OIDC クライアント
このページでは、PocketSign Platform から OIDC クライアントを運用する際の判断基準と手順をまとめます。各設定項目の意味や実装挙動への影響は クライアント設定 を参照してください。
シークレットの管理
client_secret_basic / client_secret_post を使うクライアントでは、クライアントシークレットの安全な保管とローテーションが必要です。
作成直後の取り扱い
クライアントを作成した直後に表示されるクライアントシークレットは、その画面でしか確認できません。次の場所に保管してください。
- サービスのバックエンド用のシークレットマネージャー
- CI / CD のシークレットストア
ブラウザに表示されたシークレットを画面コピーや平文ファイルに残さないでください。
private_key_jwt を使う場合
private_key_jwt を使うクライアントでは、シークレットの代わりに jwks_uri で公開鍵を提示します。鍵のローテーションは、jwks_uri に新旧の鍵を両方公開してから旧鍵を削除する流れになります。詳細は クライアント認証 を参照してください。
操作の記録
シークレットの再生成・サービスアクセストークンの生成・クライアントの削除は、いずれも取り消せない操作です。
サービスアクセストークンを発行する
サービスとして Registry の ClientService を呼ぶときは、サービスアクセストークンを Authorization: Bearer <token> 形式で送ります。Link v1 でサービスシークレットを直接 Authorization ヘッダーに載せていた方式とは異なり、KLON ではトークンを介してアクセスします。
発行手順
- PocketSign Platform の OIDC クライアント画面で、対象クライアントの「サービスアクセストークンを生成」を実行します
- 画面に表示されたトークンを、サービスのバックエンド用のシークレットマネージャーに保管します
トークンは生成時に一度だけ表示されます。画面を閉じた後に再表示することはできません。
既存トークンの扱い
サービスアクセストークンを再生成すると、既存のトークンは即時無効化されます。再生成と新トークンへの切り替えを並行して行う場合は、ダウンタイムを許容できるタイミングで実施してください。
関連ページ
- Link v1 の Service API からの移行は Subscriber / Service API からの移行
関連ページ
- 各設定項目の意味は クライアント設定
- クライアント認証方式の選び方は クライアント認証
- ネイティブアプリ向けの構成は ネイティブアプリ向け OIDC 連携
- DPoP を使う場合は DPoP