以下の記事に記載されている手順を実施済みとします。
Oracle IAMのOIDC認証にてAPEXアプリとそれから呼び出すORDSのREST APIを認証する
https://apexugj.blogspot.com/2024/06/verification-of-oauth-create-jwt-profile-oracle-iam.html
Oracle IAMの統合アプリにカスタム・クレームを追加しRole based JWT profileによる保護を確認する
本記事では、以下の作業が完了していることを前提とします。
- 発行者(issuer)をデフォルトのhttps://identity.oraclecloud.com/としています。
- 署名証明書へのアクセスのクライアント・アクセスの構成を有効にしています。
- カスタム・クレームiam_groupsを作成しています。
記述が重複しますが、Oracle IAMでの確認作業について記載します。
Defaultドメインのユーザー管理を開き、ORDSでロールとして扱うグループを作成します。
作成するグループの名前はORDSUsers、説明は「ORDS REST APIへのアクセスを許可」と記述します。
グループに含めるユーザーをチェックし、作成を実行します。
グループORDSUsersが作成されます。
ユーザータブを開き、グループ作成時にチェックしたユーザーが含まれていることを確認します。
グループの作成は以上で完了です。
Defaultドメインの統合アプリケーションを開き、 アプリケーションの追加をクリックします。
モバイル・アプリケーションを選択し、ワークフローの起動をクリックします。
追加するモバイル・アプリケーションの名前はORDS MCPとします。画面下部にある、認証と認可の権限付与を認可として実施をオンにします。このアプリケーションに割り当てられたユーザーおよびグループのみがサインインできるようになります。
送信をクリックします。
アプリケーションORDS MCPが作成されます。
OAuth構成タブを開きます。
一般情報のクライアントIDは、MCP InspectorのOAuth 2.0 FlowのClient IDに設定する値になります。接続時に必要になるため、メモしておきます。
OAuth構成の編集をクリックします。
認可の許可される権限付与タイプに含まれる、リフレッシュ・トークンと認可コードをチェックします。
MCP InspectorのリダイレクトURLはHTTPなので、HTTPS以外のURLを許可をオンにします。
リダイレクトURLとして、以下の3つを設定します。
http://localhost:6274/oauth/callback
https://chatgpt.com/connector_platform_oauth_redirect
https://claude.ai/api/mcp/auth_callback
以上を設定し、送信します。
アプリケーションをアクティブ化します。
アクション・メニューのアクティブ化を実行します。
アプリケーションがアクティブ化されたら、ユーザータブを開き、このアプリケーションにサインインできるユーザーの割当てを実施します。
アプリケーションに割り当てるユーザーを選択し、割当てをクリックします。
以上で、Oracle IAMにモバイル・アプリケーションORDS MCPが作成できました。
ORDS REST APIの保護とアクセスに必要な設定を集めます。
発行者はデフォルト値としているので、ORDS_SECURITY.CREATE_JWT_PROFILEを呼び出す際に、引数p_issuerに与える値はhttps://identity.oraclecloud.com/になります。
Defaultドメインの詳細に記載されているドメインURLが、ORDS_SECURITY.CREATE_JWT_PROFILEを呼び出す際に、引数p_audienceに与える値になります。また、この値はoauth-protected-resourceのresource属性に設定する値になります。
https://ドメインURL/.well-known/openid-configuration
上記のURLにブラウザよりアクセスし、属性jwks_uriの値を取得します。この値は、ORDS_SECURITY.CREATE_JWT_PROFILEを呼び出す際に、引数p_jwk_urlに与える値になります。
oauth-protected-resourceのauthorization_serversとして設定する値は、ドメインURLになります。ドメインURLの末尾に/(スラッシュ)を加えます。
ORDS REST APIの保護とアクセスに必要な設定は以上になります。
ロール・ベースJWTプロファイルを設定します。
ORDS_SECURITY.CREATE_JWT_PROFILEを実行します。それぞれの引数には、今まで集めた設定値を割り当てます。引数p_role_claim_nameには、以前の記事で作成している/iam_groupsを指定します。
begin
ords_security.delete_jwt_profile;
ords_security.create_jwt_profile(
p_issuer => 'https://identity.oraclecloud.com/'
,p_audience => 'ドメインURL'
,p_jwk_url => 'ドメインURL/admin/v1/SigningCert/jwk'
,p_role_claim_name => '/iam_groups'
);
end;
/
ビューUSER_ORDS_JWT_PROFILEを検索し、設定した内容を確認します。
select issuer,audience,jwk_url,role_claim_name from user_ords_jwt_profile
以下のスクリプトを実行し、Oracle REST Data Servicesに権限oracle.example.mcpを作成(すでに存在する場合は再定義)します。ロールとしてORDSUsersを作成し、RESTモジュールsampleserverを保護します。
declare
l_roles owa.vc_arr;
l_modules owa.vc_arr;
l_patterns owa.vc_arr;
begin
ords.create_role(
p_role_name => 'ORDSUsers'
);
l_modules(1) := 'sampleserver';
l_roles(1) := 'ORDSUsers';
ords.define_privilege(
p_privilege_name => 'oracle.example.mcp',
p_label => 'Priviledge for MCP',
p_roles => l_roles,
p_modules => l_modules,
p_patterns => l_patterns -- no assignment
);
end;
/
nginxを実行しているインスタンスに接続し、/.well-known/以下を設定します。
rootユーザーで作業します。
sudo -s
[opc@apex ~]$ sudo -s
[root@apex opc]#
cd /usr/share/nginx/html
[root@apex opc]# cd /usr/share/nginx/html
[root@apex html]#
ディレクトリ.well-knownがすでに存在すれば名称を変えて保存し、新たに.well-knownを作成します。
mv .well-known well-known.bak
mkdir .well-known
[root@apex html]# mv .well-known well-known.bak
[root@apex html]# mkdir .well-known
[root@apex html]#
リモートMCPサーバーのアクセスパスが/ords/apexdev/sampleserver/mcpなので、oauth-protected-resourceとして記述する内容は.well-known以下の.well-known/oauth-protected-resource/ords/apexdev/sampleserver/mcpに記述します。
ファイル.well-known/oauth-protected-resource/ords/apexdev/sampleserver/mcpを作成し、以下を記述します。
{
"resource": "ドメインURL",
"authorization_servers": {
["ドメインURL/"]
}
}メタデータをダウンロードし、.well-known以下に配置します。
curl -OL ドメインURL/.well-known/openid-configuration
mv openid-configuration .well-known/
[root@apex html]# curl -OL https://**********.identity.oraclecloud.com:443/.well-known/openid-configuration
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 3166 100 3166 0 0 36355 0 --:--:-- --:--:-- --:--:-- 36390
[root@apex html]# mv openid-configuration .well-known/
[root@apex html]#
以上で全体の設定が完了しました。
MCP Inspectorを起動します。
npx @modelcontextprotocol/inspector
Transport TypeにStreamable HTTPを選択し、URLにORDSのRESTモジュールとして実装されているサンプルのMCPサーバーのURLを設定します。
https://ホスト名/ords/apexdev/sampleserver/mcp
OAuth 2.0 FlowのClient IDに、Oracle IAMに作成した統合アプリケーションORDS MCPのクライアントIDを設定します。
Connectをクリックし、認証プロセスを開始します。
Oracle IAMのサインインの画面に遷移します。
ユーザー認証に成功しました。
以上でRole based JWT profileで保護したORDS REST APIを、MCP Inspectorでアクセスできました。
記事「Role based JWT profileで保護したORDS REST APIにMCP Inspectorでアクセスする - Auth0編」と同じ作業を行い、ChatGPTのアプリ、およびClaude Desktopのカスタムコネクタを作成してみました。
ブラウザ版のChatGPTでは、nginxが返す/.well-known/oauth-protected-resource/ords/apexdev/sampleserver/mcpの内容を以下に変更する必要がありました。authorization_serversはオブジェクトとして与えます。
{
"resource": "ドメインURL",
"authorization_servers": {
["ドメインURL/"]
},
"scopes_supported": ["files:read", "files:write"]
}上記の設定で、ChatGPTアプリとして作成できました。
Claude Desktop向けでは、/.well-known/oauth-protected-resource/ords/apexdev/sampleserver/mcpとして以下を記述しています。authorization_serversは配列として与えます。
{
"resource": "ドメインURL",
"authorization_servers":
["ドメインURL/"]
,
"scopes_supported": ["files:read", "files:write"]
}また、Claude Desktopは/.well-known/openid-configurationを探さなかったので、/.well-known/oauth-authorization-serverとして配置する必要がありました。
上記の設定で、Claude Desktopのカスタムコネクタとして作成できました。
クライアントとIdPの組み合わせに依存して、oauth-protected-resourceのauthorization_serversがオブジェクトを受け付けたり、配列を受け付けたりするのは謎ですが、とにかく接続はできました。
今回の記事は以上です。
完
