OAuth / OpenID Connectによる課題解決のバックアップ(No.1) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
- 要件の確認
  - SSO（Single Sign-On）のサポート
  - （Web）APIエコノミーのサポート
- 4つの登場人物
詳細
- クロスプラットフォーム & コンパチブル
- ASP.NET Identityの生の実装ではダメ

概要 †

OAuth / OpenID Connectのコンサルティング・ノウハウ

「単に「ユーザストアでアプリが認証する。」ということではない。」

というトコロから説明が必要。

要件の確認 †

SSO（Single Sign-On）のサポート †

基本的に、

OpenID Connect
OAuth 2.0のBearer TokenのJWT化

が必要。

スマホ認証の場合は、OAuth PKCEが必要。

（Web）APIエコノミーのサポート †

認証 / 認可フレームワーク
認証連携とシステム間連系
SPA、モバイルなどのUserAgent?対応
管理の一元化（API Gatewayの導入）

4つの登場人物 †

「OAuth2の4つの登場人物」についての説明が必要。
コレらの登場人物が、プラットフォームや言語に依存せずプロトコル・レベルで連携する。

詳細 †

クロスプラットフォーム & コンパチブル †

オープンなプロトコルを使用しているため、クロスプラットフォーム。
また、4つの登場人物がクロスプラットフォーム & コンパチブルであることが求められる。

Authorization Serverからの視点 †

Authorization Server提供者は、

様々なユーザストアに対応する必要がある。
OAuth 2.0のBearer TokenのJWT化が必要。
OAuth 2.0拡張 / OpenID Connectのサポートについて検討が必要。

Resource Serverからの視点 †

Resource Server提供者は、

様々なAuthorization Serverと連携可能な提案を行う必要がある。

従って、Tokenの検証方法を検討する必要がある
- JWT -> JWSの署名検証
- OAuth 2.0 Token Introspection

上記２つをまとめて解決する、API Gatewayの導入を検討しても良い。

Clientからの視点 †

Client提供者は、

使用するAuthorization Server、Resource Serverを選択する。
この場合、サポートされるFlowやTokenのフォーマットを理解する必要がある。

ASP.NET Identityの生の実装ではダメ †

OAuth 2.0拡張 / OpenID Connectをサポートしない。

また、ASP.NET IdentityのBearer Tokenは、
- ASP.NET Identityしか理解しない。
- 他のプラットフォームや言語で処理可能なようにJWT化が必要。

Tags: :認証基盤, :クレームベース認証, :OAuth