OpenID Connect - クライアント認証

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

Finalを参照して記述。

• OAuth 2.0では「クライアントは1回のリクエストにおいて二つ以上の認証方式を利用してはならない (MUST NOT).」と言われている。

• Registrationの際、Tokenエンドポイントにアクセスする際のクライアント認証方法を登録可能。

詳細 †

認証方法 †

以下の名称は、Discoveryで使用される値で、なにかのパラメタ値では無い。

none †

以下のケースでTokenエンドポイントでの認証を行わない場合。

• Implicit Flow
• Public クライアント
• およびその他の何らかの認証手段を用いる場合

client_secret_basic（既定値） †

• OAuth 2.0の慣例（ただし、仕様に明記はない）
• Client Credential（client_idとclient_secret）をHTTP Basic 認証スキーマで送信する。

client_secret_post †

• OAuth 2.0のオプション（OIDC Core, 9. Client Authentication）
• Client Credential（client_idとclient_secret）をリクエスト・ボディに含めて送信する。

client_secret_jwt †

• 後述に従い、HS256などの（メッセージ認証符号（MAC））アルゴリズムを使用する。
• HMAC は, client_secret の UTF-8 オクテットを共通鍵として利用

private_key_jwt †

• 後述に従い、RS256などの（デジタル署名）アルゴリズムを使用する。
• RSAおよびECDSAの、署名用の公開鍵を利用

JWTの共通項 †

JWT Bearer Token Flow的 †

JWT bearer token authorizationグラント種別の

• 「Self-Issued Assertion」の
• 「クライアント認証あり（サーバ信頼セキュリティ モデル）」

のユースケースに相当する。

クレーム †

こちらも、上記の「JWT Bearer Token Flow」のユースケース的。

送信方法 †

こちらも、上記の「JWT Bearer Token Flow」のユースケース的。

• client_assertion パラメタ
  前述の、署名暗号化されたJWT（JWS, JWE）を使用する。

• client_assertion_type パラメタ:
  "urn:ietf:params:oauth:client-assertion-type:jwt-bearer"

参考 †

• Final: OpenID Connect Core 1.0 incorporating errata set 1 > 9. Client Authentication
  https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html#ClientAuthentication

• OAuth 2.0 クライアント認証 - Qiita
  https://qiita.com/TakahikoKawasaki/items/63ed4a9d8d6e5109e401

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth