OAuth認証
このページにはImmichでOAuthを使用する際の詳細が記載されています。
app.immich:///oauth-callback を有効なリダイレクトURIとして設定できませんか?代替案についてはモバイルリダイレクトURIをご覧ください。
概要
ImmichはOAuth2を基盤としたIDレイヤーであるOpenID Connect (OIDC)を介して第三者認証をサポートしています。OIDCは以下を含むほとんどのIDプロバイダーでサポートされています:
必要条件
ImmichでOAuthを有効にする前に、サードパーティの認証サーバーで新しいクライアントアプリケーションを構成する必要があります。この設定の具体的な内容はプロバイダーによって異なりますが、一般的なアプローチは同じです。
-
新しい(クライアント)アプリケーションを作成する
- プロバイダーの種類は
OpenID ConnectまたはOAuth2でなければなりません。 - クライアントの種類は
Confidentialと設定してください。 - アプリケーションの種類は
Webである必要があります。 - グラントの種類は
Authorization Codeである必要があります。
- プロバイダーの種類は
-
リダイレクトURI/オリジンを構成する
サインインリダイレクトURIには以下を含める必要があります:
app.immich:///oauth-callback- モバイルアプリからOAuthでログインするためhttp://DOMAIN:PORT/auth/login- WebクライアントでOAuthによりログインするためhttp://DOMAIN:PORT/user-settings- Webクライアントで手動でOAuthをリンクするため
リダイレクトURIにはImmichにアクセスする際に使用するすべてのドメインを含める必要があります。例として以下が挙げられます:
モバイル
app.immich:///oauth-callback(iOSおよびAndroidのモバイルアプリが正常に動作するためにこれを必ず含めてください)
�ローカルホスト
http://localhost:2283/auth/loginhttp://localhost:2283/user-settings
ローカルIP
http://192.168.0.200:2283/auth/loginhttp://192.168.0.200:2283/user-settings
ホスト名
https://immich.example.com/auth/loginhttps://immich.example.com/user-settings
OAuthを有効化
新しいOAuthクライアントアプリケーションを構成したら、Immichをウェブ上の管理設定ページ (Administration -> Settings) を使用して構成できます。
| 設定 | 型 | デフォルト | 説明 |
|---|---|---|---|
| 有効化 | boolean | false | OAuthの有効化/無効化 |
| 発行者URL | URL | (必須) | 必須。クライアントの自己発見URL(前のステップで取得) |
| クライアントID | string | (必須) | 必須。クライアントID(前のステップで取得) |
| クライアントシークレット | string | (必須) | 必須。クライアントシークレット(前のステップで取得) |
| スコープ | string | openid email profile | リクエスト送信時に含めるスコープの完全リスト(スペース区切り) |
| 署名アルゴリズム | string | RS256 | IDトークンを署名する際に使用するアルゴリズム(例:RS256, HS256) |
| ストレージラベルの主張 | string | preferred_username | ユーザーのストレージラベルの�主張¹ |
| ロールの主張 | string | immich_role | ユーザーのロールの主張。("user"または"admin"を返すべき)¹ |
| ストレージ割り当ての主張 | string | immich_quota | ユーザーのストレージ割り当ての主張¹ |
| デフォルトストレージ割り当て (GiB) | number | 0 | ストレージ割り当て主張のないユーザーのデフォルト割り当て (無制限の場合は0を入力) |
| ボタンテキスト | string | OAuthでログイン | ウェブ上のOAuthボタンのテキスト |
| 自動登録 | boolean | true | trueの場合、最初のサインイン時にユーザーが自動的に登録されます |
| 自動開始 | boolean | false | trueの場合、ログインページをスキップして自動的にOAuthログインプロセスを開始 |
| モバイルリダイレクトURI上書き設定 | URL | (空) | Http(s)方式の代替モバイルリダイレクトURI |
主張はユーザー作成時にのみ使用され、それ以降同期されません。
発行者URLは以下のような形式であり、有効なJSONドキュメントを返す必要があります。
https://accounts.google.com/.well-known/openid-configurationhttp://localhost:9000/application/o/immich/.well-known/openid-configuration
URLの.well-known/openid-configuration部分はオプションであり、発見時に自動的に追加されます。
自動開始
自動開始が有効化されている場合、ログインページは自動的にユーザーをOAuth認証URLにリダイレクトし、OAuthでログインします。再度ログイン画面にアクセスするには、ブラウザの戻るボタンを使用するか、直接 /auth/login?autoLaunch=0 に移動してください。
自動開始は /auth/login?authLaunch=1 に移動することでリクエストごとに有効化することも可能です。例えばNextcloudの外部サイトアプリやoidcアプリを使用して、Immichがログイン済みインスタンスと直接やり取りできるようにする場合に役立ちます。
モバイルリダイレクトURI
モバイルアプリのリダイレクトURIは app.immich:///oauth-callback であり、カスタムスキームです。このカスタムスキームがOAuthプロバイダーにとって無効なリダイレクトURIの場合、以下の方法で問題を回避できます:
app.immich:///oauth-callbackにリクエストを転送するhttp(s)エンドポイントを構成する。- 新しいエンドポイントをプロバイダーで有効なリダイレクトURIとしてホワイトリストに登録する。
- OAuth設定で新しいエンドポイントを
モバイルリダイレクトURI上書き設定として指定する。
これらの手順が整えば、モバイルアプリからカスタムスキームのリダイレクトURIを使用せずにOAuthを使用できるようになります。
Immichには (/api/oauth/mobile-redirect) というルートがあり、このルートはすでに app.immich:///oauth-callback にリクエストを�転送するよう構成されています。これを手順1に使用できます。
例としての構成
Authentikの例
Authentik例
以下はAuthentik向けに構成されたOAuthの例です:
許可されたリダイレクトURIの構成 (Authentik OAuth2/OpenIDプロバイダ)
Immichシステム設定におけるOAuthの構成
| 設定 | 値 |
|---|---|
| 発行者URL | https://example.immich.app/application/o/immich/.well-known/openid-configuration |
| クライアントID | AFCj2rM1f4rps******CLEum6hH9... |
| クライアントシークレット | 0v89FXkQOWO********mprbvXD549HH6s1iw... |
| スコープ | openid email profile |
| 署名アルゴリズム | RS256 |
| ストレージラベルの主張 | preferred_username |
| ストレージ割り当ての主張 | immich_quota |
| デフォルトストレージ割り当て (GiB) | 0 (0の場合は無制限) |
| ボタンテキスト | Authentikでサインイン (オプション) |
| 自動登録 | 有効化済み (オプション) |
| ��自動開始 | 有効化済み (オプション) |
| モバイルリダイレクトURI上書き設定 | 無効化 |
| モバイルリダイレクトURI |
Googleの例
Googleの例
以下はGoogle向けに構成されたOAuthの例です:
許可されたリダイレクトURIの構成 (Googleコンソール)
Immichシステム設定におけるOAuthの構成
| 設定 | 値 |
|---|---|
| 発行者URL | https://accounts.google.com |
| クライアントID | 7********vuls.apps.googleusercontent.com |
| クライアントシークレット | G******************OO |
| スコープ | openid email profile |
| 署名アルゴリズム | RS256 |
| ストレージラベルクレイム | preferred_username |
| ストレージクォーラクレイム | immich_quota |
| デフォルトストレージクォーラ (GiB) | 0 (無制限クォーラの場合は0) |
| ボタンテキスト | Googleでサインイン (任意) |
| 自動登録 | 有効 (任意) |
| 自動起動 | 有効 |
| モバイルリダイレクトURIのオーバーライド | 有効 (必須) |
| モバイルリダイレクトURI | https://example.immich.app/api/oauth/mobile-redirect |