Google API の準備
Google APIs で認証情報を作成する
Google APIs
ALB が GoogleAPI と認証のやり取りをするリダイレクトURLは ALB 指定のものを設定しておく
Google OpenID Provider のエンドポイント情報を確認しておく
$ curl https://accounts.google.com/.well-known/openid-configuration
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://oauth2.googleapis.com/token",
"userinfo_endpoint": "https://openidconnect.googleapis.com/v1/userinfo",
"revocation_endpoint": "https://oauth2.googleapis.com/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
~
ALB にて認証設定
OIDC設定
認証をかけたいメンバーグループのルールに認証フローを追加する
追加後、設定したURLにアクセスしてみると
Google認証が来て、ログインすると通常の画面が表示される
Googleアカウント制限
このままでは Google アカウントを持っていれば誰でもアクセスできてしまうため、 特定の企業アカウントのみログインできるように制御する
ALBにて認証ルールの追加リクエストパラメータに hd 属性を指定する
他にどのようなパラメータが使用可能かは GooglAPI のドキュメントに記載がある
OpenID Connect Authentication URI parameters
