OpenID Connect のバックアップ(No.52)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OpenID Connect へ行く。
  • 1 (2016-01-14 (木) 13:18:28)
  • 2 (2016-01-14 (木) 13:25:53)
  • 3 (2016-01-22 (金) 14:52:48)
  • 4 (2016-01-22 (金) 19:04:09)
  • 5 (2016-01-26 (火) 13:36:02)
  • 6 (2016-01-27 (水) 16:42:02)
  • 7 (2016-02-18 (木) 16:58:43)
  • 8 (2016-02-25 (木) 07:54:46)
  • 9 (2016-03-09 (水) 12:47:56)
  • 10 (2016-03-10 (木) 12:01:12)
  • 11 (2016-04-09 (土) 20:56:02)
  • 12 (2016-12-12 (月) 11:52:17)
  • 13 (2017-01-04 (水) 15:46:11)
  • 14 (2017-01-06 (金) 23:32:03)
  • 15 (2017-01-07 (土) 16:20:43)
  • 16 (2017-01-07 (土) 23:26:07)
  • 17 (2017-01-07 (土) 23:39:36)
  • 18 (2017-01-13 (金) 20:08:46)
  • 19 (2017-01-15 (日) 13:54:11)
  • 20 (2017-03-03 (金) 21:41:57)
  • 21 (2017-05-08 (月) 12:01:35)
  • 22 (2017-05-26 (金) 10:23:18)
  • 23 (2017-05-26 (金) 16:20:42)
  • 24 (2017-05-26 (金) 18:04:13)
  • 25 (2017-05-29 (月) 10:53:51)
  • 26 (2017-07-14 (金) 21:28:20)
  • 27 (2017-07-16 (日) 13:33:23)
  • 28 (2017-10-20 (金) 14:53:23)
  • 29 (2017-10-23 (月) 09:34:08)
  • 30 (2017-11-14 (火) 11:11:51)
  • 31 (2017-12-12 (火) 10:34:56)
  • 32 (2017-12-12 (火) 19:48:29)
  • 33 (2017-12-13 (水) 11:43:46)
  • 34 (2017-12-18 (月) 21:49:37)
  • 35 (2017-12-19 (火) 10:51:17)
  • 36 (2017-12-20 (水) 14:54:45)
  • 37 (2018-01-24 (水) 16:46:00)
  • 38 (2018-01-24 (水) 18:09:32)
  • 39 (2018-01-26 (金) 11:05:36)
  • 40 (2018-02-04 (日) 14:18:07)
  • 41 (2018-03-05 (月) 10:57:20)
  • 42 (2018-03-16 (金) 20:37:10)
  • 43 (2018-03-16 (金) 21:42:48)
  • 44 (2018-03-17 (土) 16:59:43)
  • 45 (2018-03-22 (木) 10:09:48)
  • 46 (2018-07-31 (火) 14:08:53)
  • 47 (2018-08-20 (月) 13:38:12)
  • 48 (2018-08-21 (火) 20:16:27)
  • 49 (2018-08-27 (月) 14:32:52)
  • 50 (2018-10-09 (火) 14:50:43)
  • 51 (2018-10-09 (火) 17:53:43)
  • 52 (2018-10-09 (火) 20:36:14)
  • 53 (2018-10-09 (火) 22:16:24)
  • 54 (2018-10-10 (水) 12:00:43)
  • 55 (2018-10-10 (水) 16:29:58)
  • 56 (2018-10-10 (水) 18:16:26)
  • 57 (2018-10-11 (木) 12:34:54)
  • 58 (2018-10-11 (木) 21:28:26)
  • 59 (2018-10-12 (金) 10:53:46)
  • 60 (2018-10-12 (金) 16:55:11)
  • 61 (2018-10-12 (金) 17:19:33)
  • 62 (2018-10-16 (火) 19:20:27)
  • 63 (2018-10-16 (火) 20:35:52)
  • 64 (2018-12-18 (火) 11:22:01)
  • 65 (2019-02-05 (火) 21:08:52)
  • 66 (2019-03-25 (月) 10:31:21)
  • 67 (2019-07-04 (木) 11:53:54)
  • 68 (2019-08-26 (月) 09:25:05)
  • 69 (2019-08-28 (水) 19:38:32)
  • 70 (2020-01-08 (水) 10:13:34)
  • 71 (2020-02-23 (日) 15:50:54)
  • 72 (2020-07-02 (木) 18:27:14)
  • 73 (2021-02-08 (月) 19:55:04)
  • 74 (2021-07-14 (水) 03:02:33)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• OpenID Connectの用途としては、「認証の仕様である」と言ってイイ。
• しかし技術的には、「ID トークン発行のための仕様」と考えたほうがイイ。

• JWT
  • このID トークンと呼ばれるトークンはJWTアサーションを使用している。
    （JSON Serializationではなく、Compact Serializationを用いる。）
  • 従って、JWTの生成（署名）・検証の仕組みについては、JWTを参照のこと。
  • このページでは、OpenID Connectの認証用のJWTアサーションの
    トークン・プロファイル（オプション仕様）についてを説明する。

特徴 †

モジュラーデザイン †

ユースケースに対応するため、

• 複数の仕様から成り立っており、
• それらをモジュール的に組み合わせることで

多様な環境をサポートできる。

プロトコル概要 †

ざっくり、リクエスト→認証・認可→ユーザ情報を取得。

+--------+                                   +--------+
|        |                                   |        |
|        |---------(1) AuthN Request-------->|        |
|        |                                   |        |
|        |  +--------+                       |        |
|        |  |        |                       |        |
|        |  |  End-  |<--(2) AuthN & AuthZ-->|        |
|        |  |  User  |                       |        |
|   RP   |  |        |                       |   OP   |
|        |  +--------+                       |        |
|        |                                   |        |
|        |<--------(3) AuthN Response--------|        |
|        |                                   |        |
|        |---------(4) UserInfo Request----->|        |
|        |                                   |        |
|        |<--------(5) UserInfo Response-----|        |
|        |                                   |        |
+--------+                                   +--------+

OAuth 2.0への認証拡張 †

OAuth 2.0との違いは、認証拡張機能が追加実装された点にある。

• OAuth 2.0では
  • 認証機能（「認証Endpointからユーザー属性クレーム群を取得する」）の仕様が無かった。
  • このため、この部分の拡張仕様（認証Endpoint）に方言があり、実装上問題だった。

• これに対しOpenID Connectでは、
  • ユーザー属性クレーム群取得のEndpointがユーザー情報エンドポイントに標準化された。
  • これによって「認可」だけでなく「認証」の仕様も標準化された。

• 参考

• Idcon11 implicit demo
  http://www.slideshare.net/ritou/idcon11-implicit-demo

• matake
  • OpenID Connect 101 @ OpenID TechNight? vol.11
    http://www.slideshare.net/matake/technight11
  • OAuth認証再考からのOpenID Connect #devlove
    http://www.slideshare.net/matake/connect-intro-dev-love

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  
  • OAuth 2.0 Authorization Code Flow
    http://www.slideshare.net/kura_lab/openid-connect-id/21
  • OpenID Connect Authorization Code Flow
    http://www.slideshare.net/kura_lab/openid-connect-id/28

• OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ - Build Insider
  http://www.buildinsider.net/enterprise/openid/connect

仕様の柱 †

フロー †

OAuth 2.0に認証結果とプロフィールの受渡し機能を追加。

• Authorization Code Flow
• Implicit Flow
• Hybrid Flow

ID トークン †

• 基本構造
• 取得方法（認証のシーケンス）
• ユーザー属性クレーム群

追加のエンドポイント †

• ユーザー情報エンドポイント

フロー †

• Final: OpenID Connect Core 1.0 incorporating errata set 1 > 3. Authentication
  http://openid.net/specs/openid-connect-core-1_0.html#Authentication

概要 †

フロー選択の指針 †

特定のコンテキストにおいてどのフローを選択すればよいかの指針

response_type 値とフローの対応 †

どのフローを利用するかを決定する response_type 値とフローの対応

追加のリクエスト・パラメタ †

• OPTIONAL ---> REQUIRED
  • redirect_uri
  • scope

• scope
  scope="* openid *"は必須。
  • OpenID Connect リクエストは scope に openid を含まねばならない (MUST).
  • openid scope 値が存在しない場合の挙動は定義しない.
  • 他の scope 値が存在していても良い (MAY).

• nonce
  • Authorization Code FlowではOPTIONAL
  • Implicit FlowではREQUIRED
  • Hybrid FlowではREQUIRED

• Authorization Code Flow

• response_mode (OPTIONAL)

• max_age
  • [[Authentication Age>]]の最大値
  • ID トークンに、auth_timeクレームが必要になる。

• display (OPTIONAL)
  Authorization Server は認証/認可の同意 UI を、
  • page
    User Agent の全画面に表示すべき（既定値）
  • popup
    User Agent のポップアップウィンドウに表示すべき.
  • touch
    タッチ・インタフェースを持つデバイスに適した形で表示すべき.
  • wap
    "feature phone"に適した形で表示すべき.

• prompt (OPTIONAL)
  再認証/認可の同意を要求するかどうか指定するスペース区切りの ASCII 文字列のリスト

• none
  再認証/認可の同意を要求(表示)してはならない.
• login
  再認証の同意を要求(表示)すべき.
• consent
  再認証/認可の同意を要求(表示)すべき.
• select_account
  複数アカウント前提の際に、アカウント選択を促すべき.

• hint
  基本、(素?)無視。
  • id_token_hint (OPTIONAL)
    prompt=noneの時に使う
  • login_hint (OPTIONAL)
    複数アカウント前提の際に、識別子のヒントとして利用する。

• その他
  • ui_locales (OPTIONAL)
    UI の表示言語および文字種スペース区切りの言語タグ値のリスト
  • acr_values (OPTIONAL)
    Authentication Context Class Referenceリクエスト値

追加のレスポンス・パラメタ †

• Token Endpoint
  • id_token

TLS要件 †

以下との通信は、TLS を用いなければならない (MUST).

• Authorization Endpoint
• Token Endpoint

その他の追加要件 †

• Token Response に 以下の HTTP レスポンスヘッダーを指定(MUST).

  #	Header Name	Header Value
  1	Cache-Control	no-store
  21	Pragma	no-cache

Authorization Code Flow †

• scope="* openid *"
• response_type="code"

概要 †

OAuth 2.0 からのステップ上の拡張部分は無い。

ただし、

• クライアントはID トークンを使用して、ユーザー属性クレーム群を取得して検証でき、
• アクセス先がResources ServerのEndpointがユーザー情報エンドポイントに特定されており、
  ここから、認証されたユーザとしてユーザー属性クレーム群を取得できる。

ステップ †

朱書きは、OAuth 2.0 からのステップ上の変更・拡張部分。

The Authorization Code Flow goes through the following steps.

1. Client prepares an Authentication Request containing the desired request parameters.
2. Client sends the request to the Authorization Server.
3. Authorization Server Authenticates the End-User.
4. Authorization Server obtains End-User Consent/Authorization.
5. Authorization Server sends the End-User back to the Client with an Authorization Code.
6. Client requests a response using the Authorization Code at the Token Endpoint.
7. Client receives a response that contains an ID Token and Access Token in the response body.
8. Client validates the ID token and retrieves the End-User's Subject Identifier.

• 以下で説明しているシーケンス

Implicit Flow †

• scope="* openid *"

• response_type=
  • "id_token"
  • "id_token token"

概要 †

• クライアント（User-Agentやスマホネイティブ）は、
  ID トークンを使用して、ユーザー属性クレーム群を取得して検証でき、
• 標準化されたユーザー情報エンドポイントなどから、
  認証されたユーザとしてユーザー属性クレーム群を取得できる。

ステップ †

朱書きは、OAuth 2.0 からのステップ上の変更・拡張部分。

The Implicit Flow follows the following steps:

1. Client prepares an Authentication Request containing the desired request parameters.
2. Client sends the request to the Authorization Server.
3. Authorization Server Authenticates the End-User.
4. Authorization Server obtains End-User Consent/Authorization.
5. Authorization Server sends the End-User back to the Client with an ID Token and, if requested, an Access Token.
6. Client validates the ID token and retrieves the End-User's Subject Identifier.

• 以下で説明しているシーケンス

Hybrid Flow †

• scope="* openid *"
  "code token"の場合も必要！

• response_type=
  • "code token"
  • "code id_token"
  • "code id_token token"

概要 †

ID トークンと同時に、アクセストークンや認可コードが一緒に発行される。

• Hybrid な Flowであるため、
  • 前段が、Authorization Code Flow、
  • 中段が、Implicit Flowに近いフローになる。
    
  • 後段は、Hybrid Flowの独自のフローになる。

• 前段・中段・後段
  • 前段：Authorization Code Flow
    スターターから、認可エンドポイントへのリクエストまで。

• 中段：Implicit Flow
  認可エンドポイントからRedirectエンドポイントへ、
  Implicitなフラグメント部を使用したリダイレクトをするまで。

• 後段：Hybrid Flow
  UserAgent?側でフラグメント部のcode, id_token, tokenを取得、

• id_tokenはUserAgent?で利用する。
  ID トークンを使用して、ユーザー属性クレーム群を取得して検証できる。

• tokenはUserAgent?で利用する。
  ユーザー情報エンドポイントなどから、
  認証されたユーザとしてユーザー属性クレーム群などを取得できる。

• codeをClientで利用する。
  その後、UserAgent?がClientにcodeを送付し、
  Client側でcodeを使用してアクセストークン・リクエストを行う。

• 参考
  • OAuth 2.0 Multiple Response Type Encoding Practices
  • Yahoo! ID連携:Hybridフロー - Yahoo!デベロッパーネットワーク
    https://developer.yahoo.co.jp/yconnect/v2/hybrid/

ステップ †

朱書きは、Authorization Code Flowとの差異。

The Hybrid Flow follows the following steps:

1. Client prepares an Authentication Request containing the desired request parameters.
2. Client sends the request to the Authorization Server.
3. Authorization Server Authenticates the End-User.
4. Authorization Server obtains End-User Consent/Authorization.
5. Authorization Server sends the End-User back to the Client with an Authorization Code and,
   depending on the Response Type, one or more additional parameters.
6. Client requests a response using the Authorization Code at the Token Endpoint.
7. Client receives a response that contains an ID Token and Access Token in the response body.
8. Client validates the ID Token and retrieves the End-User's Subject Identifier.

ポイント †

• codeをUserAgent?からClientに渡す方法
  定義されていないが、クライアント側・サーバ側の違いはあるが、
  双方ともClientなので、恐らく、POSTなどでcodeをUserAgent?からClientに渡せば良さそう。

• codeとtokenのaccess_tokenの差異
  セキュリティ特性によって以下が異なって良いと定義されている。
  • scope
  • expires_in

• ID Token Claim の追加要件
  • Authorization Endpoint から返される ID Token に対して以下が必要になる。
    • nonce
    • at_hash
    • c_hash

• Authorization Endpoint と Token Endpoint から返されるID Token の Claim について以下が必要になる。

• iss Claim と sub Claim は同一でなければならない (MUST).

• 両方に同じ Authentication イベントに関する Claim を含めるべき(SHOULD).

• End-User に関する Claimは、
  Authorization Endpoint ≦ Token Endpointから返すClaimとしてよい (MAY).
  ただし、Claimが両方に存在する場合, その値は同値であるべき (SHOULD).

主要な仕様 †

IDトークン †

暗号関連 †

ユーザー属性 †

ユーザー属性クレーム群 †

ユーザー情報エンドポイント †

Discovery、Dynamic Client Registration †

Discovery †

http://openid.net/specs/openid-connect-discovery-1_0.html

メールアドレスやURLからユーザが利用しているIdp（OP）を特定する方法

Dynamic Client Registration †

http://openid.net/specs/openid-connect-registration-1_0.html

（Discoveryで発見したIdp（OP）に、）動的なRP登録を行う方法

追加の仕様 †

追加された仕様についてまとめる。

追加の応答タイプ (response_type) †

追加の応答モード (response_mode) †

追加のクライアント認証 †

Client Registrationの際、Tokenエンドポイントにアクセスする際に追加のクライアント認証を登録可能。
（パラメタ名は明記されていないが、ClientAuthentication?的な名称でconfigすると思われる。）

client_secret_XXXX †

• client_secret_basic
  • 既定値、OAuth 2.0と同じ方法。
  • client_idとclient_secretを
    HTTP Basic 認証スキーマで送信する。

• client_secret_post
  Client Credential をリクエストボディに含めて送信する。

jwt †

• client_secret_jwt
  前述に従い、HS256のアルゴリズムを使用する。

• private_key_jwt
  前述に従い、RS256のアルゴリズムを使用する。

• 共通項

• JWT bearer token authorizationグラント種別に準拠
  （リンク先の「クライアント認証あり」の場合に相当する）

• クレーム
  • iss（REQUIRED）
  • sub（REQUIRED）
  • aud（REQUIRED
  • jti（REQUIRED）
  • exp（REQUIRED
  • iat（OPTIONAL）

none †

以下のケースでTokenエンドポイントでの認証を行わない場合。

• Implicit Flow
• Public クライアント
• およびその他の何らかの認証手段を用いる場合

オプションの仕様 †

Session Management †

http://openid.net/specs/openid-connect-session-1_0.html

Idp（OP）上でユーザーがログアウトしたときにRP側から検知する方法など、セッション管理の方法

claimsリクエスト・パラメタ †

• 通常、scopeパラメタを使用して、claimを要求するが、
  http://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

• claimsパラメタを使用して、claimを要求することもできる。
  http://openid.net/specs/openid-connect-core-1_0.html#ClaimsParameter

• claimsリクエスト・パラメタでは、
  userinfoと、id_tokenに対するclaimを要求できる。

• 以下、claimsリクエスト・パラメタの値

   {
    "userinfo":
     {
      "given_name": {"essential": true},
      "nickname": null,
      "email": {"essential": true},
      "email_verified": {"essential": true},
      "picture": null,
      "http://example.info/claims/groups": null
     },
    "id_token":
     {
      "auth_time": {"essential": true},
      "acr": {"values": ["urn:mace:incommon:iap:silver"] }
     }
   }

認証コンテキストクラス †

クライアントアプリケーションは、認証コンテキストクラスを使用して、
ユーザー認証時に満たして欲しい認証コンテキストクラスを指定する。

識別子 †

Authentication Context Class Reference(ACR)識別子。

• パスワード
  urn:oasis:names:tc:SAML:2.0:ac:classes:Password
• X.509 証明書
  urn:oasis:names:tc:SAML:2.0:ac:classes:X509

要求方法 †

arcクレームを

• acr_values リクエスト・パラメタや
• claimsリクエスト・パラメタで

要求できる。

• 通常のリクエスト・パラメタ
  
  • client_id, redirect_uri, scopeなどと同じ、
    acr_values リクエスト・パラメタとしてACRを指定する。
  • http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest

• claimsリクエスト・パラメタ
  • claimsリクエスト・パラメタを使用して、ACRを指定する。
  • http://openid.net/specs/openid-connect-core-1_0.html#acrSemantics

参考 †

• OAuth & OpenID Connect 関連仕様まとめ - Qiita
  • 16. 認証コンテキストクラス
    https://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3#16-%E8%AA%8D%E8%A8%BC%E3%82%B3%E3%83%B3%E3%83%86%E3%82%AD%E3%82%B9%E3%83%88%E3%82%AF%E3%83%A9%E3%82%B9

リクエスト・オブジェクト †

JWT Secured Authorization Request (JAR) †

考慮点 †

実装 †

認可画面 †

• 以下のパラメタの考慮
  • display
  • prompt

• 管理機能を用いた事前の認可の同意

セキュリティ †

参考 †

• Final: OpenID Connect Core 1.0 incorporating errata set 1
  • http://openid.net/specs/openid-connect-core-1_0.html
  • https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html

• 第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場
  https://www.ogis-ri.co.jp/otc/hiroba/technical/openid-connect/chap1.html

• デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する - ＠IT
  • http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
  • http://www.atmarkit.co.jp/ait/articles/1209/27/news138_2.html

• OpenID Connectはそんなに大変かね？ - OAuth.jp
  http://oauth.jp/blog/2016/02/24/is-openid-connect-far-from-oauth2/

• エンタープライズITでのOpenID Connect利用ガイドライン
  http://www.slideshare.net/tkudo/openid-connect-for-enterprise

Qiita †

• 超速習 OpenID Connect
  http://qiita.com/sylph01/items/208ae313c03426feedc1

TakahikoKawasaki? †

• OAuth & OpenID Connect 関連仕様まとめ
  https://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3

• IDトークンが分かれば OpenID Connect が分かる - Qiita
  
  • [前編]
    http://qiita.com/TakahikoKawasaki/items/8f0e422c7edd2d220e06
  • [後編]
    ・・・

OpenID Foundation †

• OpenID Connect | OpenID
  http://openid.net/connect/
  • Final: OpenID Connect Core 1.0 incorporating errata set 1
    http://openid.net/specs/openid-connect-core-1_0.html
    • Final: OpenID Connect Discovery 1.0 incorporating errata set 1
      https://openid.net/specs/openid-connect-discovery-1_0.html
    • Final: OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1
      https://openid.net/specs/openid-connect-registration-1_0.html

OpenID ファウンデーション・ジャパン †

• 公開資料
  http://www.openid.or.jp/document/
  • OpenID Foundation Japan - 翻訳・教育 Working Group
    https://openid-foundation-japan.github.io/
    • Final: OpenID Connect Core 1.0 incorporating errata set 1
      https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html
    • Draft: OpenID Connect Basic Client Implementer's Guide 1.0 - draft 37
      https://openid-foundation-japan.github.io/openid-connect-basic-1_0.ja.html
    • Draft: OpenID Connect Implicit Client Implementer's Guide 1.0 - draft 20
      https://openid-foundation-japan.github.io/openid-connect-implicit-1_0.ja.html

Client Implementer's Guide †

WebアプリケーションのClientに当該フローを実装する場合の実装ガイド。

• OpenID Connect Client Implementer's Guide
  • Basic Client Profile
    http://openid.net/specs/openid-connect-basic-1_0.html

    OAuth 2.0 Authorization Code Grantを拡張

• Implicit Client Profile
  http://openid.net/specs/openid-connect-implicit-1_0.html

  OAuth 2.0 Implicit Grantを拡張

IdM実験室 †

WIF †

• IdM実験室 WIF Extension for OAuth を使って OpenID Connect を体験
  http://idmlab.eidentity.jp/2012/03/wif-extension-for-oauth-openid-connect.html

WIF Extension for OAuthは古い？

OWIN †

Microsoft.Owin.Security.OpenIdConnect?

• IdM実験室: [AAD/ASP.NET]

• OpenID Connectを使ってAADでログオンする
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaad.html
  • Ad（microsoftの方）のOpenId? Connect対応
    http://www.slideshare.net/naohiro.fujie/admicrosoftopen-id-connect

• （続）OpenID Connectを使ってAADでログオンする～response_mode=fragment編
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaadresponsemode.html

ADFS †

• IdM実験室: [AD FS]OpenID Connectに対応した次期AD FSを試す
  http://idmlab.eidentity.jp/2015/08/ad-fsopenid-connectad-fs.html

OpenID Connectのシーケンス †

STEP 0 は事前準備なので、STEP 1 からが実際の認証・認可のシーケンス。

Webアプリ（Basic Client Profile） †

• 概要
  Basic Client Profile：OAuth 2.0 Authorization Code Grantを拡張

• 参考
  • デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する (1/2) - ＠IT
    http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  OpenID Connect Authorization Code Flow
  http://www.slideshare.net/kura_lab/openid-connect-id/28

• OpenID Connect体験 - Qiita
  http://qiita.com/sonedazaurus/items/753a65186f1be7185b39

• STEP 0 : 事前準備（Idp（OP）にRPを登録）
  • Idp（OP）にRPを登録し、下記を入手する。
    • アプリケーションID(client_id)
    • シークレット(client_secret)

• 参考
  • Yahoo! JAPAN IDの登録ページ
    https://account.edit.yahoo.co.jp/registration
  • アプリケーションIDの登録ページ
    https://e.developer.yahoo.co.jp/register

• STEP 1 : Authorization codeの取得
  • RPがIdp（OP）からAuthorization codeを取得。
  • スターターのリクエストをIdp（OP）に送信する。
    • 電文

      https://・・・Idp（OP）のAuthorization code取得用のURL・・・?
          response_type=code+id_token
          &client_id={client_id}
          &redirect_uri=・・・RPのURL・・・
          &state=CSRF対策のランダム文字列
          &scope=openid+profile
          &nonce=リプレイアタック対策のランダム文字列

• 上記のパラメタの説明

  #	パラメタ	必須	説明
  1	response_type	○	「code」と「id_token」を指定
  2	client_id	○	事前に準備したclient_idの値を指定
  3	redirect_uri	○	アプリケーションID登録時のコールバックURLに入力したURLを指定
  4	state		CSRF対策のランダム文字列を指定
  5	scope	○	・openid：ユーザー識別子を取得（必須） ・profile：姓名・生年・性別が取得 ・email：メールアドレスと確認済みフラグを取得 ・address：ユーザー登録住所情報が取得
  6	nonce	id_tokenを取得する際は必須	リプレイアタック対策のランダム文字列を指定
  7	display		ユーザのUIを選択： ・page（PC用UI、デフォルト値） ・touch（スマートフォン用UI） ・wap（フィーチャーフォン用UI） ・inapp（ネイティブアプリ用UI）～
  8	その他、Idp（OP）独自パラメタ		－

• 成功すると認証/認可の同意画面が表示される。
  一度同意すると、次回以降、認証/認可の同意画面は省略される。

• 認証/認可の同意が完了する(もしくは事前に認証/認可の同意をしている)と、
  以下のようなURLで「・・・RPのURL・・・」にリダイレクトされる。
  • 電文

    http://・・・RPのURL・・・?code=xxxxxxxx&state=CSRF対策のランダム文字列

  • 上記のパラメタの説明

    #	パラメタ	説明
    1	code	”code=xxxxxxxx”を取得する。
    2	state	”state=CSRF対策のランダム文字列”が、一致していることを確認する。

• STEP 2 : Access Token、ID Tokenの取得
  • Tokenを取得する際は、POSTでリクエストを送信する
    （HTTPリクエストのヘッダーやデータにTokenリクエストに必要な値を指定する必要がある）
    ため、CUIのcURLコマンドを使用して、Access Token、ID Tokenを取得する。

• cURLコマンドなどでリクエストする。
  • 電文

    #	部分	説明
    1	Header	Authorization: Basic {basicAuth}
    2	URL	https://・・・Idp（OP）のAccess Token、ID Token取得用のURL・・・?grant_type=authorization_code&code=・・・&redirect_uri=・・・"

• 上記のパラメタの説明

  #	パラメタ	必須	説明
  1	{basicAuth}	○	基本認証を使用したクライアント認証のため、 アプリケーションID(client_id)、シークレット(client_secret)を":"区切りで結合しBase64文字列化
  2	grant_type	○	authorization_code という固定文字列を指定
  3	code	○	Authorization codeを指定、リクエスト送信後は使用できなくなる。
  4	redirect_uri	○	STEP 1 のredirect_uriで指定したURLを入力。

• 以下の様なレスポンスが返る。
  • 電文

    {
        "access_token":"{ヘッダー部}.{ペイロード部}.{シグネチャー部}",
        "token_type":"bearer",
        "expires_in":"3600",
        "refresh_token":"・・・",
        "id_token":"・・・"
    }

• STEP 3 : ID トークンの正当性の検証
  
  • "access_token"の{ヘッダー部}を取り出して、base64デコード。
    • {ヘッダー部}の電文

      {
          "typ":"JWT",
          "alg":"HS256"
      }

• {ヘッダー部}のパラメタの説明

  #	パラメタ	説明
  1	typ	typ:JWT（JSON Web Token）
  2	alg	alg:HMAC-SHA256（署名に使用したハッシュ）

• {ペイロード部}を取り出して、base64デコード。
  • {ペイロード部}の電文

    {
        "iss":"https:\/\/・・・Access Tokenの発行元URL・・・",
        "user_id":"ユーザー識別子",
        "aud":"アプリケーションID(client_id)と一致する値",
        "iat":IDトークンの発行時刻,
        "exp":IDトークンの有効期限,
        "nonce":"STEP 1 のnonceと一致する値"
    }

• 署名の検証
  • "{ヘッダー部}.{ペイロード部}"を使用して、
    {ヘッダー部}のalg:HMAC-SHA256でバイナリ形式でハッシュ化。
  • それをBase64文字列化した文字列が"{シグネチャー部}"と一致していることを確認する。

• STEP 4 : 属性情報の取得
  RPがIdP（OP）で認証したユーザ属性情報を取得する。

• ユーザー情報エンドポイントに、以下の形式でAccess Tokenを渡す。
  • 電文

    #	部分	説明
    1	Header	'Authorization: Bearer {access_token}'
    2	URL	URL:https://・・・ユーザ属性情報の発行元URL・・・?schema=openid

• 上記のパラメタの説明
  {access_token}に、準備、STEP 0-3 で取得したAccess Tokenを使う。

• 以下のユーザ属性情報を含んだクレームが取得できる。
  • 電文

    {
        "user_id":"・・・",
        "name":"・・・",
        "given_name":"・・・",
        "given_name#ja-Kana-JP":"・・・",
        "given_name#ja-Hani-JP":"・・・",
        "family_name":"・・・",
        "family_name#ja-Kana-JP":"・・・",
        "family_name#ja-Hani-JP":"・・・",
        "gender":"male or female",
        "birthday":"YYYY",
        "locale":"ja-JP,etc."
    }

