OpenID Connect - ユーザー属性クレーム関連のバックアップ(No.8)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
OpenID Connect - ユーザー属性クレーム関連へ行く。
- 1 (2018-10-09 (火) 19:19:11)
- 2 (2018-10-09 (火) 22:16:37)
- 3 (2018-10-10 (水) 11:47:46)
- 4 (2018-10-10 (水) 16:39:33)
- 5 (2018-10-10 (水) 17:59:21)
- 6 (2018-10-11 (木) 11:57:26)
- 7 (2018-10-11 (木) 19:22:08)
- 8 (2018-10-12 (金) 13:10:37)
- 9 (2018-10-16 (火) 16:47:33)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

Finalを参照して記述。

↑

Standardクレーム †

JWTのクレームを除く（subだけ重複）。

↑

グループ名 †

クレームのグループ名称。
scopeパラメタで使用して当該グループのクレームを要求する。

↑

クレーム名 †

クレームの個別名称。
claimsパラメタで使用して当該クレームを要求する。

↑

一覧 †

項番	グループ名		意味
項番		クレーム名	意味
1	sub		ユーザーの一意識別子
2	profile		プロフィール
2-1	・	name	フルネーム
2-2	・	given_name	名
2-3	・	family_name	姓
2-4	・	middle_name	ミドルネーム
2-5	・	nickname	ニックネーム
2-6	・	preferred_username	好みのユーザー名
2-7	・	profile	プロフィールページの URL
2-8	・	picture	プロフィール画像の URL
2-9	・	website	Web サイトやブログの URL
2-10	・	gender	性別。female と male が定義済み。
2-11	・	birthdate	誕生日。YYYY-MM-DD。
2-12	・	zoneinfo	タイムゾーン。Europe/Paris など。
2-13	・	locale	ロケール。en-US など。
2-14	・	updated_at	情報最終更新日。Unix エポックからの経過秒数。
3	email		電子メール
3-1	・	email	電子メールアドレス
3-2	・	email_verified	電子メールアドレスが検証済みか否かの真偽値
4	phone		電話
4-1	・	phone_number	電話番号
4-2	・	phone_number_verified	電話番号が検証済みか否かの真偽値
5	address		住所 JSON object。書式は「5.1.1. Addressクレーム」に記載。
5-1	・	formatted	フォーマットされたフルメールアドレス、表示用・郵送用に使用
5-2	・	street_address	通り・番地、号室、私書箱、複数行の拡張された住所情報。
5-3	・	locality	City or locality
5-4	・	region	State, province, prefecture, or region.
5-5	・	postal_code	Zip code or postal code
5-6	・	country	Country name

↑

格納要求 †

↑

scopeパラメタによる格納要求 †

scopeパラメタによってユーザー属性クレーム群の格納要求を行うことができる。

↑

グループ名 †

前述のグループ名（profile, email, phone, address）をscope値に指定可能。

↑

格納部位 †

UserInfo?エンドポイントからUserInfo?レスポンス（JSON オブジェクト）として返される.

response_type 値が id_token の場合、
- この場合、Access Token が発行されない。
- ユーザー属性クレーム群はID Token で返却される。

↑

claimsパラメタによる詳細な格納要求 †

claimsパラメタによって、scopeパラメタより詳細なユーザー属性クレーム群の格納要求を行うことができる。

userinfoと、id_tokenに対するクレームを要求できる。
- 通常、scopeパラメタを使用して、クレームを要求するが、
  http://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims
- claimsパラメタを使用して、クレームを要求することもできる。
  http://openid.net/specs/openid-connect-core-1_0.html#ClaimsParameter

claimsパラメタを使用して特定のクレームの返却を要求する。
claimsパラメタは、クレームをリスト化したJSON オブジェクトである。
- ユーザー属性クレーム群に含まれていないクレームを要求する唯一の方法。
- scopeパラメタでは指定することが出来ないユーザー属性クレーム群の特定の組み合わせを要求する唯一の方法。

