OpenID Connect のバックアップソース(No.35)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• OpenID Connect へ行く。
  • 1 (2016-01-14 (木) 13:18:28)
  • 2 (2016-01-14 (木) 13:25:53)
  • 3 (2016-01-22 (金) 14:52:48)
  • 4 (2016-01-22 (金) 19:04:09)
  • 5 (2016-01-26 (火) 13:36:02)
  • 6 (2016-01-27 (水) 16:42:02)
  • 7 (2016-02-18 (木) 16:58:43)
  • 8 (2016-02-25 (木) 07:54:46)
  • 9 (2016-03-09 (水) 12:47:56)
  • 10 (2016-03-10 (木) 12:01:12)
  • 11 (2016-04-09 (土) 20:56:02)
  • 12 (2016-12-12 (月) 11:52:17)
  • 13 (2017-01-04 (水) 15:46:11)
  • 14 (2017-01-06 (金) 23:32:03)
  • 15 (2017-01-07 (土) 16:20:43)
  • 16 (2017-01-07 (土) 23:26:07)
  • 17 (2017-01-07 (土) 23:39:36)
  • 18 (2017-01-13 (金) 20:08:46)
  • 19 (2017-01-15 (日) 13:54:11)
  • 20 (2017-03-03 (金) 21:41:57)
  • 21 (2017-05-08 (月) 12:01:35)
  • 22 (2017-05-26 (金) 10:23:18)
  • 23 (2017-05-26 (金) 16:20:42)
  • 24 (2017-05-26 (金) 18:04:13)
  • 25 (2017-05-29 (月) 10:53:51)
  • 26 (2017-07-14 (金) 21:28:20)
  • 27 (2017-07-16 (日) 13:33:23)
  • 28 (2017-10-20 (金) 14:53:23)
  • 29 (2017-10-23 (月) 09:34:08)
  • 30 (2017-11-14 (火) 11:11:51)
  • 31 (2017-12-12 (火) 10:34:56)
  • 32 (2017-12-12 (火) 19:48:29)
  • 33 (2017-12-13 (水) 11:43:46)
  • 34 (2017-12-18 (月) 21:49:37)
  • 35 (2017-12-19 (火) 10:51:17)
  • 36 (2017-12-20 (水) 14:54:45)
  • 37 (2018-01-24 (水) 16:46:00)
  • 38 (2018-01-24 (水) 18:09:32)
  • 39 (2018-01-26 (金) 11:05:36)
  • 40 (2018-02-04 (日) 14:18:07)
  • 41 (2018-03-05 (月) 10:57:20)
  • 42 (2018-03-16 (金) 20:37:10)
  • 43 (2018-03-16 (金) 21:42:48)
  • 44 (2018-03-17 (土) 16:59:43)
  • 45 (2018-03-22 (木) 10:09:48)
  • 46 (2018-07-31 (火) 14:08:53)
  • 47 (2018-08-20 (月) 13:38:12)
  • 48 (2018-08-21 (火) 20:16:27)
  • 49 (2018-08-27 (月) 14:32:52)
  • 50 (2018-10-09 (火) 14:50:43)
  • 51 (2018-10-09 (火) 17:53:43)
  • 52 (2018-10-09 (火) 20:36:14)
  • 53 (2018-10-09 (火) 22:16:24)
  • 54 (2018-10-10 (水) 12:00:43)
  • 55 (2018-10-10 (水) 16:29:58)
  • 56 (2018-10-10 (水) 18:16:26)
  • 57 (2018-10-11 (木) 12:34:54)
  • 58 (2018-10-11 (木) 21:28:26)
  • 59 (2018-10-12 (金) 10:53:46)
  • 60 (2018-10-12 (金) 16:55:11)
  • 61 (2018-10-12 (金) 17:19:33)
  • 62 (2018-10-16 (火) 19:20:27)
  • 63 (2018-10-16 (火) 20:35:52)
  • 64 (2018-12-18 (火) 11:22:01)
  • 65 (2019-02-05 (火) 21:08:52)
  • 66 (2019-03-25 (月) 10:31:21)
  • 67 (2019-07-04 (木) 11:53:54)
  • 68 (2019-08-26 (月) 09:25:05)
  • 69 (2019-08-28 (水) 19:38:32)
  • 70 (2020-01-08 (水) 10:13:34)
  • 71 (2020-02-23 (日) 15:50:54)
  • 72 (2020-07-02 (木) 18:27:14)
  • 73 (2021-02-08 (月) 19:55:04)
  • 74 (2021-07-14 (水) 03:02:33)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>クレームベース認証#ya3d2a7b]]

* 目次 [#tc83c978]
#contents

*概要 [#bb0360e2]
-[[OpenID Connect]]の用途としては、「認証の仕様である」と言ってイイ。
-しかし技術的には、「[[ID トークン>#ofb73c59]]発行のための仕様」と考えたほうがイイ。

-[[JWT]]
--この[[ID トークン>#ofb73c59]]と呼ばれる[[トークン]]は[[JWT]]アサーションを使用している。
--従って、[[JWT]]の生成（署名）・検証の仕組みについては、[[JWT]]を参照のこと。
--このページでは、[[OpenID Connect]]の認証用の[[JWT]]アサーションの~
トークン・プロファイル（オプション仕様）についてを説明する。

**特徴 [#n9af5768]
***モジュラーデザイン [#he3af831]
ユースケースに対応するため、
-複数の仕様から成り立っており、
-それらをモジュール的に組み合わせることで

多様な環境をサポートできる。

***プロトコル概要 [#a4aac78c]
ざっくり、リクエスト→認証・認可→ユーザ情報を取得。

 +--------+                                   +--------+
 |        |                                   |        |
 |        |---------(1) AuthN Request-------->|        |
 |        |                                   |        |
 |        |  +--------+                       |        |
 |        |  |        |                       |        |
 |        |  |  End-  |<--(2) AuthN & AuthZ-->|        |
 |        |  |  User  |                       |        |
 |   RP   |  |        |                       |   OP   |
 |        |  +--------+                       |        |
 |        |                                   |        |
 |        |<--------(3) AuthN Response--------|        |
 |        |                                   |        |
 |        |---------(4) UserInfo Request----->|        |
 |        |                                   |        |
 |        |<--------(5) UserInfo Response-----|        |
 |        |                                   |        |
 +--------+                                   +--------+

***[[OAuth]] 2.0への認証拡張 [#u9589aff]
[[OAuth]] 2.0との違いは、認証拡張機能が追加実装された点にある。

-[[OAuth]] 2.0では
--認証機能（「認証Endpointから[[ユーザー属性クレーム群>#kb7212b1]]を取得する」）の仕様が無かった。
--このため、この部分の拡張仕様（認証Endpoint）に方言があり、実装上問題だった。

-これに対し[[OpenID Connect]]では、
--[[ユーザー属性クレーム群>#kb7212b1]]取得のEndpointが[[ユーザー情報エンドポイント>#k1d9c845]]に標準化された。
--これによって「認可」だけでなく「認証」の仕様も標準化された。

-参考

--Idcon11 implicit demo~
http://www.slideshare.net/ritou/idcon11-implicit-demo

--matake
---OpenID Connect 101 @ OpenID TechNight vol.11~
http://www.slideshare.net/matake/technight11
---OAuth認証再考からのOpenID Connect #devlove~
http://www.slideshare.net/matake/connect-intro-dev-love

--OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜~
---OAuth 2.0 Authorization Code Flow~
http://www.slideshare.net/kura_lab/openid-connect-id/21
---OpenID Connect Authorization Code Flow~
http://www.slideshare.net/kura_lab/openid-connect-id/28

--OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ - Build Insider~
http://www.buildinsider.net/enterprise/openid/connect

**仕様の柱 [#p054dc3f]
***[[フロー>#p1446f50]] [#oa1adfa6]
[[OAuth]] 2.0に認証結果とプロフィールの受渡し機能を追加。
-[[Authorization Code Flow>#mcde509a]]
-[[Implicit Flow>#e7adf5c2]]
-[[Hybrid Flow>#l565139a]]

***[[ID トークン>#ofb73c59]] [#x6b0558c]
-[[基本構造>#ofb73c59]]
-[[取得方法（認証のシーケンス）>#p1446f50]]
-[[ユーザー属性クレーム群>#kb7212b1]]

***追加のエンドポイント [#ib0fba2c]
-[[ユーザー情報エンドポイント>#k1d9c845]]

*フロー [#p1446f50]
-Final: OpenID Connect Core 1.0 incorporating errata set 1 > 3. Authentication~
http://openid.net/specs/openid-connect-core-1_0.html#Authentication

**Authorization Code Flow [#mcde509a]
-scope="* openid *"
-response_type="code"

***概要 [#t8011dab]
[[OAuth]] 2.0 からのステップ上の拡張部分は無い。

ただし、
-クライアントは[[ID トークン>#ofb73c59]]を使用して、[[ユーザー属性クレーム群>#kb7212b1]]を取得して検証でき、
-アクセス先がResources ServerのEndpointが[[ユーザー情報エンドポイント>#k1d9c845]]に特定されており、~
ここから、認証されたユーザ情報として[[ユーザー属性クレーム群>#kb7212b1]]を取得できる。

***ステップ [#a56bf502]
The Authorization Code Flow goes through the following steps.

+Client prepares an Authentication Request containing the desired request parameters.
+Client sends the request to the Authorization Server.
+Authorization Server Authenticates the End-User.
+Authorization Server obtains End-User Consent/Authorization.
+Authorization Server sends the End-User back to the Client with an Authorization Code.
+Client requests a response using the Authorization Code at the Token Endpoint.
+Client receives a response that contains an ID Token and Access Token in the response body.
+Client validates the ID token and retrieves the End-User's Subject Identifier.

-[[以下で説明しているシーケンス>#h438d001]]

**Implicit Flow [#e7adf5c2]
-scope="* openid *"

-response_type=
--"id_token"
--"id_token token"

***概要 [#aaa498b8]
朱書きは、[[OAuth]] 2.0 からのステップ上の変更・拡張部分。

-クライアント（User-Agentやスマホネイティブ）は[[ID トークン>#ofb73c59]]を使用して、[[ユーザー属性クレーム群>#kb7212b1]]を取得して検証でき、
-標準化された[[ユーザー情報エンドポイント>#k1d9c845]]から、認証されたユーザ情報として[[ユーザー属性クレーム群>#kb7212b1]]を取得できる。

***ステップ [#j537479c]
The Implicit Flow follows the following steps:

+Client prepares an Authentication Request containing the desired request parameters.
+Client sends the request to the Authorization Server.
+Authorization Server Authenticates the End-User.
+Authorization Server obtains End-User Consent/Authorization.
+Authorization Server sends the End-User back to the Client with an ID Token and, if requested, an Access Token.
+&color(red){Client validates the ID token and retrieves the End-User's Subject Identifier.};

-[[以下で説明しているシーケンス>#v2c717b3]]

**Hybrid Flow [#l565139a]
-scope="* openid *"~
[["code token"の場合も必要！>http://openid.net/specs/openid-connect-core-1_0.html#code-tokenExample]]

-response_type=
--"code token"
--"code id_token"
--"code id_token token"

***概要 [#a3306ca0]
フローとしては、[[Implicit Flow>#e7adf5c2]]に近く、~
[[ID トークン>#ofb73c59]]と同時に、アクセストークンや認可コードが一緒に発行される。
-UserAgent側でフラグメント部のcode, id_token, tokenを取得、
--id_token~
[[ID トークン>#ofb73c59]]を使用して、[[ユーザー属性クレーム群>#kb7212b1]]を取得して検証できる。
--token~
[[ユーザー情報エンドポイント>#k1d9c845]]から、認証されたユーザ情報として[[ユーザー属性クレーム群>#kb7212b1]]を取得できる。
--code
---その後、UserAgentがClientにcodeを送付する。
---Client側でcodeを使用してアクセストークン・リクエストを行う。

-Yahoo! ID連携:Hybridフロー - Yahoo!デベロッパーネットワーク~
https://developer.yahoo.co.jp/yconnect/v2/hybrid/

※ [[ID トークン>#ofb73c59]]に[[at_hash、c_hashクレームが追加>#c007540d]]される。

***ステップ [#q42c3018]
The Hybrid Flow follows the following steps:

+Client prepares an Authentication Request containing the desired request parameters.
+Client sends the request to the Authorization Server.
+Authorization Server Authenticates the End-User.
+Authorization Server obtains End-User Consent/Authorization.
+Authorization Server sends the End-User back to the Client with an Authorization Code and,~
&color(red){depending on the Response Type, one or more additional parameters.};
+Client requests a response using the Authorization Code at the Token Endpoint.
+Client receives a response that contains an ID Token and Access Token in the response body.
+Client validates the ID Token and retrieves the End-User's Subject Identifier.

朱書きは、[[Authorization Code Flow>#mcde509a]]との差異。

*IDトークン [#ofb73c59]
-Final: OpenID Connect Core 1.0 incorporating errata set 1~
http://openid.net/specs/openid-connect-core-1_0.html
--2. ID Token~
http://openid.net/specs/openid-connect-core-1_0.html#IDToken
--3.3.2.11. ID Token (Hybrid Flow)~
http://openid.net/specs/openid-connect-core-1_0.html#HybridIDToken

**概要 [#fe1155a7]
-OpenID Connect で [[OAuth]] 2.0 を拡張した主要なクレームが、[[ID トークン>#ofb73c59]]。

-仕様全体を通してメッセージ形式に[[JWT]]を採用。
--メッセージ形式：[[JWT]]（JSON Web Tokenの略）
--クレーム暗号化：[[JWT]]の JWS or JWE を使用する。

-以下のクレームの値を含む[[クレームセット>#h586dfab]]。
--発行元のIdp（OP）識別子
--発行先のRP識別子（client_id）
--ユーザー識別子
--発行日時

-クレームの扱いについて[[外部クレーム>#jb63c82f]]機能を定義している。
--集約クレーム
--分散クレーム

**クレームセット [#h586dfab]

***必須クレーム群 [#ffe4c45b]
-iss (issuer) クレーム
--（[[OAuth]] 2.0で言う所の）Authorization Serverの識別子。
--URI形式が推奨
これは、OpenID Connect Discovery 1.0 仕様をサポートするのであれば、~
「{issクレームの値}/.well-known/openid-configuration」という URL で~
リクエストを受け付ける必要があるため。

-sub (subject) クレーム~
ユーザーテーブルのプライマリーキーやそれに準ずるもの。

-aud (audience) クレーム~
（[[OAuth]] 2.0で言う所の）クライアント識別子。

-exp (expiration time) クレーム
--JWT の有効期限
--Unix エポックからの経過秒数（ミリ秒ではなく秒）

-iat (issued at)クレーム
--JWT の発行日時
--Unix エポックからの経過秒数（ミリ秒ではなく秒）

***ケースバイケースなクレーム群 [#d9a64ea2]

-auth_time クレーム
--ユーザー認証時刻
--Unix エポックからの経過秒数（ミリ秒ではなく秒）
--リクエストパラメータやメタ情報設定次第で必須となるもよう。

-[[nonce>https://ja.wikipedia.org/wiki/%E3%83%8E%E3%83%B3%E3%82%B9]] クレーム
--リプレイアタック防止を目的とするクレーム。
--[[ID トークン>#ofb73c59]]発行依頼に付属するnonce 値を、そのまま埋め込む。
--[[Implicit Flow>#e7adf5c2]]、[[Hybrid Flow>#l565139a]]の場合は必須となるもよう。

***オプションのクレーム群 [#l52144f8]

-acr クレーム
--認証コンテキストのクラス
--必要に応じて再認証を催す。
--仕様で幾つか定義されているらしいが詳細不明。

-amr クレーム
--認証手法を示す。
--利用用途が不明。
--仕様範囲外、クレームの利用者が規則を決めて運用する。

-azp クレーム
--認可された対象者
--認証されたユーザと認可されたユーザが違うケースを想定している模様。

***[[Hybrid Flow>#l565139a]]のクレーム [#c007540d]
[[Hybrid Flow>#l565139a]]の場合、以下が必須。

-at_hash~
access_tokenのハッシュ値。
--access_token値のASCII表現のオクテットのハッシュの~
左端の半分のbase64urlエンコーディング（大文字と小文字を区別する）。
--ハッシュアルゴリズム
---IDトークンのJOSEヘッダのalgで使用されるハッシュアルゴリズム
---alg=RS256の場合、SHA-256でaccess_token値をハッシュし、~
次に一番左の128ビットを取り、base64urlでそれらをエンコード。

-c_ハッシュ~
codeのハッシュ値。
--code値のASCII表現のオクテットのハッシュの~
左端の半分のbase64urlエンコーディング（大文字と小文字を区別する）。
--ハッシュアルゴリズム
---IDトークンのJOSEヘッダのalgで使用されるハッシュアルゴリズム
---alg=HS512の場合、SHA-512でcode値をハッシュし、~
次に一番左の256ビットを取り、base64urlでそれらをエンコード。

***[[ユーザー属性クレーム群>#kb7212b1]] [#r21f1653]
その他、[[ユーザー属性クレーム群>#kb7212b1]]を格納する。

**外部クレーム [#jb63c82f]
Idp（OP）は、扱うクレームの内容によって、
-[[集約クレーム>#yfd0840d]]
-[[分散クレーム>#xaa4e17c]]

どちらを利用すべきかを判断する必要がある。

***集約クレーム（Aggregated Claims） [#yfd0840d]
-別のIdp（OP）が持つクレームを署名付きで提供すること。

-RPからリクエストを受けたIdp（OP）は、事前に取得していた、~
もしくは動的に取得した別のIdp（OP）のクレームをレスポンスに含む。

一定期間変更されないことが保証されており~
キャッシュの効果があるものは集約クレーム。

***分散クレーム（Distributed Claims） [#xaa4e17c]
クレームそのものではなく、問い合わせ先のURLを扱う。

-Publicなクレームの場合
--エンドポイントのURL

-ユーザー認可が必要な場合
--エンドポイントのURL
--OAuth 2.0のアクセストークン

をレスポンスに含む。

頻繁に更新されるものは分散クレーム。

**例 [#m4e7fa61]
***Google [#jaec1c75]
GoogleでOpenID Connectの認証で取得したクレームセット。~
（id_tokenそのものなのか？、[[ユーザー情報エンドポイント>#k1d9c845]]から取得したクレームか？）

 {
   "iss":"accounts.google.com",
   "at_hash":"・・・", ← Hybrid Flowの追加クレーム
   "email_verified":"true",
   "sub":"ユーザーの一意識別子",
   "azp":"認可された対象者のID.apps.googleusercontent.com",
   "email":"・・・・",
   "aud":"クライアント識別子.apps.googleusercontent.com",
   "iat":JWT の発行日時（Unix時間）,
   "exp":JWT の有効期限（Unix時間）
 }

[[ココ>#v5e6dad3]]を見ると、これは恐らく、id_tokenなのだろうなと。

以下のGoogle公式のマニュアルにも記載があった。

-OpenID Connect | Google Identity Platform | Google Developers~
https://developers.google.com/identity/protocols/OpenIDConnect

*ユーザー属性クレーム群 [#kb7212b1]
-Final: OpenID Connect Core 1.0 incorporating errata set 1 > 5.1.  Standard Claims~
http://openid.net/specs/openid-connect-core-1_0.html#StandardClaims

**Standard Claims [#c71c8ad5]

|項番|>|グループ名|意味|h
|~||クレーム名|~|h
|1|>|sub|ユーザーの一意識別子|
|2|>|profile|プロフィール|
|2-1||name|フルネーム|
|2-2||given_name|名|
|2-3||family_name|姓|
|2-4||middle_name|ミドルネーム|
|2-5||nickname|ニックネーム|
|2-6||preferred_username|好みのユーザー名|
|2-7||profile|プロフィールページの URL|
|2-8||picture|プロフィール画像の URL|
|2-9||website|Web サイトやブログの URL|
|2-10||gender|性別。female と male が定義済み。|
|2-11||birthdate|誕生日。YYYY-MM-DD。|
|2-12||zoneinfo|タイムゾーン。Europe/Paris など。|
|2-13||locale|ロケール。en-US など。|
|2-14||updated_at|情報最終更新日。Unix エポックからの経過秒数。|
|3|>|email|電子メール|
|3-1||email|電子メールアドレス|
|3-2||email_verified|電子メールアドレスが検証済みか否かの真偽値|
|4|>|phone|電話|
|4-1||phone_number|電話番号|
|4-2||phone_number_verified|電話番号が検証済みか否かの真偽値|
|5|>|address|住所 JSON object。書式は「5.1.1. Address Claim」に記載。|
|5-1||formatted|フォーマットされたフルメールアドレス、表示用・郵送用に使用|
|5-2||street_address|通り・番地、号室、私書箱、複数行の拡張された住所情報。|
|5-3||locality|City or locality|
|5-4||region|State, province, prefecture, or region.|
|5-5||postal_code|Zip code or postal code|
|5-6||country|Country name|

