス
      • 概要
      • ライセンスのダウンロード
      • エンタープライズライセンスのデプロイ
      • ライセンス APIの使用
      • ライセンス使用状況の監視
    • ネットワーキング
      • デフォルトポート
      • DNSに関する考慮事項
      • ネットワークとファイアウォール
      • フォワードプロキシ経由のCP/DP通信
      • PostgreSQL TLS
        • PostgreSQL TLSの構成
        • PostgreSQL TLSのトラブルシューティング
    • Kong設定ファイル
    • 環境変数
    • KongからのウェブサイトとAPIの提供
    • モニタリング
      • 概要
      • Prometheus
      • StatsD
      • Datadog
      • ヘルスチェックプローブ
    • トレーシング
      • 概要
      • カスタムトレースエクスポーターの記述
      • トレース APIリファレンス
    • リソースサイジングのガイドライン
    • セキュリティ更新プロセス
    • ブルーグリーンデプロイメント
    • カナリアデプロイメント
    • クラスタリングリファレンス
    • パフォーマンス
      • パフォーマンステストベンチマーク
      • パフォーマンスベンチマークの確立
      • Brotli圧縮によるパフォーマンスの向上
    • ログとデバッグ
      • ログ参照
      • 動的ログレベルの更新
      • ゲートウェイログのカスタマイズ
      • デバッグリクエスト
      • AI Gateway分析
    • gRPCサービスを構成する
    • Expressionsルーターを使用する
    • アップグレードと移行
      • Kong Gateway 3.x.xのアップグレード
      • バックアップと復元
      • アップグレード戦略
        • デュアルクラスターのアップグレード
        • インプレースアップグレード
        • ブルーグリーンアップグレード
        • ローリングアップグレード
      • 2.8 LTS から 3.4 LTS へのアップグレード
      • OSS から Enterprise への移行
      • Cassandra から PostgreSQL への移行ガイドライン
      • 互換性のない変更
  • Kong Gateway Enterprise
    • 概要
    • シークレット管理
      • 概要
      • はじめる
      • シークレットローテーション
      • 高度な使用法
      • バックエンド
        • 概要
        • 環境変数
        • AWS Secrets Manager
        • Azure Key Vault
        • Google Cloud Secret Manager
        • HashiCorp Vault
      • ハウツー
        • AWS Secrets Manager によるデータベースの保護
      • 参照形式
    • 動的なプラグインの順序
      • 概要
      • 動的プラグインの注文を開始する
    • 監査ログ
    • キーリングとデータ暗号化
    • ワークスペース
    • コンシューマグループ
    • イベントフック
    • データプレーン(DP)のレジリエンスの構成
    • コントロールプレーン(CP)の停止管理について
    • FIPS 140-2
      • 概要
      • FIPS 準拠パッケージのインストール
      • FIPS 140-2準拠のプラグイン
    • AWS IAMを使用してKong Gateway Amazon RDSデータベースを認証する
    • 署名付き Kong イメージの署名の検証
    • 署名付き Kong イメージのビルド来歴を確認
  • Kong AI Gateway
    • 概要
    • AI Gatewayを使ってみる
    • LLM プロバイダー統合ガイド
      • OpenAI
      • Cohere
      • Azure
      • Anthropic
      • Mistral
      • Llama2
    • AI Gateway分析
    • AI Gatewayプラグイン
  • Kong Manager
    • 概要
    • Kong Managerを有効にする
    • Kong Managerの使用を開始する
      • サービスとルート
      • Rate Limiting
      • プロキシキャッシュ
      • コンシューマによる認証
      • ロードバランシング
    • 認証と承認
      • 概要
      • スーパー管理者を作成する
      • ワークスペースとチーム
      • パスワードと RBAC トークンのリセット
      • Basic Auth
      • LDAP
        • LDAPの設定
        • LDAP サービスディレクトリマッピング
      • OIDC
        • OIDC を構成する
        • OIDC 認証済みグループマッピング
        • 以前の構成からの移行
      • セッション
      • RBAC
        • 概要
        • RBACを有効にする
        • ロールと権限を追加する
        • ユーザーの作成
        • 管理者の作成
    • ネットワーク構成
    • ワークスペース
    • コンシューマグループを作成する
    • メールの送信
    • トラブルシューティング
  • カスタムプラグインの開発
    • 概要
    • はじめる
      • 導入
      • プラグインプロジェクトの設定
      • プラグインテストを追加
      • プラグイン設定を追加
      • 外部サービスの利用
      • プラグインのデプロイ
    • ファイル構成
    • カスタムロジックの実装
    • プラグインの設定
    • データストアへのアクセス
    • カスタムエンティティの保存
    • カスタムエンティティのキャッシュ
    • Admin APIの拡張
    • テストを書く
    • インストールと配布
    • Proxy-Wasmフィルタ
      • proxy-wasm フィルターの作成
      • proxy-wasm フィルタの設定
    • プラグイン開発キット
      • 概要
      • kong.client
      • kong.client.tls
      • kong.cluster
      • kong.ctx
      • kong.ip
      • kong.jwe
      • kong.log
      • kong.nginx
      • kong.node
      • kong.plugin
      • kong.request
      • kong.response
      • kong.router
      • kong.service
      • kong.service.request
      • kong.service.response
      • kong.table
      • kong.tracing
      • kong.vault
      • kong.websocket.client
      • kong.websocket.upstream
    • 他の言語のプラグイン
      • Go
      • Javascript
      • Python
      • コンテナ内でプラグインを実行する
      • 外部プラグインのパフォーマンス
  • Kong Plugins
    • 概要
    • 認証リファレンス
    • 複数の認証プラグインを許可する
    • プラグインキューイング
      • 概要
      • プラグインキューイングリファレンス
  • Admin API
    • 概要
    • 宣言型構成
    • エンタープライズ API
      • インフォメーションルート
      • ヘルスルート
      • タグ
      • ルートのデバッグ
      • サービス
      • ルート
      • コンシューマ
      • プラグイン
      • 証明書
      • CA 証明書
      • SNI
      • アップストリーム
      • ターゲット
      • 金庫
      • 鍵
      • フィルターチェーン
      • ライセンス
      • ワークスペース
      • RBAC
      • アドミン
      • コンシューマグループ
      • イベントフック
      • キーリングとデータ暗号化
      • 監査ログ
      • ステータスAPI
    • オープンソースAPI
  • リファレンス
    • kong.conf
    • Nginxディレクティブの挿入
    • CLI
    • キー管理
    • 表現言語
      • 概要
      • 言語リファレンス
      • パフォーマンスの最適化
    • Rate Limitingライブラリ
    • Webアセンブリ
    • FAQ
enterprise-switcher-icon 次に切り替える: OSS
On this pageOn this page
  • 前提条件
  • OIDC認証マッピングのKong Gatewayへの適用
    • 重要な価値を見直す
    • マッピングの設定
旧バージョンのドキュメントを参照しています。 最新のドキュメントはこちらをご参照ください。

OIDC 認証済みグループマッピング

KongのOpenID Connectプラグイン(OIDC)を使用すると、IDプロバイダー(IdP)グループをKongロールにマッピングできます。この方法でKongにユーザーを追加すると、IdPのグループに基づいてユーザーがKongにアクセスできるようになります。

ID プロバイダ(IdP)グループをKongロールにマッピングすると、管理者アカウントが自動的に作成されます。ユーザー、グループ、ロールを個別に作成する必要はありません。その後、これらのユーザーはKong Managerへの参加招待を受け入れ、IdP認証情報でログインできるようになります。

重要: v3.6.xでは、admin_gui_auth_confの下にあるパラメーターの多くが動作を変更しました。変更を確認し、それに応じて構成を調整してください。

IdPで管理者のグループが変更されると、次にKong Managerにログインしたときに、Kong管理者アカウントの関連付けられたロールもKong Gatewayで変更されます。このマッピングにより、IdPが記録システムになるため、 Kong Gatewayで主導でアクセスを管理する手間が省けます。

OIDCグループマッピングを使用すると、管理者に割り当てられたロールはIdPによって管理されます。管理者ロールの割当や割当解除を手動で行った場合、変更内容は次回のログインで上書きされます。

前提条件

  • 認証サーバーとグループを割り当てられたユーザーを持つIdP
  • Kong Gatewayがインストールおよび構成済み
  • Kong Manager が有効である
  • RBAC有効
  • (Kubernetesの)Helmがインストールされている

OIDC認証マッピングのKong Gatewayへの適用

重要な価値を見直す

次の例では、admin_claim パラメータと authenticated_groups_claim パラメータを指定して、IdP から Kong Gateway にマッピングする管理者の値とロール名を識別し、admin_auto_create_rbac_token_disabled を指定して、Kong の管理者に対して RBAC トークンを作成するかどうかを指定します。

  • admin_claim値は、Kong ManagerにマップするIdPユーザー名の値を指定します。ユーザーがIdPにログインするには、ユーザー名とパスワードが必要です。

  • authenticated_groups_claimの値は、 Kong Gatewayロールを特定の Kong Gateway管理者割り当てるために どのIdPクレームを使用すべきか指定します。

    この値はIdPによって異なります。たとえば、Oktaはクレームをgroupsとして構成し、別のIdPはクレームをrolesとして構成する場合があります。

    IdPでは、グループクレーム値は<workspace_name id="sl-md0000000">:<role_name id="sl-md0000000">形式に従う必要があります。

    たとえば、"authenticated_groups_claim": ["groups"]が指定され、IdPでgroups:["default:super-admin"]が指定される場合、admin_claimで指定されるアドミンはデフォルトのKong Gatewayワークスペースでスーパーアドミンロールに割り当てられます。

    マッピングが期待どおりに機能しない場合は、IdPが作成したJWTをデコードし、管理者IDトークンに、この例ではkey:valueペアgroups:["default:super-admin"]、またはIdPに設定されている適切なクレーム名とクレーム値が含まれていることを確認します。

  • admin_auto_create_rbac_token_disabledブール値は、OpenID Connectを使用して管理者を自動的に作成するときに、RBACトークンの作成を有効または無効にします。デフォルトはfalseです。

    • 管理者の自動トークン作成を無効にするには、 trueに設定します
    • false に設定すると、管理者向けトークンの自動生成が有効になります
  • admin_auto_createブール値はOpenID Connect を使用し管理者の自動作成を 有効または無効にします。デフォルトはtrueです。

    • trueに設定すると、アドミンの自動生成が有効になります
    • falseに設定すると、管理者の自動生成が無効になります

マッピングの設定

Kubernetes with Helm
Docker
kong.conf
  1. OIDCプラグインの設定ファイルを作成し、 admin_gui_auth_confのように保存します。

    中括弧 ( {} ) で示されるすべてのフィールドに独自の値を入力します。

    {                                      
        "issuer": "{YOUR_IDP_URL}",        
        "admin_claim": "email",
        "client_id": ["{CLIENT_ID}"],                 
        "client_secret": ["{CLIENT_SECRET}"],
        "authenticated_groups_claim": ["{CLAIM_NAME}"],
        "ssl_verify": false,
        "leeway": 60,
        "redirect_uri": ["{YOUR_REDIRECT_URI}"],
        "login_redirect_uri": ["{YOUR_LOGIN_REDIRECT_URI}"],
        "logout_methods": ["GET", "DELETE"],
        "logout_query_arg": "logout",
        "logout_redirect_uri": ["{YOUR_LOGOUT_REDIRECT_URI}"],
        "scopes": ["openid","profile","email","offline_access"],
        "auth_methods": ["authorization_code"],
        "admin_auto_create_rbac_token_disabled": false,
        "admin_auto_create": true
    }
    

    すべての OIDC パラメータの詳細説明については、OpenID Connect パラメータに関する参考資料を参照してください。

  2. 作成したばかりのファイルからシークレットを作成します。

    kubectl create secret generic kong-idp-conf --from-file=admin_gui_auth_conf -n kong
    
  3. 次のパラメータを使用して、デプロイメントの values.yml ファイルの RBAC セクションを更新します。

    rbac:
      enabled: true
      admin_gui_auth: openid-connect
      session_conf_secret: kong-session-conf   
      admin_gui_auth_conf_secret: kong-idp-conf
    
  4. Helmを使用して、YAMLファイル名でデプロイをアップグレードします。

    helm upgrade --install kong-ee kong/kong -f ./myvalues.yaml -n kong
    

Dockerがインストールされている場合は、次のコマンドを実行して必要な環境変数を設定し、Kong Gateway構成を再読み込みします。

中括弧 ( {} ) で示されるすべてのフィールドに独自の値を入力します。

echo "
  KONG_ENFORCE_RBAC=on \
  KONG_ADMIN_GUI_AUTH=openid-connect \
  KONG_ADMIN_GUI_AUTH_CONF='{
      \"issuer\": \"{YOUR_IDP_URL}\",
      \"admin_claim\": \"email\",
      \"client_id\": [\"<someid id="sl-md0000000">\"],
      \"client_secret\": [\"<somesecret id="sl-md0000000">\"],
      \"authenticated_groups_claim\": [\"{CLAIM_NAME}\"],,
      \"ssl_verify\": false,
      \"leeway\": 60,
      \"redirect_uri\": [\"{YOUR_REDIRECT_URI}\"],
      \"login_redirect_uri\": [\"{YOUR_LOGIN_REDIRECT_URI}\"],
      \"logout_methods\": [\"GET\", \"DELETE\"],
      \"logout_query_arg\": \"logout\",
      \"logout_redirect_uri\": [\"{YOUR_LOGOUT_REDIRECT_URI}\"],
      \"scopes\": [\"openid\",\"profile\",\"email\",\"offline_access\"],
      \"auth_methods\": [\"authorization_code\"],
      \"admin_auto_create_rbac_token_disabled\": false,
      \"admin_auto_create\": true
    }' kong reload exit" | docker exec -i {KONG_CONTAINER_ID} /bin/sh

{KONG_CONTAINER_ID} をコンテナの ID に置き換えます。

上記で使用されるすべてのパラメータ、および他の多数のカスタマイズオプションの詳細な説明については、OpenID Connectパラメータに関する参考資料を参照してください。

  1. kong.confファイルに移動します。

  2. RBACを有効にした状態で、admin_gui_authプロパティとadmin_gui_auth_confプロパティをファイルに追加します。

    中括弧 ( {} ) で示されるすべてのフィールドに独自の値を入力します。

    enforce_rbac = on
    admin_gui_auth = openid-connect
    admin_gui_auth_conf = {                                      
        "issuer": "{YOUR_IDP_URL}",        
        "admin_claim": "email",
        "client_id": ["{CLIENT_ID}"],                 
        "client_secret": ["{CLIENT_SECRET}"],
        "authenticated_groups_claim": ["{CLAIM_NAME}"],
        "ssl_verify": false,
        "leeway": 60,
        "redirect_uri": ["{YOUR_REDIRECT_URI}"],
        "login_redirect_uri": ["{YOUR_LOGIN_REDIRECT_URI}"],
        "logout_methods": ["GET", "DELETE"],
        "logout_query_arg": "logout",
        "logout_redirect_uri": ["{YOUR_LOGOUT_REDIRECT_URI}"],
        "scopes": ["openid","profile","email","offline_access"],
        "auth_methods": ["authorization_code"],
        "admin_auto_create_rbac_token_disabled": false,
        "admin_auto_create": true
    }
    

    上記で使用されるすべてのパラメータ、および他の多数のカスタマイズオプションの詳細な説明については、OpenID Connectパラメータに関する参考資料を参照してください。

  3. Kong Gatewayを再起動して、ファイルを適用します。

    kong restart -c /path/to/kong.conf
    
Thank you for your feedback.
Was this page useful?
情報が多すぎる場合 close cta icon
Kong Konnectを使用すると、より多くの機能とより少ないインフラストラクチャを実現できます。月額1Mリクエストが無料。
無料でお試しください
  • Kong
    APIの世界を動かす

    APIマネジメント、サービスメッシュ、イングレスコントローラーの統合プラットフォームにより、開発者の生産性、セキュリティ、パフォーマンスを大幅に向上します。

    • 製品
      • Kong Konnect
      • Kong Gateway Enterprise
      • Kong Gateway
      • Kong Mesh
      • Kong Ingress Controller
      • Kong Insomnia
      • 製品アップデート
      • 始める
    • ドキュメンテーション
      • Kong Konnectドキュメント
      • Kong Gatewayドキュメント
      • Kong Meshドキュメント
      • Kong Insomniaドキュメント
      • Kong Konnect Plugin Hub
    • オープンソース
      • Kong Gateway
      • Kuma
      • Insomnia
      • Kongコミュニティ
    • 会社概要
      • Kongについて
      • お客様
      • キャリア
      • プレス
      • イベント
      • お問い合わせ
  • 利用規約• プライバシー• 信頼とコンプライアンス
© Kong Inc. 2025