マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

※ ドラフト 4 を参考にして作成。その後、ドラフト 6 を再度完読して加筆・修正。

要約

フロー

このプロファイルを簡単に説明すると、以下のようになる。

response_type

response_mode

request or request_uri

IDトークン

JWT形式

追加クレーム

切り離された署名

の値を検証する。

通信

SSL/TLS

redirect_uri

(完全一致)

認証

ユーザ

LoA 3

クライアント認証

トークン種類

記名式トークン(Proof-of-possession Token)

対象

紐付け(トークン・バインディング)

紐付け(トークン・バインディング)のために以下の何れかをサポートする必要がある。
(記名は、Resource Owner単位ではなくてClient単位)

役割

Authorization Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

認証・認可

クライアント認証

redirect_uri

code, token

Client

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

共通

Confidentialクライアント

Publicクライアント

Resource Server

先ずは、「FAPI Part 1 (Read Only API Security Profile)」に準拠。

記名式トークン

Requestオブジェクト

Publicクライアントダケと思っていたが、Confidentialクライアントでも必要である模様。

Request

どうも、この(specの)コンテキストからすると、

POST https://as.example.com/ros/ HTTP/1.1
Host: as.example.com
Content-Type: application/jws
Content-Length: 1288

eyJhbGciOiJSUzI1NiIsImtpZCI6ImsyYmRjIn0.ew0KICJpc3MiOiA
(... abbreviated for brevity ...)
zCYIb_NMXvtTIVc1jpspnTSD7xMbpL-2QgwUsAlMGzw

なので、request_uriの形式は、URNになるのが既定と考える。

Response

正常

HTTP/1.1 201 Created
Date: Tue, 2 May 2017 15:22:31 GMT
Content-Type: application/json

{
    'iss':'https://as.example.com/', // AuthZのID
    'aud':'s6BhdRkqt3', // ClientID
    'request_uri':'urn:example:MTAyODAK', // urn(暗号ランダム値)
    'exp':1493738581 // 有効期限(存続期間は短く、好ましくは一回限
}

異常

考察

プロファイル

プロファイルの識別

他のプロファイルの抑止

PublicクライアントのClient側実装

関連仕様

ただしOAuth2 / OIDCを除く。

FAPI Part 1 (Read Only API Security Profile)

JWT Secured Authorization Request (JAR)

JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)

OAuth 2.0 Token Binding

参考


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS