マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

※ ドラフト 4 を参考にして作成。その後、ドラフト 6 を再度完読して加筆・修正。

要約

フロー

このプロファイルを簡単に説明すると、以下のようになる。

response_type

request or request_uri

IDトークン

JWT形式

追加クレーム

切り離された署名

の値を検証する。

通信

SSL/TLS

redirect_uri

(完全一致)

認証

ユーザ

LoA 3

クライアント認証

トークン種類

記名式トークン(Proof-of-possession Token)

役割

Authorization Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

認証・認可

クライアント認証

redirect_uri

code, token

Client

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

Confidentialクライアント

Publicクライアント

Resource Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

記名式トークン

Requestオブジェクト

Publicクライアントの場合、必須。

Request

どうも、この(specの)コンテキストからすると、

POST https://as.example.com/ros/ HTTP/1.1
Host: as.example.com
Content-Type: application/jws
Content-Length: 1288

eyJhbGciOiJSUzI1NiIsImtpZCI6ImsyYmRjIn0.ew0KICJpc3MiOiA
(... abbreviated for brevity ...)
zCYIb_NMXvtTIVc1jpspnTSD7xMbpL-2QgwUsAlMGzw

なので、request_uriの形式は、URNになるのが既定と考える。

Response

正常

HTTP/1.1 201 Created
Date: Tue, 2 May 2017 15:22:31 GMT
Content-Type: application/json

{
    'iss':'https://as.example.com/', // AuthZのID
    'aud':'s6BhdRkqt3', // ClientID
    'request_uri':'urn:example:MTAyODAK', // urn(暗号ランダム値)
    'exp':1493738581 // 有効期限(存続期間は短く、好ましくは一回限
}

異常

セキュリティに関する考慮事項

より、強力なクライアント認証

記名式トークン

トークン・バインディング

Publicクライアント

Hybrid Flowの選択

SPAの場合、

を検証するHybrid Flowが安全。

Requestオブジェクト

※ expクレームを含める必要がある。

参考

関連仕様

ただしOAuth2 / OIDCを除く。

FAPI Part 1 (Read Only API Security Profile)

JWT bearer token authorizationグラント種別

OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens

OAuth 2.0 Token Binding

JWT Secured Authorization Request (JAR)

JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS