OpenID Connect - クライアント認証のバックアップ(No.2) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
OpenID Connect - クライアント認証へ行く。
- 1 (2018-10-12 (金) 14:36:26)
- 2 (2018-10-12 (金) 17:20:56)
- 3 (2018-10-27 (土) 16:18:40)
- 4 (2018-10-28 (日) 17:59:22)
- 5 (2019-11-14 (木) 18:34:01)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- 認証方法
- JWTの共通項
参考

概要 †

Finalを参照して記述。

OAuth 2.0では「クライアントは1回のリクエストにおいて二つ以上の認証方式を利用してはならない (MUST NOT).」と言われている。

Registrationの際、Tokenエンドポイントにアクセスする際にクライアント認証を登録可能。

詳細 †

認証方法 †

none †

以下のケースでTokenエンドポイントでの認証を行わない場合。

Implicit Flow
Public クライアント
およびその他の何らかの認証手段を用いる場合

client_secret_basic（既定値） †

OAuth 2.0の慣例（ただし、仕様に明記はない）
Client Credential（client_idとclient_secret）をHTTP Basic 認証スキーマで送信する。

client_secret_post †

OAuth 2.0のオプション（ただし、仕様に明記はない）
Client Credential（client_idとclient_secret）をリクエスト・ボディに含めて送信する。

client_secret_jwt †

後述に従い、HS256などの（メッセージ認証符号（MAC））アルゴリズムを使用する。
HMAC は, client_secret の UTF-8 オクテットを共通鍵として利用

private_key_jwt †

後述に従い、RS256などの（デジタル署名）アルゴリズムを使用する。
RSAおよびECDSAの、署名用の公開鍵を利用

JWTの共通項 †

JWT Bearer Token Flow的 †

JWT bearer token authorizationグラント種別の

「Self-Issued Assertion」の
「クライアント認証あり（サーバ信頼セキュリティモデル）」

のユースケースに相当する。

クレーム †

こちらも、上記の「JWT Bearer Token Flow」のユースケース的。

#	要件	クレーム	値
1	REQUIRED	iss	client_id
2		sub	client_id
3		aud	Token Endpoint URL
4		jti	JWTクレームセット参照
5		exp
6	OPTIONAL	iat

送信方法 †

こちらも、上記の「JWT Bearer Token Flow」のユースケース的。

client_assertion パラメタ
前述の、署名暗号化されたJWT（JWS, JWE）を使用する。

client_assertion_type パラメタ:
"urn:ietf:params:oauth:client-assertion-type:jwt-bearer"

参考 †

Final: OpenID Connect Core 1.0 incorporating errata set 1 > 9. Client Authentication
https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html#ClientAuthentication

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth