JWT bearer token authorizationグラント種別のバックアップ(No.18)

単体では利用できず、RFC 7522, 7523のサブ仕様の共通部分を抽象化した仕様。
ClientとResource Serverを統合するような状況下での利用が想定されている。
- Resource Ownerとしてのエンド・ユーザの介入を必要としない。
- client_secretを必要としない（Client Credentialsグラント種別の）代替メカニズム。

↑

フレームワーク †

ココとリンクしている。

↑

Assertion Created by Third Party †

STSによってAssertionを生成する。

フロー

    Relying
    Party                     Client                   Token Service
      |                          |                         |
      |                          |  1) Request Assertion   |
      |                          |------------------------>|
      |                          |                         |
      |                          |  2) Assertion           |
      |                          |<------------------------|
      |    3) Assertion          |                         |
      |<-------------------------|                         |
      |                          |                         |
      |    4) OK or Failure      |                         |
      |------------------------->|                         |
      |                          |                         |
      |                          |                         |

↑

Self-Issued Assertion †

ローカルでAssertionを生成する。

フロー

    Relying
    Party                     Client
      |                          |
      |                          | 1) Create
      |                          |    Assertion
      |                          |--------------+
      |                          |              |
      |                          | 2) Assertion |
      |                          |<-------------+
      |    3) Assertion          |
      |<-------------------------|
      |                          |
      |    4) OK or Failure      |
      |------------------------->|
      |                          |
      |                          |

↑

アサーション †

これを使ってアクセストークン・リクエストする。

↑

文脈上 †

この文脈上でのアサーションは、

Authorization Serverは、
- 一般的に認可付与の短命表現で、
  アサーションの有効期間を越えるアクセストークンを発行すべきでない。
- アサーション許可要求に応答して
  - リフレッシュトークンが発行せず、
  - アクセストークンを短い寿命で発行する。

Clientは、
- 同じアサーションを使用して新しいアサーションを要求したり、
- 有効・若しくは新しいアサーションを使用して、
  期限切れのアクセストークンをリフレッシュしたり、

できる。

↑

タイプ †

Bearer Assertions
- 本仕様に適したタイプのアサーション
- アサーションを所有しているすべてのエンティティは、
  - 関連するリソースへのアクセスを取得するために（暗号鍵の所持を証明することなく）アサーションを使用できる。
  - 誤用を防止するために、アサーションは、保管・移送における露見から保護する必要がある。
  - 権限のない当事者にアサーションを漏らさないために、安全な通信チャネルを使用。

Holder-of-Key Assertions
- 本仕様に適さないタイプのアサーション（だったら書くな。と、）
- アサーションを提示するエンティティは、
  - 関連するリソースにアクセスするには、
  - 追加の暗号資料の所持を証明する必要がある。
- 従って、
  - Authorization Server(STS)は、アサーションにキー識別子をバインドする。
  - Clientは、アサーションを提示するときに、
    その識別子に対応するキーを知っていることをResource Serverに示す必要がある。

鍵所有者アサーションシステムのベースラインとして使用することができるが、場合によっては、以下が必要になる。
- （秘密鍵の所有証明をサポートするための）追加のメカニズム
- セキュリティモデルの変更（例えば、オーディエンスの要件を緩和するため）。

↑

クレームセット †

以下のクレームが必要。

IDトークンが参考になる。

必須

Issuer
- Assertion Created by Third Partyの場合、
  Authorization Server(STS)のIDになる。
- Self-Issued Assertionの場合、
  Audienceの値と同じになる。

Subject
- サーバ信頼セキュリティモデル
  Audienceの値と同じになる。
- ベースクライアントセキュリティモデル
  Resource OwnerのIDの値と同じになる。

Audience
Resource ServerのID = client_idの値

Expires At

オプション

Issued At

Assertion ID
アサーションの一意の識別子。
- 他のエンティティが誤って同じ識別子を割り当てないことを保証しなくてはならない。
- ワンタイム使用アサーションのメッセージ重複排除を必要とする実装によって使用される可能性がある。

クライアント認証なし
- scope
  クライアント認証なし＝Googleの例など、
  追加のクライアント認証を使用しない場合、scopeが必要になる。

クライアント認証あり
- ・・・

↑

署名 †

署名またはメッセージ認証コードを生成する
アルゴリズムは任意（この仕様の範囲外）

↑

パラメタ †

TLS（Transport Layer Security）が必須。
アサーションの認可付与としての使用を定義。

↑

grant_type †

クライアント認証なし
urn:ietf:params:oauth:grant-type:*
- urn:ietf:params:oauth:grant-type:saml2-bearer
- urn:ietf:params:oauth:grant-type:jwt-bearer

クライアント認証あり
既存のフローのクライアント認証（HTTP Basic 認証スキーマ）を使用する。
- grant_type=client_credentials
- grant_type=authorization_code authorization_codeなので、codeも必要（code=XXXX）

↑

scope †

要求された範囲は、OAuth 2.0 [RFC6749]の3.3節に記述されているとおり。

クライアント認証なし
Googleの例など、追加のクライアント認証を使用しない場合、
- （パラメタとしては、）不要
- クレームセット中には必要になる。

クライアント認証あり
- 既存のフローのクライアント認証を使用する。
- 従って、この場合は、スターターでQuery Stringにscopeを指定。
- クレームセット中からは不要になる。

↑

client_id †

パラメタに依存するクライアント認証の形式が使用されている場合にのみ必要。

クライアント認証なし
- （パラメタとしては、）不要
- クレームセット中には必要になる（client_id = aud = sub）。

クライアント認証あり
- 既存のフローのクライアント認証を使用する。
- 従って、この場合は、client_idを指定。
- クレームセット中には必要になる。
  - サーバ信頼セキュリティモデル：client_id = aud = sub
  - ベースクライアントセキュリティモデル：client_id = aud

↑

assertion †

クライアント認証なし
 RFC7523のアサーションを参照。

クライアント認証あり
不要

↑

client_assertion_type †

クライアント認証なし
不要

クライアント認証あり
urn:ietf:params:oauth:grant-type:*
- urn:ietf:params:oauth:grant-type:saml2-bearer
- urn:ietf:params:oauth:grant-type:jwt-bearer

↑

ヘッダ

POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

ボディ

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3AX-bearer&
assertion=SAML2 or JWT assertion

クライアント認証あり

grant_type=authorization_code版

ヘッダ

POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

ボディ

grant_type=authorization_code&
code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
client_assertion=SAML2 or JWT assertion

grant_type=client_credentials版

ヘッダ

POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

ボディ

grant_type=client_credentials&
client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3AX-bearer&
client_assertion=SAML2 or JWT assertion

↑

アクセストークン・レスポンス †

仕様中に明記なし。

↑

エラー・レスポンス †

OAuth 2.0 [RFC6749]で定義されているエラー応答を構成

https://tools.ietf.org/html/rfc6749#section-5.2

クライアント認証なし
アサーションが有効でないか期限が切れた場合、
- Authorization Serverは、
  - "error"パラメータの値は "invalid_grant"エラーコードでなければならない。
  - "error_description"または "error_uri"パラメータを使用して、
    アサーションが無効とみなされた理由に関する追加情報を含めることができる。

例

ヘッダ

HTTP/1.1 400 Bad Request
Content-Type: application/json
Cache-Control: no-store

ボディ

{
 "error":"invalid_grant",
 "error_description":"Audience validation failed"
}

クライアント認証あり
- Authorization Serverは、
  アサーションが有効でないか複数のクライアント認証メカニズムが使用されている場合、
  - "error"パラメータの値は "invalid_client"エラーコードでなければならない。
  - "error_description"または "error_uri"パラメータを使用して、
    クライアントのアサーションが無効であると考えられた理由に関する追加情報を含めることができる。

