OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens のバックアップ(No.12)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens へ行く。
  • 1 (2018-03-23 (金) 18:05:33)
  • 2 (2018-03-23 (金) 18:06:16)
  • 3 (2018-08-24 (金) 09:23:21)
  • 4 (2018-10-09 (火) 22:14:17)
  • 5 (2018-10-29 (月) 10:36:57)
  • 6 (2018-10-29 (月) 14:29:51)
  • 7 (2018-11-10 (土) 22:34:55)
  • 8 (2019-01-23 (水) 09:23:14)
  • 9 (2019-02-13 (水) 14:35:09)
  • 10 (2019-02-13 (水) 22:22:26)
  • 11 (2019-02-13 (水) 22:50:38)
  • 12 (2019-02-19 (火) 13:03:43)
  • 13 (2019-03-01 (金) 09:47:37)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Token Binding
  • Financial API (FAPI)
    • FAPI Part 1 (Read Only API Security Profile)
    • FAPI Part 2 (Read and Write API Security Profile)

目次 †

概要 †

• Mutual TLS(MTLS) :
  OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens

• Mutual TLS というと、単に「TLS 通信時にクライアント側も証明書を提示する」ことを意味する。

• FAPI の文脈では、記名式切符（Proof-of-possession Token）の作成と使用。
  • クライアント証明書による OAuth クライアント認証
  • クライアント証明書に紐付くトークンに関する処理

• 別称「Certificate Binding」で、以下を選択的に使用できる。
  • 公開鍵基盤（PKI）
  • 自己署名証明書・公開鍵（jwks_uri等）

※ このページは、ドラフト 12 を参考にして作成。

方法 †

X.509証明書のクライアント証明書を使用する。

• TLSハンドシェイクにより秘密鍵の所有を検証する。
• クライアント証明書の入れ替えは自由に行うことが出来る。
• 以下のケースで処理方式が異なってくる。

公開鍵基盤（PKI） †

• TLS 通信で用いられた公開鍵基盤（PKI）のクライアント証明書を用いる方式
  • 証明書チェーンと、
  • 事前登録したサブジェクト識別名（DN）を使用する。
    （その場合のメタデータは、tls_client_auth_subject_dn）

• メタデータ値: tls_client_auth

自己署名証明書 †

• TLS 通信で用いられた自己署名のクライアント証明書を用いる方式
  • 証明書チェーンを検証しない
  • 当該自己署名証明書と、
  • 事前登録した公開鍵（jwks_uri等）を使用する。
    （このメタデータは定義されていない）

• メタデータ値: self_signed_tls_client_auth

シーケンス †

バインディング †

• Token EndpointでMutual TLSクライアント認証する。
• X.509証明書のHashによりClientとAccess Tokenを結び付ける。

ベリファイ †

• Resource EndPoint?でMutual TLSクライアント認証する。
• Resource Serverは、X.509証明書のHashと、Access Tokenの結び付けを検証する。

方式のメリット・デメリット †

メリット †

• Client自体は殆ど何も変えなくて良い。
• 対応しなければならないのはServer側。

デメリット †

• Client側からは、Serverがそのトークンを
  • 「持参人切符」として扱ったのか
  • 「記名式切符」として扱ったのか

解らない。

• Client自身のリスク管理には、その情報が必要なので、
  同じリソースURIは、「持参人切符」は取り扱ってはならない。

• 異なるAuthorization Schemeではなく、
  Bearerスキーマをそのまま使うのは、
  英国のOpen Bankingでの採用のし易さに配慮した結果。

対象のEndPoint? †

Authorization Server †

Authorization Serverの下記のエンドポイントにクライアント認証の追加メカニズムを提供。

• RFC6749 ... OAuth 2.0 : Tokenエンドポイント
• RFC 7009 ... Token Revocation : Revocationエンドポイント
• RFC 7662 ... Token Introspection : Introspectionエンドポイント

Resource Server †

任意のエンドポイント

詳細 †

クライアント証明書によるクライアント認証 †

• client_idパラメタが必須
  クライアント証明書の内容とは独立してClientを識別するため。

• クライアント証明書をClient Credentialsとして使用して、
  client_idをバインドする2つの異なった方法がある。

• なお、Clientの登録方法に依存しない。
  • 動的に登録
  • 静的に構成
  • 別の方法で確立

tls_client_auth †

tls_client_auth_subject_dn

• クライアント証明書の予想されるサブジェクト識別名の文字列表現。

self_signed_tls_client_auth †

（メタデータの規定は無し）

• jwks_uri の Jwk Setから、
  x5cパラメタの最初の証明書の公開鍵
  （RSA = "n" and "e", EC = "x" and "y"）を取得。

送信者制限付きAccess Token †

• 送信者制限には、x5t#S256（SHA-256による証明書フィンガープリント）を使用する。
• x5t#S256は以下の様に規定されるので通常、thumbprintの文字列をそのまま扱えばイイ。

  base64url-encoded [RFC4648] SHA-256 [SHS] hash
  (a.k.a. thumbprint, fingerprint or digest)
  of the DER encoding of the X.509 certificate [RFC5280].

バインディング †

ClientがTokenエンドポイントへの接続でクライアント証明書を使用すると、
Authorization Serverは発行されたAccess Tokenをクライアント証明書にバインドできる。

• Access Tokenに証明書ハッシュを埋め込む
  • JWTに、cnf > x5t#S256 メンバとして埋め込む。
  • 以下は、x5t#S256を含むJWTペイロードの例。

        {
          "iss": "https://server.example.com",
          "sub": "ty.webb@example.com",
          "exp": 1493726400,
          "nbf": 1493722800,
          "cnf":{
            "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
          }
        }

• Introspectionエンドポイント
  Introspectionエンドポイントから以下のような、x5t#S256を含むメタデータを返す。

      HTTP/1.1 200 OK
      Content-Type: application/json
  
      {
        "active": true,
        "iss": "https://server.example.com",
        "sub": "ty.webb@example.com",
        "exp": 1493726400,
        "nbf": 1493722800,
        "cnf":{
          "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
        }
      }

ベリファイ †

Clientは、Resourceリクエストに、Tokenリクエストで使用したクライアント認証を使用する必要がある。
（証明書が一致しない場合は、HTTP 401と "invalid_token"で拒否が必須。）

メタデータ †

OpenID Connect - Discovery †

• mutual_tls_sender_constrained_access_tokens
  • 本仕様のサポートを示すbool値。
  • オプション。default値は "false"。

OpenID Connect - Dynamic Client Registration †

• mutual_tls_sender_constrained_access_tokens
  • 本仕様を使用する意図を示すbool値。
  • オプション。default値は "false"。

考慮事項 †

実装に関する †

Server †

• Authorization Server

• 他のクライアント認証をサポートする場合、
  (MTLS)クライアント認証をオプションにする。

• 自己署名証明書を使用する場合、
  証明書チェーンを検証しないようにTLSスタックを構成する必要がある。

• クライアント認証を必要としない他のエンドポイントを、
  他のホスト名でホストすることを考慮してもよい。

• Resource Server
  Resource Serverは、クライアントの証明書のチェーンを検証する必要はないので、
  証明書チェーンを検証しないようにTLSスタックを構成する必要がある。

Access Token †

クライアント認証と"送信者制限付きAccess Token"は、互いに独立して使用できる。

• クライアント認証ありの"送信者制限付きAccess Token"
  • これについては説明済み。
  • クライアント証明書を更新すると、"送信者制限付きAccess Token"は無効になる。
  • 無効化された場合は、期限切れのアクセストークンと同様に処理できる。

• クライアント認証なしの"送信者制限付きAccess Token"
  • クライアント認証なしで、"送信者制限付きAccess Token"のみ使用できる。
  • Tokenリクエストで、証明書チェーンを検証しないようにTLSスタックを構成する必要がある。
  • Resourceリクエストで、クライアント認証書とAccess Tokenから取得した証明書フィンガープリントを比較する。

※ 互いに独立して使用できるというコトは、

• tls_client_auth
• self_signed_tls_client_auth

をクライアント認証のみで使用することもできる？

Implicit Flowはサポートされない。 †

• TokenエンドポイントへリクエストしないImplicit Flowはサポートできない。
• 逆に、Hybrid Flowのサポートも必要だが、Tokenエンドポイントで処理しさえすればよい。

セキュリティに関する †

TLS †

• バージョン
  • 主流なので、TLS 1.2 [RFC5246]を引用。
  • 最近発表された、TLS 1.3 [RFC8446]を推奨。

• 考慮事項
  BCP 195, RFC 7525: Recommendations for Secure Use of TLS and DTLS

• ネットワーク仲介者
  • ロードバランサ、リバースプロキシなどで、TLSが中断されても良い。
  • この場合、クライアント証明書メタデータを受け渡す方法は仕様の範囲外。

X.509証明書と証明書チェーンの解析と検証 †

• X.509証明書と証明書チェーンの解析と検証は複雑

• 実装ミスによって以前にセキュリティの脆弱性が露呈していた。

• 十分にテストされたX.509ライブラリを使用するべきで、
  独自のX.509証明書検証手順を書かないこと。

証明書スプーフィング †

• 同じサブジェクト識別名（DN）を持つ証明書を使用してクライアントを偽装しようとする可能性がある。
• 従って、証明書発行ポリシーがセキュリティ要件を満たしている限られた数のCAだけを信頼アンカーとして受け入れるべき。

OAuth 2.0 Token Bindingとの関連 †

類似点 †

OAuth 2.0 Token Bindingの

「Tokenを、Client上の非対称キー・ペアにバインドする」処理方式は、

"送信者制限付きAccess Token"に対する

• デザイン
• モチベーション

に対して、幾つかの類似点がある。

デザイン †

• 記名式切符（Proof-of-possession Token）のための
  紐付け（トークン・バインディング）に関して、
  OAuth 2.0 Token Bindingと競合する仕様。
  

• Authorization Serverが発行したAccess Tokenを、
  Client上の非対称キー・ペアにバインドする。
  • Client上で生成される非対称キー・ペアを使用し、
  • 秘密鍵保持の証明（Proof of Possession、POP）を行う。

モチベーション †

規制要件によって動機付けられたOAuth対応の金融取引で、

• 証明書の作成、配布、および管理の難しさの多くを回避し、
• より広範な導入と展開を見込む可能性がある。

相違点 †

OAuth 2.0 Token Binding †

まだ、新しく、現在の開発プラットフォームとツールでは、比較的少数のサポートしかない。

OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens †

• しばらく前からあり、現在の開発プラットフォームとツールで広くサポートされている。
• こちらは、OAuth 2.0 Token Bindingより、迅速なソリューション提供を目指している。

参考 †

• draft-ietf-oauth-mtls-xx - OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens
  https://tools.ietf.org/html/draft-ietf-oauth-mtls

• 【2019年版】世界最先端の API セキュリティー技術、
  実装者による『FAPI（Financial-grade API）』解説 - Qiita
  0.2. Mutual TLS
  https://qiita.com/TakahikoKawasaki/items/83c47c9830097dba2744#02-mutual-tls

• KEYCLOAK-6771 Holder of Key mechanism:
  OAuth 2.0 Mutual TLS Client Authentication and
  Certificate Bound Access Tokens by tnorimat
  Pull Request #5083 · keycloak/keycloak
  https://github.com/keycloak/keycloak/pull/5083

OAuth 2.0 Token Binding †

ASP.NET＋クライアント証明書 †

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.057 sec.