JWT bearer token authorizationグラント種別 のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWT bearer token authorizationグラント種別 へ行く。
  • 1 (2017-11-20 (月) 16:17:10)
  • 2 (2017-11-20 (月) 16:59:20)
  • 3 (2017-11-24 (金) 19:12:34)
  • 4 (2017-11-30 (木) 16:04:33)
  • 5 (2017-11-30 (木) 20:20:05)
  • 6 (2017-11-30 (木) 21:58:53)
  • 7 (2017-12-01 (金) 13:53:37)
  • 8 (2017-12-01 (金) 15:01:35)
  • 9 (2017-12-04 (月) 09:58:14)
  • 10 (2017-12-05 (火) 17:16:11)
  • 11 (2017-12-20 (水) 16:16:03)
  • 12 (2017-12-26 (火) 09:51:02)
  • 13 (2018-03-06 (火) 13:47:16)
  • 14 (2018-03-07 (水) 09:40:14)
  • 15 (2018-03-16 (金) 19:50:55)
  • 16 (2018-03-17 (土) 16:56:46)
  • 17 (2018-03-19 (月) 16:04:13)
  • 18 (2018-10-09 (火) 22:10:52)
  • 19 (2018-10-11 (木) 16:03:41)
  • 20 (2018-10-11 (木) 18:33:56)
  • 21 (2018-10-12 (金) 15:11:17)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

強化されたクライアント認証を使用してaccess_tokenを取得する、
（Client Credentialsグラント種別の代替フロー）

• OAuth 2.0 を拡張するアサーションの仕様
• RFC 7521, 7523によって構成されている。

• JWT(JWS) Bearer Tokenをアサーションとして使用して、
  OAuth 2.0のAccess Tokenを要求する方法の定義。

クライアント認証 †

• クライアント認証はオプション。
• クライアント認証が無い場合と有る場合の概要説明。

クライアント認証しない場合、 †

概要 †

• 事前に信頼関係を構築できるシステムから
  ユーザ承認手順なしに直接Access Tokenを取得する。

• GoogleやMicrosoft、SalesforceなどのWebAPI認証の方式として採用されている。
  • クライアントと事前に鍵交換して、
  • クライアントのSelf-Issued Assertionで署名する。

フロー †

• JWT(JWS)作成のための証明書を生成 or 取得する。

• 証明書を登録する。
  • Client側（秘密鍵）
  • Resource Server側（公開鍵）

• ClientでJWT(JWS)を署名し、Resource Serverにリクエスト、

• Resource ServerでJWT(JWS)を検証し、Access Token(Bearer Token)をレスポンス。

• Clientから、Access Token(Bearer Token)を使用してResource Serverにアクセスする。

クライアント認証する場合、 †

概要 †

• 既存のユーザ承認フローの中で、
  事前に信頼関係を構築したクライアントとクライアント認証する。

• こちらは、用例で採用されていないが、
  • Authorization Codeグラント種別
    こちらのユースケースは、リクエスト・オブジェクトを使用するフローに近い。
  • Client Credentialsグラント種別
    こちらのユースケースは、「クライアント認証しない場合」のフローと大差ない。

フロー †

• Authorization Codeグラント種別
  Assertion Created by Third Partyを使用する。
• Client Credentialsグラント種別
  Self-Issued Assertionを使用する。

仕様（7521） †

• 単体では利用できず、RFC 7522, 7523のサブ仕様の共通部分を抽象化した仕様。
• ClientとResource Serverを統合するような状況下での利用が想定されている。
  • Resource Ownerとしてのエンド・ユーザの介入を必要としない。
  • client_secretを必要としない（Client Credentialsグラント種別の）代替メカニズム。

フレームワーク †

↓、RPではなく、Authorization Serverなのでは？と思うが、
使い道に依り、あくまでクライアント認証に用いると考える。

Assertion Created by Third Party †

STSによってAssertionを生成する。

• フロー

      Relying
      Party                     Client                   Token Service
        |                          |                         |
        |                          |  1) Request Assertion   |
        |                          |------------------------>|
        |                          |                         |
        |                          |  2) Assertion           |
        |                          |<------------------------|
        |    3) Assertion          |                         |
        |<-------------------------|                         |
        |                          |                         |
        |    4) OK or Failure      |                         |
        |------------------------->|                         |
        |                          |                         |
        |                          |                         |

• WS-Trust [OASIS.WS-Trust]などで利用されている。

Self-Issued Assertion †

ローカルでAssertionを生成する。

• フロー

      Relying
      Party                     Client
        |                          |
        |                          | 1) Create
        |                          |    Assertion
        |                          |--------------+
        |                          |              |
        |                          | 2) Assertion |
        |                          |<-------------+
        |    3) Assertion          |
        |<-------------------------|
        |                          |
        |    4) OK or Failure      |
        |------------------------->|
        |                          |
        |                          |

アサーション †

これを使ってアクセストークン・リクエストする。

文脈上 †

この文脈上でのアサーションは、

• Authorization Serverは、
  • 一般的に認可付与の短命表現で、
    アサーションの有効期間を越えるアクセストークンを発行すべきでない。
  • アサーション許可要求に応答して
    • リフレッシュトークンが発行せず、
    • アクセストークンを短い寿命で発行する。

• Clientは、
  • 同じアサーションを使用して新しいアサーションを要求したり、
  • 有効・若しくは新しいアサーションを使用して、
    期限切れのアクセストークンをリフレッシュしたり、

できる。

タイプ †

• Bearer Assertions
  • 本仕様に適したタイプのアサーション
  • アサーションを所有しているすべてのエンティティは、
    • 関連するリソースへのアクセスを取得するために（暗号鍵の所持を証明することなく）アサーションを使用できる。
    • 誤用を防止するために、アサーションは、保管・移送における露見から保護する必要がある。
    • 権限のない当事者にアサーションを漏らさないために、安全な通信チャネルを使用。

• Holder-of-Key Assertions
  • 本仕様に適さないタイプのアサーション（だったら書くな。と、）
  • アサーションを提示するエンティティは、
    • 関連するリソースにアクセスするには、
    • 追加の暗号資料の所持を証明する必要がある。
  • 従って、
    • Authorization Server(STS)は、アサーションにキー識別子をバインドする。
    • Clientは、アサーションを提示するときに、
      その識別子に対応するキーを知っていることをResource Serverに示す必要がある。

• 鍵所有者アサーションシステムのベースラインとして使用することができるが、場合によっては、以下が必要になる。
  • （秘密鍵の所有証明をサポートするための）追加のメカニズム
  • セキュリティモデルの変更（例えば、 オーディエンスの要件を緩和するため）。

クレームセット †

以下のクレームが必要。

IDトークンが参考になる。

• 必須

• Issuer
  • Assertion Created by Third Partyの場合、
    Authorization Server(STS)のIDになる。
  • Self-Issued Assertionの場合、
    Audienceの値と同じになる。

• Subject
  
  • サーバ信頼セキュリティ モデル
    Audienceの値と同じになる。
  • ベース クライアント セキュリティ モデル
    Resource OwnerのID

• Audience
  Resource ServerのID = client_idの値

• Expires At

• オプション
  • Issued At
  • Assertion ID
    アサーションの一意の識別子。
    • 他のエンティティが誤って同じ識別子を割り当てないことを保証しなくてはならない。
    • ワンタイム使用アサーションのメッセージ重複排除を必要とする実装によって使用される可能性がある。

署名 †

• 署名またはメッセージ認証コードを生成する
• アルゴリズムは任意（この仕様の範囲外）

パラメタ †

• TLS（Transport Layer Security）が必須。
• アサーションの認可付与としての使用を定義。

grant_type †

• クライアント認証なし
  urn:ietf:params:oauth:grant-type:*
  • urn:ietf:params:oauth:grant-type:saml2-bearer
  • urn:ietf:params:oauth:grant-type:jwt-bearer

• クライアント認証あり
  既存のフローのクライアント認証を使用する。
  • grant_type=client_credentials版
  • grant_type=authorization_code版
    authorization_codeなのでcodeも必要（code=XXXX）

assertion †

RFC7523のアサーションを参照。

scope †

• 要求された範囲は、OAuth 2.0 [RFC6749]の3.3節に記述されているとおり。

• クライアント認証なし
  Googleの例ではアサーションに同梱させているがRFC中に記述がない。

• クライアント認証あり
  • 既存のフローのクライアント認証を使用する。
  • この場合、スターターでQuery Stringにscopeを指定。

client_id †

• パラメタに依存するクライアント認証の形式が使用されている場合にのみ必要。

• クライアント認証の用途では不要
  • クライアント認証なし
    不要
  • クライアント認証あり
    クライアント認証がある場合、クライアントがアサーションで識別される（必須ではない）

client_assertion_type †

• クライアント認証なし
  不要

• クライアント認証あり
  urn:ietf:params:oauth:grant-type:*
  • urn:ietf:params:oauth:grant-type:saml2-bearer
  • urn:ietf:params:oauth:grant-type:jwt-bearer

client_assertion †

• クライアント認証なし
  不要

• クライアント認証あり
  RFC7523のアサーションを参照。

リクエスト・レスポンス †

アクセストークン・リクエスト †

• クライアント認証なし
  • ヘッダ

    POST /token HTTP/1.1
    Host: server.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3AX-bearer&
    assertion=SAML2 or JWT assertion

• クライアント認証あり
  • grant_type=authorization_code版（Assertion Created by Third Party）
    • ヘッダ

      POST /token HTTP/1.1
      Host: server.example.com
      Content-Type: application/x-www-form-urlencoded

    • ボディ

      grant_type=authorization_code&
      code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
      client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
      client_assertion=SAML2 or JWT assertion

• grant_type=client_credentials版（Self-Issued Assertion）
  • ヘッダ

    POST /token HTTP/1.1
    Host: server.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=client_credentials&
    client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
    client_assertion=SAML2 or JWT assertion

アクセストークン・レスポンス †

仕様中に明記なし。

エラー・レスポンス †

• OAuth 2.0 [RFC6749]で定義されているエラー応答を構成

• https://tools.ietf.org/html/rfc6749#section-5.2

• クライアント認証なし
  アサーションが有効でないか期限が切れた場合、
  • Authorization Serverは、
    • "error"パラメータの値は "invalid_grant"エラーコードでなければならない。
    • "error_description"または "error_uri"パラメータを使用して、
      アサーションが無効とみなされた理由に関する追加情報を含めることができる。

• 例
  • ヘッダ

    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    Cache-Control: no-store

  • ボディ

    {
     "error":"invalid_grant",
     "error_description":"Audience validation failed"
    }

• クライアント認証あり
  • Authorization Serverは、
    アサーションが有効でないか複数のクライアント認証メカニズムが使用されている場合、
    • "error"パラメータの値は "invalid_client"エラーコードでなければならない。
    • "error_description"または "error_uri"パラメータを使用して、
      クライアントのアサーションが無効であると考えられた理由に関する追加情報を含めることができる。

• 例
  • ヘッダ

    HTTP/1.1 400 Bad Request
    Content-Type: application/json
    Cache-Control: no-store

  • ボディ

    {
     "error":"invalid_client"
     "error_description":"assertion has expired"
    }

セキュリティに関する考慮事項 †

• RFC 7522, 7523などを使用すれば、大方問題ない。

• その他、
  • SSL/TLSを使用する。
  • Assertion IDを実装する。

仕様（7523） †

RFC 7521のアサーションにJWT(JWS)アサーションを使用したもの。

JWT(JWS)アサーション †

これを使ってアクセストークン・リクエストする。

ペイロード（クレームセット） †

• コチラを参考に、

• 必須（MUST）
  • "iss" (issuer) claim
  • "aud" (audience) claim
  • "sub" (subject) claim
  • "exp" (expiration time) claim
    

• してもよい（MAY）
  • "iat" (issued at) claim
  • "jti" (JWT ID) claim
    = Assertion ID
  • "nbf" (not before) claim
    トークンを受け入れてはならない前の時間を識別する。

• クライアント認証を行う場合、
  JWT(JWS)アサーションを使用するが、その仕組み自体は定義されていない。
  • Subjectにclient_idを設定するという記述がある。
  • また、用例では、クライアントと鍵交換＋署名で代替されているもよう。

JWT(JWS)の例 †

• 以下、RFCのJWT(JWS)
  
  • よくよく確認すると、
    • ヘッダが微妙。
    • scopeをどうやって渡すのか。
    • URLはなに？（Scheme？）

• ヘッダ

  {"alg"： "ES256"、 "kid"： "16"}

• ペイロード

  {
   "iss":"https://jwt-idp.example.com",
   "sub":"mailto:mike@example.com",
   "aud":"https://jwt-rp.example.net",
   "nbf":1300815780,
   "exp":1300819380,
   "http://claims.example.com/member":true
  }

• 以下、GoogleのJWT(JWS)。
  • よくよく確認すると、
    • subが無かったりする。
    • scopeは当然ココだが、RFC中に明記が無い。

• ヘッダ

  {
    "alg": "RS256",
    "typ": "JWT"
  }

• ペイロード

  {
   "iss":"サービスアカウントのメールアドレス",
   "scope":"利用するAPIのスコープ",
   "aud":"https://www.googleapis.com/oauth2/v3/token",
   "exp":"トークンの有効期限To",
   "iat":"トークンの有効期限From",
  }

パラメタ †

• 仕様（7521）のパラメタと同じ。
• client_assertionだけ、以下のような注釈有リ。
  • １つのJWT(JWS)、複数のJWT(JWS)を含んではならない。

リクエスト・レスポンス †

アクセストークン・リクエスト †

• クライアント認証なし
  • ヘッダ

    POST /token.oauth2 HTTP/1.1
    Host: as.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&
    assertion=...JWS...

• クライアント認証あり
  • ヘッダ

    POST /token.oauth2 HTTP/1.1
    Host: as.example.com
    Content-Type: application/x-www-form-urlencoded

  • ボディ

    grant_type=authorization_code&
    code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
    client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&
    client_assertion=...JWS...

アクセストークン・レスポンス †

仕様中に明記がないが、Googleでのレスポンスは以下の通り。

{
  "access_token":"XXXXXXXXXX",
  "token_type":"bearer",
  "expires_in":nnnnn
}

※ ポイント : refresh_tokenを返さない。

エラー・レスポンス †

仕様（7521）のエラー・レスポンスと同じ。

参考 †

RFC 7521, 7522, 7523 †

• RFC 7521 - Assertion Framework for
  OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7521

• RFC7522（SAMLアサーション）
  • RFC 7522 - Security Assertion Markup Language (SAML) 2.0 Profile
    for OAuth 2.0 Client Authentication and Authorization Grants
    https://tools.ietf.org/html/rfc7522

• RFC7523（JWTアサーション）
  • RFC 7523 - JSON Web Token (JWT) Profile
    for OAuth 2.0 Client Authentication and Authorization Grants
    https://tools.ietf.org/html/rfc7523

用例 †

Googleの例 †

以下を見ると、

• C#とCoreTweet?を使って簡単にTwitterへツイートするbotを作る - 酢ろぐ！
  http://blog.ch3cooh.jp/entry/20140808/1407464147
  • Google Analytics API を使って前日の PV を取得するコードを C# で書いてみた - しばやん雑記
    http://blog.shibayan.jp/entry/20140803/1407059293

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

クライアント証明書（pfx形式の電子証明書）を使って、
サービスアカウントで認証する方法がある模様。

ちなみに、ここでは、Google.Apis.Analytics Client Libraryに
処理がラッピングされていたため。詳細が不明だったが、

以下を見ると、このClient Libraryの中では、JWTが使用されている模様。

• JWTを使ってGoogleAPIのアクセストークン取得する - Carpe Diem
  http://christina04.hatenablog.com/entry/2015/06/04/224159

• IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

これが、

「JWT bearer token authorizationグラント種別」

の用例である模様。

• GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
  http://d.hatena.ne.jp/ritou/20121104/1352036133

上記のサイトには、

Service Accounts = JWT Bearer Token Profile

であることが明記されている。

Microsoft (AzureAD) の例 †

Googleと同様に、以下を見ると、

• Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2015/04/09/azure-ad-backend-server-side-deamon-service/
• Azure ADに登録されているAPI用のアクセストークンをJWTで取得するには | hrendoh's memo
  http://blog.hrendoh.com/active-directory-dotnet-daemon-certificate-credential/
  • Authenticating to Azure AD in daemon apps with certificates | Microsoft Azure
    https://azure.microsoft.com/ja-jp/resources/samples/active-directory-dotnet-daemon-certificate-credential/

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

「JWT bearer token authorizationグラント種別」

をサポートしている模様。

ただし、処理は、ADAL(Active Directory Authentication Library)
にラップされているためJWT作成処理の詳細などを見ることは出来ない。

• active-directory-dotnet-daemon-certificate-credential/Program.cs
  at master · Azure-Samples/active-directory-dotnet-daemon-certificate-credential
  https://github.com/Azure-Samples/active-directory-dotnet-daemon-certificate-credential/blob/master/TodoListDaemonWithCert/Program.cs

Salesforceの例 †

以下のQiita記事を参照すると、Salesforceは、

• OAuth 2.0 JWT べアラートークンフロー
• OAuth 2.0 SAML ベアラーアサーションフロー

の2つのフローをサポートしている模様。

• OAuth2 JWT Bearer Token フローを使ってSalesforceへアクセスする - Qiita
  http://qiita.com/stomita/items/4542ce1b48e5fa849ef1

• help.salesforce.
  • OAuth 2.0 JWT べアラートークンフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_jwt_flow.htm&language=ja&type=0
  • OAuth 2.0 SAML ベアラーアサーションフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_SAML_bearer_flow.htm&language=ja&type=0

原理はほぼ同じで、SAMLよりJWTのほうが動作環境的な制約は少ないとのこと。

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.071 sec.