JWT bearer token authorizationグラント種別 のバックアップ(No.20)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWT bearer token authorizationグラント種別 へ行く。
  • 1 (2017-11-20 (月) 16:17:10)
  • 2 (2017-11-20 (月) 16:59:20)
  • 3 (2017-11-24 (金) 19:12:34)
  • 4 (2017-11-30 (木) 16:04:33)
  • 5 (2017-11-30 (木) 20:20:05)
  • 6 (2017-11-30 (木) 21:58:53)
  • 7 (2017-12-01 (金) 13:53:37)
  • 8 (2017-12-01 (金) 15:01:35)
  • 9 (2017-12-04 (月) 09:58:14)
  • 10 (2017-12-05 (火) 17:16:11)
  • 11 (2017-12-20 (水) 16:16:03)
  • 12 (2017-12-26 (火) 09:51:02)
  • 13 (2018-03-06 (火) 13:47:16)
  • 14 (2018-03-07 (水) 09:40:14)
  • 15 (2018-03-16 (金) 19:50:55)
  • 16 (2018-03-17 (土) 16:56:46)
  • 17 (2018-03-19 (月) 16:04:13)
  • 18 (2018-10-09 (火) 22:10:52)
  • 19 (2018-10-11 (木) 16:03:41)
  • 20 (2018-10-11 (木) 18:33:56)
  • 21 (2018-10-12 (金) 15:11:17)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• OAuth 2.0 を拡張するアサーションの仕様
• RFC 7521, 7523によって構成されている。

• JWT(JWS) をアサーションとして使用して、
  Tokenエンドポイントで、強化されたクライアント認証を使用して、
  認証・認可の手順無しにOAuth 2.0のAccess Tokenを要求する方法の定義。

クライアント認証 †

• 本仕様自体にクライアント認証を含むが、併用するクライアント認証はユースケース次第のオプション。

• 以下は、追加のクライアント認証が「無い場合」と「有る場合」の概要説明。

（追加の）クライアント認証なしの場合 †

用例にもあるGoogleやMicrosoft、SalesforceなどのWebAPI認証の方式として採用されている。

概要 †

事前に信頼関係を構築できるシステムからユーザによる認証・認可手順なしに直接Access Tokenを取得する。

• クライアントと事前に鍵交換して、
• クライアントのSelf-Issued Assertionで署名する。

フロー †

JWT(JWS)作成のための証明書を生成 or 取得する。

• 証明書を登録する。
  • Client側（秘密鍵）
  • Resource Server（Authorization Server）側（公開鍵）

• ClientでJWT(JWS)を署名し、Resource Server（Authorization Server）にリクエスト、

• Resource Server（Authorization Server）でJWT(JWS)を検証し、Access Tokenをレスポンス。

• Clientから、Access Tokenを使用してResource Server（Authorization Server）にアクセスする。

（追加の）クライアント認証ありの場合 †

こちらは、用例では紹介されていないが、

概要 †

以下に（追加の）クライアント認証をしてAccess Tokenを取得する。

• 事前に信頼関係を構築できるシステム
• 既存のユーザによる認証・認可フロー

フロー †

• Authorization Codeグラント種別（既存フロー）と併用するユースケース
  • ベース クライアント セキュリティ モデル的。
  • （追加の）クライアント認証として「OIDCで追加のクライアント認証（JWT）をする場合」が参考になる。

• Client Credentialsグラント種別（既存フロー）と併用するユースケース
  • サーバ信頼セキュリティ モデル的。
  • Client Credentialsなので「（追加の）クライアント認証をしない場合」のフローと大差ない。

などのユースケースのフローがある。

※ 仕様として定義されているのは、Tokenエンドポイントに対するリクエスト部のみ。

仕様（7521） †

• 単体では利用できず、RFC 7522, 7523のサブ仕様の共通部分を抽象化した仕様。
• ClientとResource Server（Authorization Server）を統合するような状況下での利用が想定されている。
  • Resource Ownerとしてのエンド・ユーザの介入を必要としない。
  • client_secretを必要としない（Client Credentialsグラント種別の）代替メカニズム。

フレームワーク †

ココとリンクしている。

Assertion Created by Third Party †

こちらも、用例では紹介されていないが、
Authorization Server(STS)によってAssertionを生成する。

• フロー

      Relying
      Party                     Client                   Token Service
        |                          |                         |
        |                          |  1) Request Assertion   |
        |                          |------------------------>|
        |                          |                         |
        |                          |  2) Assertion           |
        |                          |<------------------------|
        |    3) Assertion          |                         |
        |<-------------------------|                         |
        |                          |                         |
        |    4) OK or Failure      |                         |
        |------------------------->|                         |
        |                          |                         |
        |                          |                         |

Self-Issued Assertion †

ローカルでAssertionを生成する。

• フロー

      Relying
      Party                     Client
        |                          |
        |                          | 1) Create
        |                          |    Assertion
        |                          |--------------+
        |                          |              |
        |                          | 2) Assertion |
        |                          |<-------------+
        |    3) Assertion          |
        |<-------------------------|
        |                          |
        |    4) OK or Failure      |
        |------------------------->|
        |                          |
        |                          |

アサーション †

これを使ってアクセストークン・リクエストする。

文脈上 †

この文脈上でのアサーションは、

• Authorization Serverは、
  • 一般的に認可付与の短命表現で、
    アサーションの有効期間を越えるアクセストークンを発行すべきでない。
  • アサーション許可要求に応答して
    • リフレッシュトークンが発行せず、
    • アクセストークンを短い寿命で発行する。

• Clientは、
  • 同じアサーションを使用して新しいアサーションを要求したり、
  • 有効・若しくは新しいアサーションを使用して、
    期限切れのアクセストークンをリフレッシュしたり、

できる。

タイプ †

• Bearer Assertions（持参人切符）
  • 本仕様に適したタイプのアサーション
  • アサーションを所有しているすべてのエンティティは、
    • 関連するリソースへのアクセスを取得するために（暗号鍵の所持を証明することなく）アサーションを使用できる。
    • 誤用を防止するために、アサーションは、保管・移送における露見から保護する必要がある。
    • 権限のない当事者にアサーションを漏らさないために、安全な通信チャネルを使用。

• Holder-of-Key Assertions（記名式切符）
  • 本仕様に適さないタイプのアサーション（確かに仕様名からして ... だったら書くな。と、）
  • アサーションを提示するエンティティは、関連するリソースにアクセスするには、追加の暗号資料の所持を証明する必要がある。
  • 従って、
    • Authorization Server(STS)は、アサーションにキー識別子をバインドする。
    • Clientは、アサーションを提示するときに、その識別子に対応するキーを
      知っていることをResource Server（Authorization Server）に示す必要がある。

• 鍵所有者アサーションシステムのベースラインとして使用することができるが、場合によっては、以下が必要になる。
  • （秘密鍵の所有証明をサポートするための）追加のメカニズム
  • セキュリティモデルの変更（例えば、 オーディエンスの要件を緩和するため）。

クレームセット †

以下のクレームが必要。

• 必須

• iss
  • Assertion Created by Third Partyの場合、
    Authorization Server(STS)のID = IDトークンのissの値と同じになる。

• Self-Issued Assertionの場合、
  client_id = IDトークンのaudの値と同じになる。

• sub

• サーバ信頼セキュリティ モデルの場合、
  client_id = IDトークンのaudの値と同じになる。

• ベース クライアント セキュリティ モデルの場合、
  Resource OwnerのID = IDトークンのsubの値と同じになる。
  ※（追加の）クライアント認証ありのAuthorization Codeグラント種別（既存フロー）と併用するユースケース

• aud
  Resource Server（Authorization Server）のID = IDトークンのissの値と同じになる。

• exp

• オプション

• nbf
• iat
• jti

• Assertion ID
  アサーションの一意の識別子。
  • 他のエンティティが誤って同じ識別子を割り当てないことを保証しなくてはならない。
  • ワンタイム使用アサーションのメッセージ重複排除を必要とする実装によって使用される可能性がある。

• （追加の）クライアント認証なし
  • scope
    （追加の）クライアント認証なし＝Googleの例など、
    （追加の）クライアント認証を使用しない場合、scopeが必要になる。

• （追加の）クライアント認証あり
  • ・・・

署名 †

• 署名またはメッセージ認証コードを生成する
• アルゴリズムは任意（この仕様の範囲外）

パラメタ †

• TLS（Transport Layer Security）が必須。
• アサーションの認可付与としての使用を定義。

grant_type †

• （追加の）クライアント認証なし
  urn:ietf:params:oauth:grant-type:*
  • urn:ietf:params:oauth:grant-type:saml2-bearer
  • urn:ietf:params:oauth:grant-type:jwt-bearer

• （追加の）クライアント認証あり
  既存のフローのクライアント認証（HTTP Basic 認証スキーマ）を使用する。
  • grant_type=client_credentials
  • grant_type=authorization_code
    authorization_codeなので、codeも必要（code=XXXX）

scope †

要求された範囲は、OAuth 2.0 [RFC6749]の3.3節に記述されているとおり。

• （追加の）クライアント認証なし
  Googleの例など、追加のクライアント認証を使用しない場合、
  • （パラメタとしては、）不要
  • クレームセット中には必要になる。

• （追加の）クライアント認証あり
  • 既存のフローのクライアント認証を使用する。
  • 従って、この場合は、スターターでQuery Stringにscopeを指定。
  • クレームセット中からは不要になる。

client_id †

パラメタに依存するクライアント認証の形式が使用されている場合にのみ必要。

• （追加の）クライアント認証なし
  
  • （パラメタとしては、）不要
  • クレームセット中には必要になる。

• （追加の）クライアント認証あり
  • 既存のフローのクライアント認証を使用する。
  • 従って、この場合は、client_idが必要になる。
  • が、ヘッダに指定しないでクレームセット中に設定する。
    • サーバ信頼セキュリティ モデル：client_id = aud = sub
    • ベース クライアント セキュリティ モデル：client_id = aud ≠ sub

assertion †

• （追加の）クライアント認証なし
  RFC7523のアサーションを参照。

• （追加の）クライアント認証あり
  不要

client_assertion_type †

• （追加の）クライアント認証なし
  不要

• （追加の）クライアント認証あり
  urn:ietf:params:oauth:grant-type:*
  • urn:ietf:params:oauth:grant-type:saml2-bearer
  • urn:ietf:params:oauth:grant-type:jwt-bearer

client_assertion †

• （追加の）クライアント認証なし
  不要

• （追加の）クライアント認証あり
  RFC7523のアサーションを参照。

リクエスト・レスポンス †

アクセストークン・リクエスト †

• （追加の）クライアント認証なし
  • ヘッダ

    POST /token HTTP/1.1
    Host: server.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3AX-bearer&
    assertion=SAML2 or JWT assertion

• （追加の）クライアント認証あり
  • grant_type=authorization_code版
    • ヘッダ

      POST /token HTTP/1.1
      Host: server.example.com
      Content-Type: application/x-www-form-urlencoded

    • ボディ

      grant_type=authorization_code&
      code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
      client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
      client_assertion=SAML2 or JWT assertion

• grant_type=client_credentials版
  • ヘッダ

    POST /token HTTP/1.1
    Host: server.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=client_credentials&
    client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
    client_assertion=SAML2 or JWT assertion

アクセストークン・レスポンス †

仕様中に明記なし。

エラー・レスポンス †

• OAuth 2.0 [RFC6749]で定義されているエラー応答を構成

• https://tools.ietf.org/html/rfc6749#section-5.2

• （追加の）クライアント認証なし
  アサーションが有効でないか期限が切れた場合、
  • Authorization Serverは、
    • "error"パラメータの値は "invalid_grant"エラーコードでなければならない。
    • "error_description"または "error_uri"パラメータを使用して、
      アサーションが無効とみなされた理由に関する追加情報を含めることができる。

• 例
  • ヘッダ

    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    Cache-Control: no-store

  • ボディ

    {
     "error":"invalid_grant",
     "error_description":"Audience validation failed"
    }

• （追加の）クライアント認証あり
  • Authorization Serverは、
    アサーションが有効でないか複数のクライアント認証メカニズムが使用されている場合、
    • "error"パラメータの値は "invalid_client"エラーコードでなければならない。
    • "error_description"または "error_uri"パラメータを使用して、
      クライアントのアサーションが無効であると考えられた理由に関する追加情報を含めることができる。

• 例
  • ヘッダ

    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    Cache-Control: no-store

  • ボディ

    {
     "error":"invalid_client"
     "error_description":"assertion has expired"
    }

セキュリティに関する考慮事項 †

• RFC 7522, 7523などを使用すれば、大方問題ない。

• その他、
  • SSL/TLSを使用する。
  • Assertion IDを実装する。

仕様（7523） †

RFC 7521のアサーションにJWT(JWS)アサーションを使用したもの。

JWT(JWS)アサーション †

これを使ってアクセストークン・リクエストする。

ペイロード（クレームセット） †

• コチラを参考に、

• 必須（MUST）
  • "iss" (issuer) claim
  • "aud" (audience) claim
  • "sub" (subject) claim
  • "exp" (expiration time) claim
    

• してもよい（MAY）
  • "iat" (issued at) claim
  • "jti" (JWT ID) claim
    = Assertion ID
  • "nbf" (not before) claim
    トークンを受け入れてはならない前の時間を識別する。

JWT(JWS)の例 †

• 以下、RFCのJWT(JWS)
  よくよく確認すると、URLはなに？（Scheme？）

• ヘッダ

  {"alg"： "ES256"、 "kid"： "16"}

• ペイロード

  {
   "iss":"https://jwt-idp.example.com",
   "sub":"mailto:mike@example.com",
   "aud":"https://jwt-rp.example.net",
   "nbf":1300815780,
   "exp":1300819380,
   "http://claims.example.com/member":true
  }

• 以下、GoogleのJWT(JWS)
  よくよく確認すると、subが無かったりする。

• ヘッダ

  {
    "alg": "RS256",
    "typ": "JWT"
  }

• ペイロード

  {
   "iss":"サービスアカウントのメールアドレス",
   "scope":"利用するAPIのスコープ",
   "aud":"https://www.googleapis.com/oauth2/v3/token",
   "exp":"トークンの有効期限To",
   "iat":"トークンの有効期限From",
  }

パラメタ †

• 仕様（7521）のパラメタと同じ。
• client_assertionだけ、以下のような注釈有リ。
  • １つのJWT(JWS)、複数のJWT(JWS)を含んではならない。

リクエスト・レスポンス †

アクセストークン・リクエスト †

• （追加の）クライアント認証なし
  • ヘッダ

    POST /token.oauth2 HTTP/1.1
    Host: as.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&
    assertion=...JWS...

• （追加の）クライアント認証あり
  • ヘッダ

    POST /token.oauth2 HTTP/1.1
    Host: as.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=authorization_code&
    code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
    client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&
    client_assertion=...JWS...

アクセストークン・レスポンス †

仕様中に明記がないが、Googleでのレスポンスは以下の通り。

{
  "access_token":"XXXXXXXXXX",
  "token_type":"bearer",
  "expires_in":nnnnn
}

※ ポイント : refresh_tokenを返さない。

エラー・レスポンス †

仕様（7521）のエラー・レスポンスと同じ。

署名アルゴリズム †

本仕様中に記載はないが、コチラを参考にするとイイ。

参考 †

RFC 7521, 7522, 7523 †

• RFC 7521 - Assertion Framework for
  OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7521

• RFC7522（SAMLアサーション）
  • RFC 7522 - Security Assertion Markup Language (SAML) 2.0 Profile
    for OAuth 2.0 Client Authentication and Authorization Grants
    https://tools.ietf.org/html/rfc7522

• RFC7523（JWTアサーション）
  • RFC 7523 - JSON Web Token (JWT) Profile
    for OAuth 2.0 Client Authentication and Authorization Grants
    https://tools.ietf.org/html/rfc7523

用例 †

Googleの例 †

以下を見ると、

• C#とCoreTweet?を使って簡単にTwitterへツイートするbotを作る - 酢ろぐ！
  http://blog.ch3cooh.jp/entry/20140808/1407464147
  • Google Analytics API を使って前日の PV を取得するコードを C# で書いてみた - しばやん雑記
    http://blog.shibayan.jp/entry/20140803/1407059293

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

クライアント証明書（pfx形式の電子証明書）を使って、
サービスアカウントで認証する方法がある模様。

ちなみに、ここでは、Google.Apis.Analytics Client Libraryに
処理がラッピングされていたため。詳細が不明だったが、

以下を見ると、このClient Libraryの中では、JWTが使用されている模様。

• JWTを使ってGoogleAPIのアクセストークン取得する - Carpe Diem
  http://christina04.hatenablog.com/entry/2015/06/04/224159

• IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

これが、

「JWT bearer token authorizationグラント種別」

の用例である模様。

• GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
  http://d.hatena.ne.jp/ritou/20121104/1352036133

上記のサイトには、

Service Accounts = JWT Bearer Token Profile

であることが明記されている。

Microsoft (AzureAD) の例 †

Googleと同様に、以下を見ると、

• Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2015/04/09/azure-ad-backend-server-side-deamon-service/
• Azure ADに登録されているAPI用のアクセストークンをJWTで取得するには | hrendoh's memo
  http://blog.hrendoh.com/active-directory-dotnet-daemon-certificate-credential/
  • Authenticating to Azure AD in daemon apps with certificates | Microsoft Azure
    https://azure.microsoft.com/ja-jp/resources/samples/active-directory-dotnet-daemon-certificate-credential/

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

「JWT bearer token authorizationグラント種別」

をサポートしている模様。

ただし、処理は、ADAL(Active Directory Authentication Library)
にラップされているためJWT作成処理の詳細などを見ることは出来ない。

• active-directory-dotnet-daemon-certificate-credential/Program.cs
  at master · Azure-Samples/active-directory-dotnet-daemon-certificate-credential
  https://github.com/Azure-Samples/active-directory-dotnet-daemon-certificate-credential/blob/master/TodoListDaemonWithCert/Program.cs

Salesforceの例 †

以下のQiita記事を参照すると、Salesforceは、

• OAuth 2.0 JWT べアラートークンフロー
• OAuth 2.0 SAML ベアラーアサーションフロー

の2つのフローをサポートしている模様。

• OAuth2 JWT Bearer Token フローを使ってSalesforceへアクセスする - Qiita
  http://qiita.com/stomita/items/4542ce1b48e5fa849ef1

• help.salesforce.
  • OAuth 2.0 JWT べアラートークンフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_jwt_flow.htm&language=ja&type=0
  • OAuth 2.0 SAML ベアラーアサーションフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_SAML_bearer_flow.htm&language=ja&type=0

原理はほぼ同じで、SAMLよりJWTのほうが動作環境的な制約は少ないとのこと。

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.076 sec.