概要

このユースケースでは、miniOrange OAuthクライアントモジュールを用いてDrupalで属性ベースのユーザーログインを実装する方法について説明します。ユーザーの認証と識別は、シングルサインオン（SSO）時にOAuthアイデンティティプロバイダーから受信した属性を使用して実行されます。

受験資格：

このセクションでは、要件と実装プロセスから結果まですべてについて説明します。

• miniOrange OAuth クライアント モジュール (バージョン 8.x 以上) がインストールされ、有効になっています。
• モジュール構成への管理者アクセス。
• OAuth プロバイダーが構成され、アクセス可能です。
• 必要なユーザー属性は OAuth トークンで利用できます。

問題

Drupalサイトがユーザーのログインに外部のIDプロバイダーを利用している場合、ユーザー名やメールアドレスなどのローカル情報がIDプロバイダーの情報と一致しないと、状況が複雑になる可能性があります。この不一致は様々な問題を引き起こします。ユーザーアカウントが重複してしまう可能性があります。ログインしようとした際に、システムが間違ったアカウントを関連付けてしまうこともあります。ユーザープロファイルが古くなる可能性があり、すべてを整理するために多くの手作業が必要になります。最悪なのは、これらの問題が不正アクセスの温床となる可能性があることです。これは本当に厄介な問題です。

解決策

Drupal OAuth クライアント モジュールで属性ベースのログイン機能を有効にすると、サイト管理者は、認証とユーザー作成の両方を処理するメイン/プライマリ ユーザー識別子として機能する OAuth 属性を選択できます。

これを Drupal サイトに追加するには、いくつかの重要な設定手順が必要です。

SSOログイン識別子の設定

• 管理者は、SSOログイン識別子として使用する特定のOAuthサーバー属性を設定できます。この属性は、認証時にユーザー識別の主キーとして機能します。
• SSOログインIDは、OAuthサーバーから属性（通常はメールアドレス、ユーザー名、従業員ID、外部ユーザーIDなど）を選択して設定します。ユーザーがログインしようとすると、Drupalはその属性の値に一致するユーザーアカウントを検索します。これにより、OAuthユーザーとDrupalアカウントは常に確実に一致し、推測する必要がなくなります。

認証と識別フロー

• ユーザーはDrupalアプリケーションからログインを開始します
• ユーザーはOAuthプロバイダーにリダイレクトされます
• 認証はアイデンティティプロバイダで完了します
• ユーザー属性を含むOAuthトークンがDrupalに返されます
• 設定されたSSOログイン属性が評価されます
• ユーザーアカウントが一致または作成されました
• マッピングされた属性はDrupalユーザープロファイルに同期されます
• ユーザーセッションが確立されました

SSOログイン属性

• ログイン時にユーザーを識別するために、単一のOAuthサーバー属性が選択されます。サポートされている属性には以下が含まれますが、これらに限定されません。
• メールアドレス
• この属性は、SSO 中に既存の Drupal ユーザーを見つけるために使用されます。

属性マッピング

• OAuth サーバー属性は Drupal ユーザー フィールドにマッピングされます。
• 例：
• メール → メール
• 名前 → 名前
• 部門 → フィールド_部門
• マップされた属性は、ログインが成功するたびに更新されます。

公式サイト限定

• 決定論的なユーザー識別。
• 一貫した ID 同期。
• 管理オーバーヘッドの削減。
• 安全でスケーラブルな認証フロー。

結論

miniOrange OAuthクライアントを使用した属性ベースのログインは、OAuthアイデンティティプロバイダーと統合されたDrupalアプリケーションにおいて、信頼性の高いユーザー識別メカニズムを提供します。認証時にOAuth属性を評価することで、Drupalは正確なユーザーマッチング、自動プロビジョニング、そして一貫したアイデンティティ管理を実現します。