モバイルアプリ（Implicit Client Profile） †

• 概要
  • Implicit Client Profile：OAuth 2.0 Implicit Grantを拡張
  • Webアプリ（Basic Client Profile）との違い
    • STEP 0は、前提の違いによる差異。
    • STEP 1以降は、Implicit Flowがベースとなっている。

• 参考
  • デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する (2/2) - ＠IT
    http://www.atmarkit.co.jp/ait/articles/1209/27/news138_2.html

• STEP 0 : Discovery & Dynamic Client Registration
  IdP（OP）探索と動的なRP登録

• IdP（OP）探索
  「○○のIDでログイン」というリンクを選択する替わりに、
  次の2種類の値をIdP（OP）特定（Discovery）のためのヒントとして利用できる。
  • メールアドレス
    例 : ritou@openidconnect.info
  • OP URL
    例 : https://openidconnect.info

• 動的なRP登録
  RP登録用エンドポイントにPOSTリクエストを送ることで、
  動的なRP登録（Dynamic Client Registration）もできる。

結果的に、OPからRP識別のための“cient_id”がレスポンスされる。

• STEP 1 : Authorization Request
  認可リクエスト

• STEP 2 : Authorization Response
  認可応答

• STEP 3 : ID Token Verification
  ID トークンの検証

• STEP 4 : Accessing to UserInfo? Endpoint
  ユーザー情報エンドポイントへのアクセス

OpenId? Connectのサンプル †

Microsoft.Owin.Security.OpenIdConnect? †

AzureADに対して、OpenId? Connectを使用して認証する。

https://github.com/OpenTouryoProject/SampleProgram/tree/master/ASPNET/AuthN_AuthZ/OpenID_Connect/

• サンプル・アプリケーションをAzure Active Directoryに登録

  1. Azureの管理ポータルにサインイン。
  2. Azure Active Directoryのタブを開く。
  3. サンプル・アプリケーションを登録するテナント（ドメイン）を開く。
  4. [Applications]タブに移動し、ページの下部の[Add]アイコンををクリック。
  5. [What do you want to do?]画面で[Add an application my organization is developing]を選択。
  6. [Tell us about your application]画面が表示される。
     1. アプリケーションの名前を入力（例：OpenIDConnect_sample）。
     2. [Web Application and / or Web API]を選択する。
     3. [Next]をクリックする。
  7. [App properties]画面が表示される。
     1. サンプルのサインオンURLを入力（例：https://localhost:xxxxxx/）
        サンプル・プロジェクトのプロパティにある開発サーバのSSL URLプロパティを指定
        http://www.codeproject.com/Tips/766918/Visual-Studio-Use-HTTPS-SSL-On-Web-Application-Pro
     2. アプリのID URIを入力（例：https://<your_tenant_name>/OpenIDConnect_sample）
        '<your_tenant_name>はAzure ADのテナント（ドメイン）名。
     3. [Complete]をクリック。

• サンプル・アプリケーションの構成

  1. web.configファイルを開く。
  2. FxTenant?にAzure ADのテナント（ドメイン）名を指定（例：xxxxx.onmicrosoft.com）
  3. FxClientId? にAzureのポータルから入手することができるClient IDを指定
     1. クライアントIDを取得するには、
     2. Azureの管理ポータルにサインイン。
     3. Azure Active Directoryのタブを開く。
     4. サンプル・アプリケーションを登録したテナント（ドメイン）を開く。
     5. [Applications]タブに移動しサンプル・アプリケーションを選択。
     6. アプリケーション画面で[ACCESS WEB APIS IN OTHER APPLICATIONS]を選択。
     7. Client IDをコピー。
  4. FxPostLogoutRedirectUri?にサンプルのサインオンURLを入力（例：https://localhost:xxxxxx/）

• サンプル・アプリケーションの実行

  F5実行でリダイレクトされた先のAzure AD（STS）で認証できることを確認する。

Microsoft Azure Active Directory †

Azure Active Directory B2C †

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.184 sec.