例

ヘッダ

HTTP/1.1 400 Bad Request
Content-Type: application/json
Cache-Control: no-store

ボディ

{
 "error":"invalid_client"
 "error_description":"assertion has expired"
}

↑

セキュリティに関する考慮事項 †

RFC 7522, 7523などを使用すれば、大方問題ない。

その他、
- SSL/TLSを使用する。
- Assertion IDを実装する。

↑

仕様（7523） †

RFC 7521のアサーションにJWT(JWS)アサーションを使用したもの。

↑

JWT(JWS)アサーション †

これを使ってアクセストークン・リクエストする。

↑

ペイロード（クレームセット） †

コチラを参考に、

必須（MUST）
- "iss" (issuer) claim
- "aud" (audience) claim
- "sub" (subject) claim
- "exp" (expiration time) claim

してもよい（MAY）
- "iat" (issued at) claim
- "jti" (JWT ID) claim
  = Assertion ID
- "nbf" (not before) claim
  トークンを受け入れてはならない前の時間を識別する。

↑

JWT(JWS)の例 †

以下、RFCのJWT(JWS)
よくよく確認すると、URLはなに？（Scheme？）

ヘッダ
```
{"alg"： "ES256"、 "kid"： "16"}
```

ペイロード

{
 "iss":"https://jwt-idp.example.com",
 "sub":"mailto:mike@example.com",
 "aud":"https://jwt-rp.example.net",
 "nbf":1300815780,
 "exp":1300819380,
 "http://claims.example.com/member":true
}

以下、GoogleのJWT(JWS)
よくよく確認すると、subが無かったりする。

ヘッダ
```
{
  "alg": "RS256",
  "typ": "JWT"
}
```

ペイロード

{
 "iss":"サービスアカウントのメールアドレス",
 "scope":"利用するAPIのスコープ",
 "aud":"https://www.googleapis.com/oauth2/v3/token",
 "exp":"トークンの有効期限To",
 "iat":"トークンの有効期限From",
}

↑

パラメタ †

仕様（7521）のパラメタと同じ。
client_assertionだけ、以下のような注釈有リ。
- １つのJWT(JWS)、複数のJWT(JWS)を含んではならない。

↑

リクエスト・レスポンス †

↑

アクセストークン・リクエスト †

クライアント認証なし

ヘッダ

POST /token.oauth2 HTTP/1.1
Host: as.example.com
Content-Type: application/x-www-form-urlencoded

ボディ

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&
assertion=...JWS...

クライアント認証あり

ヘッダ

POST /token.oauth2 HTTP/1.1
Host: as.example.com
Content-Type: application/x-www-form-urlencoded

ボディ

grant_type=authorization_code&
code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&
client_assertion=...JWS...

↑

アクセストークン・レスポンス †

仕様中に明記がないが、Googleでのレスポンスは以下の通り。

{
  "access_token":"XXXXXXXXXX",
  "token_type":"bearer",
  "expires_in":nnnnn
}

※ ポイント : refresh_tokenを返さない。

↑

エラー・レスポンス †

仕様（7521）のエラー・レスポンスと同じ。

↑

署名アルゴリズム †

本仕様中に記載はないが、コチラを参考にするとイイ。

↑

参考 †

↑

RFC 7521, 7522, 7523 †

RFC 7521 - Assertion Framework for
OAuth 2.0 Client Authentication and Authorization Grants
https://tools.ietf.org/html/rfc7521

RFC7522（SAMLアサーション）
- RFC 7522 - Security Assertion Markup Language (SAML) 2.0 Profile
  for OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7522

RFC7523（JWTアサーション）
- RFC 7523 - JSON Web Token (JWT) Profile
  for OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7523

↑

用例 †

↑

Googleの例 †

以下を見ると、

C#とCoreTweet?を使って簡単にTwitterへツイートするbotを作る - 酢ろぐ！
http://blog.ch3cooh.jp/entry/20140808/1407464147
- Google Analytics API を使って前日の PV を取得するコードを C# で書いてみた - しばやん雑記
  http://blog.shibayan.jp/entry/20140803/1407059293

通常のOAuth 2.0の

以外に、

クライアント証明書（pfx形式の電子証明書）を使って、
サービスアカウントで認証する方法がある模様。

ちなみに、ここでは、Google.Apis.Analytics Client Libraryに
処理がラッピングされていたため。詳細が不明だったが、

以下を見ると、このClient Libraryの中では、JWTが使用されている模様。

JWTを使ってGoogleAPIのアクセストークン取得する - Carpe Diem
http://christina04.hatenablog.com/entry/2015/06/04/224159

IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する
- http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
- http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

これが、

「JWT bearer token authorizationグラント種別」

の用例である模様。

GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
http://d.hatena.ne.jp/ritou/20121104/1352036133

上記のサイトには、

Service Accounts = JWT Bearer Token Profile

であることが明記されている。

↑

Microsoft (AzureAD) の例 †

Googleと同様に、以下を見ると、

Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など) – Tsmatz
https://blogs.msdn.microsoft.com/tsmatsuz/2015/04/09/azure-ad-backend-server-side-deamon-service/
Azure ADに登録されているAPI用のアクセストークンをJWTで取得するには | hrendoh's memo
http://blog.hrendoh.com/active-directory-dotnet-daemon-certificate-credential/
- Authenticating to Azure AD in daemon apps with certificates | Microsoft Azure
  https://azure.microsoft.com/ja-jp/resources/samples/active-directory-dotnet-daemon-certificate-credential/

通常のOAuth 2.0の

以外に、

「JWT bearer token authorizationグラント種別」

をサポートしている模様。

ただし、処理は、ADAL(Active Directory Authentication Library)
にラップされているためJWT作成処理の詳細などを見ることは出来ない。

active-directory-dotnet-daemon-certificate-credential/Program.cs
at master · Azure-Samples/active-directory-dotnet-daemon-certificate-credential
https://github.com/Azure-Samples/active-directory-dotnet-daemon-certificate-credential/blob/master/TodoListDaemonWithCert/Program.cs

↑

Salesforceの例 †

以下のQiita記事を参照すると、Salesforceは、

OAuth 2.0 JWT べアラートークンフロー
OAuth 2.0 SAML ベアラーアサーションフロー

の2つのフローをサポートしている模様。

OAuth2 JWT Bearer Token フローを使ってSalesforceへアクセスする - Qiita
http://qiita.com/stomita/items/4542ce1b48e5fa849ef1

help.salesforce.
- OAuth 2.0 JWT べアラートークンフロー
  https://help.salesforce.com/articleView?id=remoteaccess_oauth_jwt_flow.htm&language=ja&type=0
- OAuth 2.0 SAML ベアラーアサーションフロー
  https://help.salesforce.com/articleView?id=remoteaccess_oauth_SAML_bearer_flow.htm&language=ja&type=0

原理はほぼ同じで、SAMLよりJWTのほうが動作環境的な制約は少ないとのこと。

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

JWT bearer token authorizationグラント種別 のバックアップ(No.18)

目次 †

概要 †

クライアント認証 †

クライアント認証なしの場合 †

概要 †

フロー †

クライアント認証ありの場合 †

概要 †

フロー †

仕様（7521） †

フレームワーク †

Assertion Created by Third Party †

Self-Issued Assertion †

アサーション †

文脈上 †

タイプ †

クレームセット †

署名 †

パラメタ †

grant_type †

scope †

client_id †

assertion †

client_assertion_type †

client_assertion †

リクエスト・レスポンス †

アクセストークン・リクエスト †

アクセストークン・レスポンス †

エラー・レスポンス †

セキュリティに関する考慮事項 †

仕様（7523） †

JWT(JWS)アサーション †

ペイロード（クレームセット） †

JWT(JWS)の例 †

パラメタ †

リクエスト・レスポンス †

アクセストークン・リクエスト †

アクセストークン・レスポンス †

エラー・レスポンス †

署名アルゴリズム †

参考 †

RFC 7521, 7522, 7523 †

用例 †

Googleの例 †

Microsoft (AzureAD) の例 †

Salesforceの例 †

JWT bearer token authorizationグラント種別のバックアップ(No.18)