↑

トップレベルメンバ †

個別のクレームの名前をメンバー名とする JSON オブジェクト

userinfoメンバ (OPTIONAL)
UserInfo?エンドポイントへ返却を要求する個々のクレームのリスト。

当メンバが存在した場合、
- scopeパラメタで要求されたクレームに加え、
- 当メンバでリストされたクレームも返却される。

当メンバが存在しなかった場合、
- scopeパラメタで要求されたクレームのみが返却される。
- userinfoメンバを指定する際は、UserInfo? Endpoint を使用するために、
  response_type に対し, Access Token を Client に発行するタイプの値を指定しなければならない。

id_tokenメンバ (OPTIONAL)
ID トークン内に格納して返却を要求する個々のクレームのリストを示す。

当メンバが存在した場合、
- デフォルトのクレームに加え
- 当メンバでリストされたクレームも返却される。

当メンバが存在しなかった場合、
- デフォルトのクレームのみが返却される。

↑

個別のクレーム値 †

null値
デフォルトの形式

JSON値
- essential
  Essential(必須) or Voluntary(任意)
```
{"essential": true}
```

value
指定の値を返す（用途不明確
```
{"value": "248289761001"}
```

values
優先順に指定の値を返す（用途不明確

"acr": {"essential": true,
        "values": ["urn:mace:incommon:iap:silver",
                   "urn:mace:incommon:iap:bronze"]}

↑

クレーム要求JSONの例 †

クレーム要求JSONの例を以下に示す:

 {
  "userinfo":
   {
    "given_name": {"essential": true},
    "nickname": null,
    "email": {"essential": true},
    "email_verified": {"essential": true},
    "picture": null,
    "http://example.info/claims/groups": null
   },
  "id_token":
   {
    "auth_time": {"essential": true},
    "acr": {"values": ["urn:mace:incommon:iap:silver"] }
   }
 }

↑

エンドポイント †

OAuth 2.0のResource ServerのWebAPI
HTTP的には、HTTPS必須

↑

Request †

HTTP の GET と POST メソッドをサポートする。

UserInfo?リクエストの一例を示す:

GET /userinfo HTTP/1.1
Host: server.exampletechinfoofmicrosofttech.osscons.jp
Authorization: Bearer ・・・・・

↑

Response †

UserInfo?レスポンスは JSON オブジェクトとして返される。
- UserInfo?クレームは JSON オブジェクトのメンバとして返される。
- UserInfo?レスポンスのクレームセットには、必ず sub (subject) クレームを含める。
- ユーザー属性クレーム群に加え、そこに明記されていないクレームも返却可能。
- Idp（OP）は要求されたクレームの値を、必ずしも返さなくてもよい。
- クレームが返されない場合、null や空文字列ではなく、JSON オブジェクトのメンバから除かれるべき。

JWTによる署名 or 暗号化、若しくは、署名 and 暗号化を行う場合
- クレームは JWT で返されるため、Content-Type は application/jwtとする。
- 署名する場合、subに加え、iss (issuer) クレームと aud (audience) クレームを含むべき。
- 暗号化のアルゴリズムはRegistrationによるuserinfo_encrypted_response_algで指定する。
- 署名と暗号化の両方が要求された場合、レスポンスは JWT で定義されているように、
  結果はネストされた JWT となり、署名した後に暗号化しなければならない。

クライアントによるUserInfo?レスポンスの検証
- TLS サーバー証明書チェックを通じてIdp（OP）を検証する。
- UserInfo?レスポンスがJWTの場合、署名検証や復号化を行う。
- ID トークンとUserInfo?クレームのsubが一致することを検証する必要がある。

↑

Request & Responseの例 †

以下に UserInfo?レスポンスの一例を示す。

成功

 HTTP/1.1 200 OK
 Content-Type: application/json
 {
   "sub": "ユーザID 的 な情報",
   "name": "Jane Doe",
   "given_name": "Jane",
   "family_name": "Doe",
   "preferred_username": "j.doe",
   "email": "janedoe@techinfoofmicrosofttech.osscons.jp",
   "picture": "http://techinfoofmicrosofttech.osscons.jp/janedoe/me.jpg"
 }

失敗

 HTTP/1.1 401 Unauthorized
 WWW-Authenticate: error="invalid_token",
   error_description="The Access Token expired"

↑

Discovery、Dynamic Client Registrationとの関連 †

設定によって、ID トークン相当の情報が、

JWT 形式もしくは JSON 形式で返される。
JWTの署名アルゴリズムも影響を受ける。

↑

subクレームの種類 †

（Subject Identifier Types）

「5.7. Claim Stability and Uniqueness」で言われているように、
- 通常、subクレーム値は、iss内で一意
- 故に、エンドユーザにとっては、iss＋subで一意

故に、「8. Subject Identifier Types」では、
- pairwiseというオプションで、
- Client毎にsubクレーム値を変えることにより、
- Clientを跨った名寄せを困難にしてプライバシーを保護する。

↑

種類 †

↑

public †

全ての Client に対し同一の subクレーム値を提供する（既定値）

↑

pairwise †

各々の Client に対し異なる subクレーム値を提供する。

↑

サポート †

Discovery: subject_types_supported
Registration:
- subject_type
- sector_identifier_uri

↑

pairwiseの値 †

pairwiseのsubクレーム値

↑

要件 †

subクレーム値が, OP（IdP/STS）以外の Party にとって, 可逆であってはならない (MUST NOT).
異なる Sector Identifier 値は, 異なる Subject Identifier 値にならなければならない (MUST).
同じ入力に対して必ず同じsubクレーム値となる決定的アルゴリズムでなければならない (MUST).

↑

計算例 †

sub = SHA-256 ( sector_identifier || local_account_id || salt )
sub = AES-128 ( sector_identifier || local_account_id || salt )
GUID = ローカルアカウントID, Sector Identifier(変換テーブル)

↑

クレーム・タイプ †

以下の3つのクレーム値の表現形式が定義されている。
- Normalクレーム (REQUIRED)
- Aggregatedクレーム (OPTIONAL)
- Distributedクレーム (OPTIONAL)

なお、Aggregatedクレームと、Distributedクレームは、
- sub 値が Claims Provider に置ける End-User の識別子でない限り, sub (subject) クレームを含むべきでない.
- また OpenID Provider あるいは他の Party が利用するために sub 値を提供すべきでもない.

↑

Normalクレーム †

OpenID Provider によって直接アサートされたクレーム。

JSON オブジェクトの中にメンバとして表記される。

 {
  "name": "Jane Doe",
  "given_name": "Jane",
  "family_name": "Doe",
  "email": "janedoe@example.com",
  "picture": "http://example.com/janedoe/me.jpg"
 }

↑

Aggregatedクレーム †

↑

概要 †

OpenID Provider 以外の Claims Provider によってアサートされたクレームであるが, OpenID Provider から返却されるクレーム.
JSON オブジェクト中で, _claim_names および _claim_sources という特殊なメンバを用いて表記される.
- _claim_names
  _claim_sources メンバーの中にあるメンバー名への参照
- _claim_sources
  JWTを値として持つJSON オブジェクト(subクレームを含まない)

↑

例 †

Aggregatedクレーム本体
以下を「jwt_header.jwt_part2.jwt_part3」とJWT化する。

 {
  "address": {
    "street_address": "1234 Hollywood Blvd.",
    "locality": "Los Angeles",
    "region": "CA",
    "postal_code": "90210",
    "country": "US"},
  "phone_number": "+1 (310) 123-4567"
 }

Aggregatedクレームを含むクレームセット

 {
  "name": "Jane Doe",
  "given_name": "Jane",
  "family_name": "Doe",
  "birthdate": "0000-03-22",
  "eye_color": "blue",
  "email": "janedoe@example.com",
  "_claim_names": {
    "address": "src1",
    "phone_number": "src1"
  },
  "_claim_sources": {
    "src1": {"JWT": "jwt_header.jwt_part2.jwt_part3"}
  }
 }

↑

Distributedクレーム †

↑

概要 †

OpenID Provider 以外の Claims Provider によってアサートされたクレームであり, OpenID Provider からはその参照だけが返却されるクレーム.
JSON オブジェクト中で, _claim_names および _claim_sources という特殊なメンバを用いて表記される.
- _claim_names
  _claim_sources メンバーの中にあるメンバー名への参照
- _claim_sources
  endpoint、access_tokenのメンバと値を含む JSON オブジェクト
  - endpoint (REQUIRED):
    JWT形式のDistributedクレームセットを提供するエンドポイントのUrl
  - access_token (OPTIONAL):
    endpoint（Resource Server）を利用するためのaccess_token

↑

例 †

Distributedクレーム本体
以下を「jwt_header.jwt_part2.jwt_part3」とJWT化して、エンドポイントからレスポンスする。

その１

 {
  "shipping_address": {
    "street_address": "1234 Hollywood Blvd.",
    "locality": "Los Angeles",
    "region": "CA",
    "postal_code": "90210",
    "country": "US"},
  "payment_info": "Some_Card 1234 5678 9012 3456",
  "phone_number": "+1 (310) 123-4567"
 }

その２
```
 {
  "credit_score": 650
 }
```

Distributedクレームを含むクレームセット

 {
  "name": "Jane Doe",
  "given_name": "Jane",
  "family_name": "Doe",
  "email": "janedoe@example.com",
  "birthdate": "0000-03-22",
  "eye_color": "blue",
  "_claim_names": {
    "payment_info": "src1",
    "shipping_address": "src1",
    "credit_score": "src2"
   },
  "_claim_sources": {
    "src1": {"endpoint":
               "https://bank.example.com/claim_source"},
    "src2": {"endpoint":
               "https://creditagency.example.com/claims_here",
             "access_token": "ksj3n283dke"}
  }
 }

↑