マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

※ ドラフト 4 を参考にして作成。その後、ドラフト 6 を再度完読して加筆・修正。

要約

フロー

このプロファイルを簡単に説明すると、以下のようになる。

response_type

response_mode

request or request_uri

IDトークン

JWT形式

追加クレーム

切り離された署名

の値を検証する。

通信

SSL/TLS

redirect_uri

(完全一致)

認証

ユーザ

LoA 3

クライアント認証

トークン種類

記名式トークン(Proof-of-possession Token)

対象

紐付け(トークン・バインディング)

紐付け(トークン・バインディング)のために以下の何れかをサポートする必要がある。
(記名は、Resource Owner単位ではなくてClient単位)

役割

Authorization Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

認証・認可

クライアント認証

redirect_uri

code, token

Client

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

共通

Confidentialクライアント

Publicクライアント

Resource Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

記名式トークン

Requestオブジェクト

Publicクライアントダケと思っていたが、Confidentialクライアントでも必要である模様。

登録リクエスト

Request

どうも、この(specの)コンテキストからすると、

POST https://as.example.com/ros/ HTTP/1.1
Host: as.example.com
Content-Type: application/jws
Content-Length: 1288

eyJhbGciOiJSUzI1NiIsImtpZCI6ImsyYmRjIn0.ew0KICJpc3MiOiA
(... abbreviated for brevity ...)
zCYIb_NMXvtTIVc1jpspnTSD7xMbpL-2QgwUsAlMGzw

※ クライアント認証は、JWT中のissに対応した署名検証で行う。

Response

認可リクエスト

request_uriをパラメタに指定して認可リクエストをおこなうダケ。

仕様(JAR → PAR

OAuth 2.0 Pushed Authorization Requestsが標準化されている。

考察

プロファイル

プロファイルの識別

他のプロファイルの抑止

PublicクライアントのClient側実装

関連仕様

ただしOAuth2 / OIDCを除く。

FAPI Part 1 (Read Only API Security Profile)

JWT Secured Authorization Request (JAR)

JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)

OAuth 2.0 Token Binding

参考


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS