「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OpenID Connect]]

* 目次 [#q871724d]
#contents

*概要 [#ndfa9395]
ACR: Authentication Context Class (認証コンテキストクラス) Reference 
Finalを参照して記述。

-クライアントアプリケーションは、Authentication Context Classを使用して、~
認証時に満たして欲しいAuthentication Context Classを指定する。
-ACR: Authentication Context Class Reference~
(「認証コンテキスト クラスの参照」的な意味)

--Authentication Context~
Clientが認証に対して要求できる情報。

--Authentication Context Class~
上記情報(Authentication Context)の集合.

--Authentication Context Class Reference~
上記(Authentication Context Class)の識別子.

-クライアントアプリケーションは、ACRを使用して、認証時に~
満たして欲しい(若しくは、満たすべき)認証方法を指定する。

-[[FAPI Part 2 (Read and Write API Security Profile)]]で使用されている。

*詳細 [#r4be5ec7]

**識別子 [#za241ab5]

***[[LoA(Level of Assurance)]] [#d114dbcb]

***パスワード [#we7992b6]
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
***認証方法 [#o4f45aed]
-パスワードで認証される(た)ことを示す。~
 urn:oasis:names:tc:SAML:2.0:ac:classes:Password

***X.509 証明書 [#o6f354f1]
urn:oasis:names:tc:SAML:2.0:ac:classes:X509
-X.509 証明書で認証される(た)ことを示す。~
 urn:oasis:names:tc:SAML:2.0:ac:classes:X509

***要求方法 [#na5ae06f]
acrクレームを
-acr_values リクエスト・パラメタや
-[[claimsリクエスト・パラメタ>OpenID Connect - ユーザー属性クレーム関連#lfaacf35]]で
※ [[Authentication Context]]を参照。

要求できる。
**要求方法 [#na5ae06f]

***概要 [#f1e308f5]
以下、ACRを使用して認証方法を要求し、

-通常のリクエスト・パラメタ~
--client_id, redirect_uri, scopeなどと同じ、~
acr_values リクエスト・パラメタとしてACRを指定する。
--http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest

-[[claimsリクエスト・パラメタ>OpenID Connect - ユーザー属性クレーム関連#lfaacf35]]
--[[claimsリクエスト・パラメタ>OpenID Connect - ユーザー属性クレーム関連#lfaacf35]]を使用して、ACRを指定する。
--http://openid.net/specs/openid-connect-core-1_0.html#acrSemantics

結果は、[[acrクレーム>#ub30c99b]]で確認できる。

***[[acrクレーム>OpenID Connect - IDトークン#l52144f8]] [#ub30c99b]

-Essential(必須)の場合、指定のACRを
--満たせる場合、acrクレームを返す。
--満たせない場合は、エラーを返す。

-Voluntary(任意)の場合、指定のACRを
--満たせる場合、acrクレームを返さなくていい。
--満たせない場合は、acrクレームに現在の認証コンテキストを設定し返すべき。

***例 [#g1dc0b1d]
-acr_valuesリクエスト・パラメタ
--Voluntaryクレームとしてリクエスト
--配列の場合、scopeと同じスペース区切り。

-[[claimsリクエスト・パラメタ>OpenID Connect - ユーザー属性クレーム関連#lfaacf35]]
--Essential(必須) or Voluntary(任意)を選択してリクエスト
--JSONをbase64url?

*参考 [#v871b342]

-Final: OpenID Connect Core 1.0 incorporating errata set 1 > 5.5.1.1.  Requesting the "acr" Claim~
https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html#acrSemantics

-OAuth & OpenID Connect 関連仕様まとめ - Qiita
--16. 認証コンテキストクラス~
https://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3#16-%E8%AA%8D%E8%A8%BC%E3%82%B3%E3%83%B3%E3%83%86%E3%82%AD%E3%82%B9%E3%83%88%E3%82%AF%E3%83%A9%E3%82%B9

**[[Authentication Context]] [#i2bdf999]

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS