OpenID Connect - Discovery のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OpenID Connect - Discovery へ行く。
  • 1 (2018-10-10 (水) 16:53:39)
  • 2 (2018-10-10 (水) 16:57:02)
  • 3 (2018-10-11 (木) 12:54:53)
  • 4 (2018-10-11 (木) 19:53:07)
  • 5 (2018-10-12 (金) 12:44:53)
  • 6 (2018-10-12 (金) 20:35:15)
  • 7 (2018-10-12 (金) 20:49:45)
  • 8 (2018-10-15 (月) 09:47:38)
  • 9 (2018-10-16 (火) 16:51:42)
  • 10 (2018-10-16 (火) 18:17:51)
  • 11 (2018-10-27 (土) 20:51:25)
  • 12 (2018-10-28 (日) 15:58:02)
  • 13 (2019-01-23 (水) 10:03:58)
  • 14 (2019-06-24 (月) 13:20:46)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

Finalを参照して記述。

• Client（RP）がメールアドレスやURLからユーザが利用しているIdp/STS（OP）を特定する方法
  • WebFinger? [RFC7033]を用いる。
  • Idp/STS（OP）の特定
  • OAuth 2.0 / OIDCエンドポイントの特定
    

詳細 †

OPディスカバリ †

HTTPSで以下を送信する。

パラメタ †

• Resource
  
  • エンドユーザの識別子。
  • 必要に応じて正規化が行われる。
  • 以下のエンドユーザの識別子がある。
    • メアド
    • URL
    • ホスト名とポート

• Host
  Simple Web Discoveryサービスがホストされているサーバ

• Rel
  サービスのタイプを識別するURI
  • 型: OpenID Connect Issuer
    
  • 値: http://openid.net/specs/connect/1.0/issuer

リクエスト・レスポンスの例 †

• 共通項

• rel
  http://openid.net/specs/connect/1.0/issuer

• host
  • example.com
  • 若しくは、Resource中のhost部分

• リクエスト

• メアド
  • value : joe@example.com
  • resource: acct:joe@example.com

     GET /.well-known/webfinger
       ?resource=acct%3Ajoe%40example.com
       &rel=http%3A%2F%2Fopenid.net%2Fspecs%2Fconnect%2F1.0%2Fissuer
       HTTP/1.1
     Host: example.com

• URL
  • value : https://example.com/joe
  • resource: https://example.com/joe

     GET /.well-known/webfinger
       ?resource=https%3A%2F%2Fexample.com%2Fjoe
       &rel=http%3A%2F%2Fopenid.net%2Fspecs%2Fconnect%2F1.0%2Fissuer
       HTTP/1.1
     Host: example.com

• ホスト名とポート
  • value : example.com:8080
  • resource: https://example.com:8080/

     GET /.well-known/webfinger
       ?resource=https%3A%2F%2Fexample.com%3A8080%2F
       &rel=http%3A%2F%2Fopenid.net%2Fspecs%2Fconnect%2F1.0%2Fissuer
       HTTP/1.1
     Host: example.com:8080

• acct URI スキーム
  • value : acct:juliet%40capulet.example@shopping.example.com
  • resource: acct:juliet%40capulet.example@shopping.example.com

     GET /.well-known/webfinger
       ?resource=acct%3Ajuliet%2540capulet.example%40shopping.example.com
       &rel=http%3A%2F%2Fopenid.net%2Fspecs%2Fconnect%2F1.0%2Fissuer
       HTTP/1.1
     Host: shopping.example.com

• レスポンス

   HTTP/1.1 200 OK
   Content-Type: application/jrd+json
   {
    "subject": "xxxxxx", ---> ココに要求したResourceの値が入る。
    "links":
     [
      {
       "rel": "http://openid.net/specs/connect/1.0/issuer",
       "href": "https://server.example.com"
      }
     ]
   }

OP構成情報 †

issuerに「/.well-known/openid-configuration」を連結したURLを使用。

要求 †

GET /.well-known/openid-configuration HTTP/1.1
Host: example.com

応答 †

{
 "issuer":
   "https://server.example.com",
 "authorization_endpoint":
   "https://server.example.com/authorize",
 "token_endpoint":
   "https://server.example.com/token",
 "token_endpoint_auth_methods_supported":
   ["client_secret_basic", "private_key_jwt"],
 "token_endpoint_auth_signing_alg_values_supported":
   ["RS256", "ES256"],
 "userinfo_endpoint":
   "https://server.example.com/userinfo",
 "jwks_uri":
   "https://server.example.com/jwks.json",
 "registration_endpoint":
   "https://server.example.com/register",
 "scopes_supported":
   ["openid", "profile", "email", "address",
    "phone", "offline_access"],
 "response_types_supported":
   ["code", "code token"],
 "service_documentation":
   "http://server.example.com/service_documentation.html",
 "ui_locales_supported":
   ["en-US", "en-GB", "en-CA", "fr-FR", "fr-CA"]
}

パラメタ †

基本要素 †

• issuer (REQUIRED)
  • WebFinger?から返されるissuerの値（href）と同じ
  • QueryやFragmentのComponentを含まないhttpsスキームのURL

エンドポイント †

OAuth 2.0 †

• authorization_endpoint (REQUIRED)
  認可エンドポイントのURL

• token_endpoint (REQUIRED)
  • TokenエンドポイントのURL
  • Implicitのみの場合は割愛可。

• token_endpoint_auth_methods_supported (OPTIONAL)
  • Tokenエンドポイントでサポートされている認証タイプのリストを含むJSON配列
  • client_secret_basic、client_secret_post、client_secret_jwt、およびprivate_key_jwt

• userinfo_endpoint (RECOMMENDED)
  ユーザ情報エンドポイントのURL

Registration †

• registration_endpoint (RECOMMENDED)
  動的クライアント登録エンドポイントのURL

• service_documentation (OPTIONAL)
  • 開発者向け情報ページのURL。
  • Dynamic Client Registrationをサポートしていない場合

Session Management †

• refresh_session_endpoint
  リフレッシュ・セッション・エンドポイントのURL

• end_session_endpoint
  エンド・セッション・エンドポイントのURL

署名・暗号化 †

JWK †

• jwk_url (REQUIRED)
  • 署名用のJWK Set 公開鍵のURL。
  • 暗号化用のJWK Set 共通のURL。

Requestオブジェクト関連 †

• requestパラメタ
  • request_parameter_supported
• request_uriパラメタ
  • request_uri_parameter_supported
  • require_request_uri_registration

アルゴリズム †

JWSとJWEのアルゴリズム（JWA）のリストを含むJSON配列

• IDトークン
  • id_token_signing_alg_values_supported (REQUIRED)
    • JWS署名アルゴリズム（alg値）のリストを含むJSON配列
    • RS256をサポートしなければならない。
  • id_token_encryption_alg_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（alg値）のリストを含むJSON配列
  • id_token_encryption_enc_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（enc値）のリストを含むJSON配列

• ユーザ情報エンドポイント
  • userinfo_signing_alg_values_supported (OPTIONAL)
    • JWS署名アルゴリズム（alg値）のリストを含むJSON配列
    • noneを含めることができる。
  • userinfo_encryption_alg_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（alg値）のリストを含むJSON配列
  • userinfo_encryption_enc_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（enc値）のリストを含むJSON配列

• Tokenエンドポイント
  private_key_jwtとclient_secret_jwt認証メソッド用
  • token_endpoint_auth_signing_alg_values_supported
    • JWS署名アルゴリズム（alg値）のリストを含むJSON配列
    • RS256をサポートしなければならない（noneはダメ）。

• Requestオブジェクト関連
  • request_object_signing_alg_values_supported (OPTIONAL)
    • JWS署名アルゴリズム（alg値）のリストを含むJSON配列
    • noneとRS256をサポートしなければならない。
  • request_object_encryption_alg_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（alg値）のリストを含むJSON配列
  • request_object_encryption_enc_values_supported (OPTIONAL)
    JWE暗号化アルゴリズム（enc値）のリストを含むJSON配列

各種オプション †

OAuth 2.0 / OIDC †

• scopes_supported (RECOMMENDED)
  サポートするscope値のリストを含むJSON配列

• response_types_supported (REQUIRED)
  サポートするresponse_type値のリストを含むJSON配列

• response_modes_supported (OPTIONAL)
  • サポートするresponse_mode値 のJSON配列
  • 既定値は["query"、 "fragment"]

• grant_types_supported (OPTIONAL)
  • サポートするgrant_type値 のJSON配列
  • 既定値は["authorization_code"、 "implicit"]

OIDC †

• subject_types_supported (REQUIRED)
  サポートするsubクレームの種類 のJSON配列
  • public（既定値）
  • pairwise

• claims_supported (RECOMMENDED)
  • クレーム名のリストを含むJSON配列

• acr_values_supported (OPTIONAL)
  サポートする認証コンテキストクラス参照のリストを含む

• その他
  • display_values_supported (OPTIONAL)
  • claim_types_supported (OPTIONAL)

参考 †

• Final: OpenID Connect Discovery 1.0 incorporating errata set 1
  http://openid.net/specs/openid-connect-discovery-1_0.html

• sat's memo: OpenID Connect Discovery 1.0 - draft 09 日本語私訳
  http://blog.toke.jp/2012/07/draft-openid-connect-discovery-1.html

• Add url of the "https://.../.well-known/openid-configuration."
  · Issue #83 · OpenTouryoProject?/MultiPurposeAuthSite?
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/issues/83

Dynamic Client Registration †

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.035 sec.