OAuth / OpenID Connectによる課題解決 のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth / OpenID Connectによる課題解決 へ行く。
  • 1 (2018-03-05 (月) 12:43:45)
  • 2 (2018-03-05 (月) 15:32:54)
  • 3 (2018-03-05 (月) 16:14:49)
  • 4 (2018-03-06 (火) 00:08:19)
  • 5 (2018-03-06 (火) 11:17:30)
  • 6 (2018-03-08 (木) 16:32:20)
  • 7 (2018-05-11 (金) 21:38:15)
  • 8 (2018-05-12 (土) 13:29:01)
  • 9 (2018-05-14 (月) 09:40:24)
  • 10 (2018-05-21 (月) 12:09:42)
  • 11 (2018-05-28 (月) 11:16:25)
  • 12 (2018-06-07 (木) 09:39:48)
  • 13 (2018-07-24 (火) 12:01:56)
  • 14 (2018-09-04 (火) 12:13:10)
  • 15 (2018-10-09 (火) 22:13:59)
  • 16 (2019-08-26 (月) 11:51:16)
  • 17 (2019-08-26 (月) 14:09:23)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• OAuth / OpenID Connectの課題解決ノウハウをまとめています。

• 説明を始めると、

  「単に「ユーザストアを使ってアプリを認証する。」ということではない。」

というトコロからの説明が必要になります。

導入 †

要件の確認 †

SSO（Single Sign-On）をサポートする。 †

• 基本的に、

• OpenID Connect
• OAuth 2.0のBearer TokenのJWT化

が必要。

• スマホ認証の場合は、OAuth PKCEが必要。

ID連携、IDフェデレーション、Federated identity †

3つの段階がある。

• Client *--- IdP
  • Clientは、
    • 認証結果のClaimをAuthorization Serverから受け取り、
    • 認証済みの処理を行う。

• Clientは、
  • 認証結果のClaimをAuthorization Serverから受け取り、
  • Clientのユーザストアに格納し、そこに補足的ユーザ属性を加え、
  • 認証済みの処理を行う。

• Hybrid-IdP
  • Clientから要求を受けた、Authorization Server1は、
    • 認証結果のClaimをAuthorization Server2から受け取り、
    • Authorization Server1のユーザストアに格納し、そこに補足的ユーザ属性を加え、
    • 次いで、要求元のClientに、認証結果のClaimを返す。

※ 認証はAuthorization Server2で、属性編集はAuthorization Server1で可能。

認証 / 認可フレームワークの機能を利用する。 †

• 認証 / 認可フレームワークとはなにか？
• このフレームワーク中で各登場人物はどのようなロールを担うか？

（Web）APIエコノミーをサポートする。 †

システム間を連携させるAPI(Application Programing Interface)を通じて、
既存のサービスやデータをつなぎ、新たなビジネスや価値を生み出す仕組み。

• 認証連携とシステム間連系
• SPA、スマホへの露出
• 管理の一元化（API Gatewayの導入）

4つの登場人物 †

「OAuth2の4つの登場人物」についての説明が必要。

Resource Owner †

認証 / 認可を行うユーザー

• Authorization Serverにサインインすることで認証される。
• Clientが要求する認可をAuthorization Server上で許可することでtokenが発行される。

Authorization Server †

認証 / 認可の根幹となる機能を提供するプログラム。

• IdPとSTSから構成される。
  • IdP
    • Identity Provider
    • サインアップ、サインイン・サインアウトの機能を提供。

• STS
  • Security Token Service
  • サインイン（認証）したユーザ（Resource Owner）と認可された範囲を示すtokenを発行する。

Resource Server †

Authorization Serverに対応したWebAPIを提供するプログラム。

• 認証されたユーザ（Resource Owner）に、認可された範囲の処理・データを提供する。

Client †

Authorization Serverを使用してResource ServerのWebAPIにアクセスするプログラム。

• Clientが、Authorization Serverにtokenを要求すると、
  ユーザ（Resource Owner）がサインイン（認証）・認可したtokenを受け取る。

• Clientは、このtokenを使用して、Resource ServerのWebAPIにアクセスする。

詳細 †

クロスプラットフォーム & コンパチブル †

• オープンなプロトコルを使用しているため、
  クロスプラットフォーム対応可能であること。

• 故に、4つの登場人物がプラットフォームや言語に依存せず、
  クロスプラットフォーム & コンパチブルであることが求められる。

Authorization Serverからの視点 †

Authorization Server提供者は、

• 様々なユーザストアに対応する必要がある。
• OAuth 2.0のBearer TokenのJWT化が必要。
• OAuth 2.0拡張 / OpenID Connectのサポートについて検討が必要。

Resource Serverからの視点 †

Resource Server提供者は、

• 様々なAuthorization Serverと連携可能な提案を行う必要がある。

• 従って、Tokenの検証方法を検討する必要がある
  • JWT -> JWSの署名検証
  • OAuth 2.0 Token Introspection

• 上記２つをまとめて解決する、API Gatewayの導入を検討しても良い。

Clientからの視点 †

Client提供者は、

• 使用するAuthorization Server、Resource Serverを選択する。
• この場合、サポートされるFlowやTokenのフォーマットを理解する必要がある。

ASP.NET Identity（2系）の生の実装ダケではダメ †

ASP.NET Identity（2系）を使うダケで頑張れるか？と言えばそんなこともありません。

カスタマイズ †

ASP.NET Identity（2系）を覚えるダケでも、ある程度、大変ですが、
更に、IdP & STSは、カスタマイズが必要となるケースが多い。

Bearer Token †

• また、ASP.NET Identity（2系）のBearer Tokenは、ASP.NET Identityしか理解しないので、
• 他のプラットフォームや言語で処理可能なようにJWT化が必要になってくる。

プロトコル †

• 生のASP.NET Identity（2系）は、OAuth 2.0拡張 / OpenID Connectをサポートしない。
• このため、既定の実装では、安全な認証や、SPA、スマホへの露出ができない。

参考 †

説明に使用した図 †

説明しながら伝導活動の重要性を感じた次第です。

OSSコンソーシアム †

• OAuth / OpenID Connectによる課題解決
  https://www.osscons.jp/jo879cthe-537/#_537

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.034 sec.