OAuth / OpenID Connectによる課題解決

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• OAuth / OpenID Connectの課題解決ノウハウをまとめています。

• 説明を始めると、

  「単に「ユーザストアを使ってアプリを認証する。」ということではない。」

というトコロからの説明が必要になります。

導入 †

要件の確認 †

SSO（Single Sign-On）をサポートする。 †

• 基本的に、

• OpenID Connect
• OAuth 2.0のBearer TokenのJWT化

が必要。

• スマホ認証の場合は、OAuth PKCEが必要。

認証 / 認可フレームワークをサポートする。 †

• 認証 / 認可フレームワークとはなにか？
• このフレームワーク中で各登場人物はどのようなロールを担うか？

（Web）APIエコノミーをサポートする。 †

システム間を連携させるAPI(Application Programing Interface)を通じて、
既存のサービスやデータをつなぎ、新たなビジネスや価値を生み出す仕組み。

• 認証連携とシステム間連系
• SPA、スマホへの露出
• 管理の一元化（API Gatewayの導入）

ID連携、IDフェデレーション、Federated identityをサポートする。 †

• 認証用のユーザストアと属性格納用のユーザストアを分離できる。

• これにより、認証基盤の、

• セキュリティ・レベル
• ITガバナンス

を維持しつつ、アプリケーション、サービス側で、柔軟な対応をとることができる。

4つの登場人物 †

「OAuth2の4つの登場人物」についての説明が必要。

Resource Owner †

認証 / 認可を行うユーザー

• Authorization Serverにサインインすることで認証される。
• Clientが要求する認可をAuthorization Server上で許可することでtokenが発行される。

Authorization Server †

認証 / 認可の根幹となる機能を提供するプログラム。

• IdPとSTSから構成される。
  • IdP
    • Identity Provider
    • サインアップ、サインイン・サインアウトの機能を提供。

• STS
  • Security Token Service
  • サインイン（認証）したユーザ（Resource Owner）と認可された範囲を示すtokenを発行する。

Resource Server †

Authorization Serverに対応したWebAPIを提供するプログラム。

• 認証されたユーザ（Resource Owner）に、認可された範囲の処理・データを提供する。

Client †

Authorization Serverを使用してResource ServerのWebAPIにアクセスするプログラム。

• Clientが、Authorization Serverにtokenを要求すると、
  ユーザ（Resource Owner）がサインイン（認証）・認可したtokenを受け取る。

• Clientは、このtokenを使用して、Resource ServerのWebAPIにアクセスする。

適切なフローの選択 †

ベース クライアント セキュリティ モデル（基本） †

• 参考
  • 第4回（2018/06/11予定）
    https://www.osscons.jp/jozpnvi15-537/

    以前の投稿（第2回）で認証対象がユーザだった場合。

サーバ信頼セキュリティ モデル（例外） †

• 参考
  • 第2回（2018/05/21予定）
    https://www.osscons.jp/joyyxnads-537/

    何故かエンプラで採用の多い、Client Credentialsグラント種別

スマホの場合 †

• 参考
  • 第3回（2018/05/28予定）
    https://www.osscons.jp/jouqhleqc-537/

    PKCEをサポートしない場合Client側で疑似PKCEする。

よくある誤解 †

Cookie認証チケットとAccessToken?の違い †

• Cookie認証チケット
  • ログインは通常、Cookie認証チケットによって形成される「ログイン・セッション」に依存する。
  • 以下の2つの「ログイン・セッション」を別々に認識する必要がある。
    • Authorization Server側のCookie認証チケットによるログイン・セッション
    • Client側のCookie認証チケットによるログイン・セッション

• AccessToken?
  AccessToken?はあくまで、
  • IdPで認証できたという結果をうけて
  • STSが生成・通知するtokenなので、

上記の２つのCookie認証チケットとは別物になる。

パッケージに、IdP/STSを組み込んだら上手くいく。 †

• OSSコンソーシアム
  • OAuth2 / OpenID Connect課題解決 備忘録 5（2018/06/18予定）~
    https://www.osscons.jp/joq7suwpb-537/

    パッケージにIdP/STSを組み込もうとしてしまう現象について。

詳細 †

そもそも認証から（IdP単品） †

IdPの機能をフルサポートするのは大変 †

コチラが参考になる。

STSにより、独自ユーザストアから全社認証基盤へ。 †

• システムやパッケージに独自ユーザストアを持つのは、
  非効率、且つ、セキュリティ的にも脆弱になり易いという問題を持つ。

• IdPに、OAuth / OpenID ConnectなどのSTS機能を搭載すれば、
  SSO（Single Sign-On）によって、この問題を解決できる。

クロスプラットフォーム & コンパチブル †

• オープンなプロトコルを使用しているため、
  クロスプラットフォーム対応可能であること。

• 故に、4つの登場人物がプラットフォームや言語に依存せず、
  クロスプラットフォーム & コンパチブルであることが求められる。

Authorization Serverからの視点 †

Authorization Server提供者は、

• 様々なユーザストアに対応する必要がある。
• OAuth 2.0のBearer TokenのJWT化が必要。
• OAuth 2.0拡張 / OpenID Connectのサポートについて検討が必要。

Resource Serverからの視点 †

Resource Server提供者は、

• 様々なAuthorization Serverと連携可能な提案を行う必要がある。

• 従って、Tokenの検証方法を検討する必要がある
  • JWT -> JWSの署名検証
  • OAuth 2.0 Token Introspection

• 上記２つをまとめて解決する、API Gatewayの導入を検討しても良い。

Clientからの視点 †

Client提供者は、

• 使用するAuthorization Server、Resource Serverを選択する。
• この場合、サポートされるFlowやTokenのフォーマットを理解する必要がある。

IDフェデレーションの段階 †

以下の、3つの段階がある。

Single †

Client *--- IdP (Authorization Server)

• IdPのみユーザストアを持つ。
  Clientは、
  • 認証結果のClaimをAuthorization Serverから受け取り、
  • 認証済みの処理を行う。

• IdPとClientがユーザストアを持つ。
  Clientは、
  • 認証結果のClaimをAuthorization Serverから受け取り、
  • Claimをユーザストアに格納し、
  • そこに補足的ユーザ属性を加え、
  • 認証済みの処理を行う。

Hybrid †

Hybrid-IdP (Client *--- IdP2 *--- IdP1)

• IdP1とIdP2がユーザストアを持つ。
  Clientから要求を受けた、Authorization Server1は、
  • 認証結果のClaimをAuthorization Server2から受け取り、
  • ClaimをAuthorization Server1のユーザストアに格納し、
  • そこに補足的ユーザ属性を加え、
  • 次いで、要求元のClientに、認証結果のClaimを返す。
  • 最後に、Clientは、認証済みの処理を行う。

• ClientとIdP1とIdP2がユーザストアを持つ。
  Clientから要求を受けた、Authorization Server1は、
  • 認証結果のClaimをAuthorization Server2から受け取り、
  • ClaimをAuthorization Server1のユーザストアに格納し、
  • そこに補足的ユーザ属性を加え、
  • 次いで、要求元のClientに、認証結果のClaimを返す。
  • Clientは
    • Claimをユーザストアに格納し、
    • そこに補足的ユーザ属性を加え、
    • 認証済みの処理を行う。

※ 認証はAuthorization Server2で、属性編集はAuthorization Server1で可能。

@.net †

ASP.NET Identity（2系）の生の実装ダケではダメ †

ASP.NET Identity（2系）を使うダケで頑張れるか？と言えばそんなこともありません。

カスタマイズ †

ASP.NET Identity（2系）を覚えるダケでも、ある程度、大変ですが、
更に、IdP & STSは、カスタマイズが必要となるケースが多い。

Bearer Token †

• また、ASP.NET Identity（2系）のBearer Tokenは、ASP.NET Identityしか理解しないので、
• 他のプラットフォームや言語で処理可能なようにJWT化が必要になってくる。

プロトコル †

• 生のASP.NET Identity（2系）は、OAuth 2.0拡張 / OpenID Connectをサポートしない。
• このため、既定の実装では、より安全な認証 / 認可や、スマホ・ネイティブへの露出ができない。

ASP.NET Core Identity（3系）版では、脱Community STSした。 †

概要 †

ASP.NET Core Identity（3系）版の汎用認証サイトでは、諸事情により、 脱Community STSした。

参考 †

• OSSコンソーシアム
  • 汎用認証サイトのASP.NET Core化について
    https://www.osscons.jp/jorgwf57r-537
  • 汎用認証サイト ASP.NET Core版の実装が完了しました。
    https://www.osscons.jp/jo4cm3lif-537

参考 †

説明に使用した図 †

説明しながら伝導活動の重要性を感じた次第です。

OSSC > 開発基盤部会 Blog †

課題解決 †

• OAuth / OpenID Connectによる課題解決
  https://www.osscons.jp/jo879cthe-537/

備忘録 †

• OAuth2 / OpenID Connect課題解決 備忘録

• 第1回
  https://www.osscons.jp/joab17h5n-537/
  　独自認証と、OAuth2 / OpenID Connectのプロトコル群
• 第2回
  https://www.osscons.jp/joyyxnads-537/
  　何故かエンプラで採用の多い、Client Credentialsグラント種別
• 第3回
  https://www.osscons.jp/jouqhleqc-537/
  　PKCEをサポートしない場合Client側で疑似PKCEする。
• 第4回
  https://www.osscons.jp/jozpnvi15-537/
  　以前の投稿（第2回）で認証対象がユーザだった場合。
• 第5回
  https://www.osscons.jp/joq7suwpb-537/
  　パッケージにIdP/STSを組み込もうとしてしまう現象について。
• 第6回
  https://www.osscons.jp/jovzty1xk-537/
  　SMSからのアクセス時の簡易的な認証方法について。

PKCE 4 SPA †

PPID †

Financial API †

CIBA †

IdP/STS 自作 †

SAML2, FIDO等を含む。

その他 †

• オレオレPKCE実装とマイクロサービスやクラウドネイティブ開発の浸透
  https://www.osscons.jp/jom4szpyu-537/

• 話題になったIdP/Stsの実装パターン、
  ASP.NET Identityが結構、参考になる。
  https://www.osscons.jp/jos8ktrsk-537/

• PKCEのトークンリクエストはフロントエンドから？バックエンドから？
  • ①
    https://www.osscons.jp/jorfs4g6d-537/
  • ②
    https://www.osscons.jp/joxql6yjz-537/

• クラウドネイティブ開発の浸透と、トークン・チェックのカスタマイズ
  https://www.osscons.jp/jospv68kt-537/

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth