OpenID / OAuth / OpenID Connect のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OpenID / OAuth / OpenID Connect へ行く。
  • 1 (2018-03-05 (月) 10:35:35)
  • 2 (2018-03-05 (月) 12:43:24)
  • 3 (2018-04-01 (日) 07:43:50)
  • 4 (2018-05-30 (水) 10:36:37)
  • 5 (2018-10-02 (火) 14:40:40)
  • 6 (2018-10-02 (火) 18:20:11)
  • 7 (2018-10-09 (火) 22:16:18)
  • 8 (2018-10-10 (水) 16:20:11)
  • 9 (2019-01-26 (土) 17:28:35)
  • 10 (2019-05-10 (金) 09:09:53)
  • 11 (2019-05-14 (火) 11:08:31)
  • 12 (2019-06-05 (水) 17:51:43)
  • 13 (2019-08-26 (月) 09:33:10)
  • 14 (2020-01-26 (日) 19:33:25)
  • 15 (2020-01-27 (月) 09:52:19)
  • 16 (2020-06-18 (木) 16:11:54)
  • 17 (2020-08-21 (金) 09:04:22)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

OpenID / OAuth / OpenID Connectについて。

用語 †

OpenID †

• End User
  • Consumerに対して自分のIdentityの認証を要求しようとするユーザ
  • Consumerに紹介状（OpenID Token）を送るIdP(Identify Provider)に加入する必要がある。

• User-Agent
  • End Userが所有するWebブラウザ
  • 特別なプラグインやJavaScriptは不要

• Consumer
  • End Userが入力したID(Identifier)を使用し、IdP(Identify Provider)に対して認証要求するWebサービス
  • ConsumerはいずれのIdP(Identify Provider)に対しても認証要求を遂行する必要がある。
  • OpenID 2.0からはRelying Party(RP)と名称が変更されている。
    OpenIDでは、STS相当が独立しておらず、当該機能がRPとIdp内に同梱されている。

• Identifier
  • End Userが所有するURL(httpまたはhttpsをschemeとするURI)
  • IdP(Identify Provider)は、Identifierを使用して認証する。
  • OpenID 2.0からはXRIというURIを拡張した形式で表されたものを指す。

• Claimed Identifier
  • End Userが自分で所有していると主張するIdentifier
  • Consumerによってまだ確認されていないIdentifier

• Verified Identifier
  ConsumerがEnd Userが所有していると認めたIdentifier

• User-Supplied Identifier
  OpenID 2.0からの用語で、
  • End UserによってRPに対して提示されるIdentifier
  • Claimed IdentifierまたはOP Identifierの総称

• Identify Provider(Idp)
  • End Userが所有するClaimed Identifierの暗号化された証明（紹介状）を発行。
  • OpenID 2.0からはOpenID Provider(OP)とも呼ばれる。

• OpenID 2.0から追加されたOpenID Provider(OP)用語

• OP Identifier
  OPを表すIdentifier

• OP EndPoint? URL
  OPのエンドポイントのURL

• OP-Local Identifier
  • 使用するOPが内部的に使用するユーザID。
  • OPがOP上の認証処理等で使用する。

OAuth †

用語に関しては、OpenIDと≒。

• Resource Owner (OAuth 1.0では、User)
  • Clientにアクセス権限の付与を行うユーザ自身
  • ClientにAccess Tokenを送るAuthorization Server
    （OAuth 1.0では、OAuth Service Provider）に加入する必要がある。

• User-Agent
  • End Userが所有するWebブラウザ
  • 特別なプラグインやJavaScriptは不要

• OAuth Client （OAuth 1.0では、OAuth Consumer)
  OAuth Serverが提供するAPIを利用する側のサービス
  • Instagram
  • Foursquare
  • Pinterest

• OAuth Server (OAuth 1.0では、OAuth Service Provider)

• OAuthをサポートしたAPIを提供しているサービス
  • Twitter (1.0)
  • Facebook

• （OAuth2.0から）OAuth Service Providerは更に以下の2つに分類される。
  • Authorization Server
    認証・認可のサーバー機能（認証チケットとAccess Tokenの発行）
  • Resource Server
    Access Tokenを受けてリソースアクセスを提供する

• 参考
  • Differences Between OAuth 1 and 2 - OAuth 2.0 Servers
    https://www.oauth.com/oauth2-servers/differences-between-oauth-1-2/

OpenID Connect †

• 認証に関しては、
  OpenID Authentication 2.0の置き換えであるため、
  OpenID Authentication 2.0の用語を使用する

• ただし、実装に関しては、
  OAuth 2.0の拡張なので、OAuth 2.0の用語も使用する

Financial API (FAPI) †

・・・

詳細 †

中央集権型でない、分散ID認証システムのオープン仕様。

• ブラウザベースの認証APIの標準化から始まった。

• トークン（クレーム）として、

• OpenID
  紹介状（OpenID Token）を受け取るか？

• OAuth / OpenID Connect
  合鍵（Bearer Token）を受け取るか？

の違いがある。

OpenID †

OpenID財団の登録商標。

代表的な使用例として、

• OpenID Authentication 2.0
• OpenID Connect
• OpenID Foundation

などがあるが、

ここでは、OpenID Authentication 1.1, 2.0を指す。

要求元であるWebサイトに対して、

• あるユーザが認証された旨の情報、
• 認証をどのように行ったかの情報、
• 当該ユーザの属性情報を、

紹介状（OpenID Token）として、提供元となるIdpが転送するプロトコル。

• OpenID 1.1：Consumer経由で紹介状を作成して送信する公証人Idpを呼び出す。
• OpenID 2.0：RP経由で紹介状を作成して送信する公証人OPを呼び出す。
• OpenIDの仕様上、誰でもConsumer（RP）やIdp（OP）になれるという点から、
  特にConsumer（RP）はどのIdp（OP）を信用したらよいかという問題が残る。

OAuth †

概要 †

• 紹介状（OpenID Token）ではなく、合鍵（Bearer Token）を渡し、権限付与を行うプロトコル。

• ユーザが外部サービスにパスワードを教えることなく、
  サービス間でユーザの同意のもとにセキュアにユーザの権限情報（合鍵）を受け渡しする。

• エンドユーザはサービスAに対してあるサービスB上のリソースや機能に
  取得 / 追加 / 更新 / 削除などのアクセス許可を与える。

• サービスAは、エンドユーザの許可を受けたサービスB上のリソースや機能にアクセスする。

問題点 †

• OpenIDよりもOAuth認証をしたいというサイトが増えてきている。

• しかし、認証機能は無いとされているので、拡張仕様で、
  "安全な"紹介状（クレーム）を発行する仕組みを追加で作り込む必要がある。

OpenID Connect †

概要 †

• OpenID Authentication 2.0 のプロトコルを引き継ぐことをせず、
  OAuth 2.0を拡張し、正しく"認証"する次世代のOpenID。

• OpenID Authentication 2.0 の"認証"は、OpenID Connectによって置換えられた。
• サイトにアクセスする方法はOAuth 2.0 の Resource Access と同じ。

• OAuth 2.0 ベース
  OpenID Authentication 2.0との違いは、
  紹介状（OpenID Token）相当のコピーだけが入っているロッカーの合鍵を渡す所。
  • ロッカー：UserInfo? （ユーザ情報）Endpoint
  • 合鍵：UserInfo? Endpointへの合鍵を発行する。
  • ClientとResource Serverは、
    • この合鍵の発行者を信頼し、
    • 合鍵の正統性の検証が可能。

設計思想 †

• モジュラーデザイン
• 簡単なことは簡単に
• 難しいことも可能に

• NIST SP 800-63-1で定義されている全ユーザ認証要件（LoA）への対応が可能。
  金融システムや電子政府／行政システムにも利用できることを意味している。

Financial API (FAPI) †

金融機関API向けJSON data schema, REST APIの、
セキュリティ＋プライバシー・プロファイルの勧告（チェックリスト）を提供

その他 †

STS系ミドルウェア †

ライブラリ †

• 色々ある。
  • Azure AD 認証ライブラリ (ADAL)
  • Azure AD v2.0 認証ライブラリ (MSAL)

• しかし、OAuth / OpenID Connectクライアントは、生でも書ける。

選定 †

コンシューマー向け技術と言える。
（REST/JSONベースで、Webアプリケーションに組み込みやすい）。

• OpenID 2.0とOAuth 1.0
  • 仕様は、同時期に策定された。
  • ユーザから見た画面遷移もほぼ同じ
  • 開発者の間で機能が比較された。

• OAuth 2.0
  • 合鍵（Bearer Token）を渡し、認可する仕組み。
  • 認証機能は無いとされているので、拡張仕様で、
    "安全な"紹介状（クレーム）を発行する仕組みを追加で作り込む必要がある。

• OpenID Connect
  OAuth 2.0を拡張して、OpenID 2.0を置き換えたもの。

OpenID †

• OpenID 2.0 (OAuthとの比較)
  OpenID 2.0とOAuth 1.0の仕様は、同時期に策定された。

• メリット
  • 一度の実装で複数のOPに対応できる。
  • 新たなOPが増えた場合もコストをかけずに対応が可能
  • ユーザー認証を実装でき、その上サービス独自のAPIを利用できる。

• デメリット
  • OAuth 1.0のように、サービス上のAPIに権限を付与する機能はない。

OAuth †

• OAuth 1.0 (OpenIDとの比較)
  OpenID 2.0とOAuth 1.0の仕様は、同時期に策定された。

• メリット
  • Access Tokenを返すことで、（認証＋）APIに対する権限付与ができる。
  • 上記のAccess Tokenを使用して、プロフィール情報（＝クレーム的なもの）
    を取得できるAPIが提供されれば、認証の処理を実装できる。

• デメリット
  • 認証結果の定義や認証ポリシーの指定方法が存在しない。
  • 従って、OAuth の Clientと、Resources Serverに追加実装が必要になる。

• OAuth 2.0
  OAuth 1.0に以下の改良を加えている。
  • HTTPSを必須にし、署名をなくし、Access Token取得も簡略化
  • Request Tokenを無くし、Access Tokenのみでリソース取得が可能に
  • Webアプリも含め、4つのクライアントプロファイルを仕様化
  • 詳しくは「OAuth 1.0とOAuth 2.0の違い」を参照。

OpenID Connect †

次世代OpenID

• OpenID 2.0のプロトコルを引き継ぐことをせず、
  OAuth 2.0を拡張して、OpenID 2.0を置き換えたもの。

• これまで足りなかった以下のような機能拡張がされている。
  • 認証結果のやりとり
  • 統一的な属性情報の提供
  • OP探索、動的なRP登録
  • RPに戻った後のセッション管理

• 実装（RP）
  • RPはOAuth 2.0のリクエストを少し変更するだけで、利用できる。
    OAuth 2.0のリクエストパラメータに特定の値を指定するだけ。
  • 複数のクライント・フローを実装するのは手間。
    しかし、Idpを開発するのに比べれば、RPを開発する方が楽。

• 用途
  • NIST SP 800-63-1で定義されている全ユーザ認証要件（LoA）への対応が可能。
  • 金融システムや電子政府／行政システムにも利用できることを意味している。

Financial API (FAPI) †

金融機関APIのJSON data schema, REST APIで利用。

課題解決 †

参考 †

• OpenIDやOAuthやらの比較 - Carpe Diem
  http://christina04.hatenablog.com/entry/2015/01/26/194841

• OAuth 2.0＆OpenID Connectユースケースと関連仕様まとめ - Build Insider
  http://www.buildinsider.net/enterprise/openid

用語 †

• 誰にも頼まれてないのに次世代Identifier用語集を勝手に定義してみた - 豆無日記
  http://nobeans.hatenablog.com/entry/20090202/1233585856

• OpenIDの仕様と技術 - ＠IT
  • （1）：仕様から学ぶOpenIDのキホン (3/3)
    http://www.atmarkit.co.jp/ait/articles/0707/06/news135_3.html
  • （5）：OpenID Authentication 2.0時代の幕開け (1/3)
    http://www.atmarkit.co.jp/ait/articles/0802/19/news133.html

歴史的背景 †

• なぜOpenID Connectが必要となったのか、その歴史的背景
  http://www.slideshare.net/tkudo/openid-connect-devlove

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  http://www.slideshare.net/kura_lab/openid-connect-id

• デジタル・アイデンティティ技術最新動向（3）：OpenIDが果たす役割を知る - ＠IT
  http://www.atmarkit.co.jp/ait/articles/1209/20/news140.html

TakahikoKawasaki? - Qiita †

http://qiita.com/TakahikoKawasaki

• OAuth & OpenID Connect 関連仕様まとめ - Qiita
  http://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3

• OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る - Qiita
  http://qiita.com/TakahikoKawasaki/items/f2a0d25a4f05790b3baa

• 【第二弾】OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る - Qiita
  http://qiita.com/TakahikoKawasaki/items/30fbd546935cea914e4f

• OAuth & OpenID Connect の不適切実装まとめ - Qiita
  http://qiita.com/TakahikoKawasaki/items/efbbd2c5875577c911a3

• OAuth 1.0 のほうが OAuth 2.0 より安全なの？ - Qiita
  http://qiita.com/TakahikoKawasaki/items/3600b28af7b63671b968

Identity | @_Nat Zone †

http://www.sakimura.org/category/identity/

• 非技術者のためのOAuth認証(？)とOpenIDの違い入門
  @_Nat Zone - Identity, Privacy and Music
  http://www.sakimura.org/2011/05/1087/

• 非技術者のためのデジタル・アイデンティティ入門
  http://www.sakimura.org/2011/06/1124/

Nov Matake †

• ID連携概要 - OpenID TechNight? vol.13
  http://www.slideshare.net/matake/id-openid-technight-vol13

• ID連携入門 (実習編) - Security Camp 2016
  http://www.slideshare.net/matake/id-security-camp-2016

デジタル・アイデンティティ技術最新動向 †

• デジタル・アイデンティティ技術最新動向 連載インデックス - ＠IT
  http://www.atmarkit.co.jp/fsecurity/index/index_digid.html
  • 「OAuth」の基本動作を知る
    http://www.atmarkit.co.jp/fsecurity/rensai/digid01/01.html
  • RFCとなった「OAuth 2.0」――その要点は？
    http://www.atmarkit.co.jp/fsecurity/rensai/digid02/01.html
  • OpenIDが果たす役割を知る
    http://www.atmarkit.co.jp/fsecurity/rensai/digid03/01.html
  • 「OpenID Connect」を理解する
    http://www.atmarkit.co.jp/fsecurity/rensai/digid04/01.html
  • UDIDにおけるセキュリティ＆プライバシー問題
    http://www.atmarkit.co.jp/ait/articles/1211/06/news004.html
  • UDIDがはらむプライバシー問題
    http://www.atmarkit.co.jp/ait/articles/1212/18/news007.html
  • 認証UX標準化を目指すAccount Chooser
    http://www.atmarkit.co.jp/ait/articles/1301/28/news010.html
  • ユーザー中心のアクセス管理を目指すプロトコル
    http://www.atmarkit.co.jp/ait/articles/1305/09/news003.html

OAuth 2.0, OpenID ConnectのParameterとFlowの関係 †

• 汎用認証サイト（Multi-purpose Authentication Site） - Open 棟梁 Wiki
  参考 > OAuth 2.0, OpenID ConnectのParameterとFlowの関係
  https://opentouryo.osscons.jp/index.php?%E6%B1%8E%E7%94%A8%E8%AA%8D%E8%A8%BC%E3%82%B5%E3%82%A4%E3%83%88%EF%BC%88Multi-purpose%20Authentication%20Site%EF%BC%89#d07fe545

---

Tags: :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.063 sec.