**多言語化 [#u1556f80]
-クレームによっては多言語化可能
-クレーム名に続いて"#ja-Kana-JP"などの言語タグを付与する。

*ユーザー属性クレーム群の格納要求 [#qb26baa1]

**scope値による格納要求 [#k95e5b83]
scope値によってユーザー属性クレーム群の格納要求を行うことができる。

-Final: OpenID Connect Core 1.0 incorporating errata set 1 >~
5.4. Requesting Claims using Scope Values~
http://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

***グループ名 [#xc20fc3f]
[[前述のグループ名>#c71c8ad5]]（profile, email, phone, address）をscope値に指定可能。

***格納部位 [#z4362392]
-UserInfoエンドポイントからUserInfoレスポンス（JSON オブジェクト）として返される.

-response_type 値が id_token の場合、
--この場合、Access Token が発行されない。
--ユーザー属性クレーム群はID Token で返却される。

**クレーム要求JSONによる格納要求 [#lfaacf35]
-クレームをリスト化したJSON オブジェクトを使用して特定のクレームの返却を要求する。
--[[ユーザー属性クレーム群>#kb7212b1]]に含まれていない Claim を要求する唯一の方法。
--scope 値では指定することが出来ない[[ユーザー属性クレーム群>#kb7212b1]]の特定の組み合わせを要求する唯一の方法。

-Final: OpenID Connect Core 1.0 incorporating errata set 1 >~
5.5. Requesting Claims using the "claims" Request Parameter~
https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html#ClaimsParameter

***トップレベルメンバ [#va260684]
-userinfoメンバ
--OPTIONAL.
--UserInfoエンドポイントへ返却を要求する個々のクレームのリスト。

--当メンバが存在した場合、
---scope 値で要求されたクレームに加え、
---当メンバでリストされたクレームも返却される。

--当メンバーが存在しなかった場合、
---scope 値で要求されたクレームのみが返却される。
---userinfoメンバを指定する際は、UserInfo Endpoint を使用するために、~
response_type に対し, Access Token を Client に発行するタイプの値を指定しなければならない。

-id_tokenメンバ
--OPTIONAL.
--[[ID トークン>#ofb73c59]]内に格納して返却を要求する個々のクレームのリストを示す。

--当メンバーが存在した場合、
---デフォルトのクレームに加え
---当メンバーでリストされたクレームも返却される。

--当メンバーが存在しなかった場合、
---デフォルトのクレームのみが返却される。

***クレーム要求JSONの例 [#pd68c57b]
クレーム要求JSONの例を以下に示す:
  {
   "userinfo":
    {
     "given_name": {"essential": true},
     "nickname": null,
     "email": {"essential": true},
     "email_verified": {"essential": true},
     "picture": null,
     "http://example.info/claims/groups": null
    },
   "id_token":
    {
     "auth_time": {"essential": true},
     "acr": {"values": ["urn:mace:incommon:iap:silver"] }
    }
  }

*ユーザー情報エンドポイント [#k1d9c845]
-Final: OpenID Connect Core 1.0 incorporating errata set 1 > 5.3. UserInfo Endpoint~
http://openid.net/specs/openid-connect-core-1_0.html#UserInfo

**概要 [#i3f298f2]
-OAuth 2.0のResource ServerのWebAPI
-HTTP的には、HTTPS必須

***リクエスト [#y620d43e]
-HTTP の GET と POST メソッドをサポートする。

-UserInfoリクエストの一例を示す:
 GET /userinfo HTTP/1.1
 Host: server.exampletechinfoofmicrosofttech.osscons.jp
 Authorization: Bearer ・・・・・

***レスポンス [#k20c216c]
-UserInfoレスポンスは JSON オブジェクトとして返される。
--UserInfoクレームは JSON オブジェクトのメンバーとして返される。
--UserInfoレスポンスのクレームセットには、必ず sub (subject) クレームを含める。
--[[ユーザー属性クレーム群>#kb7212b1]]に加え、そこに明記されていないクレームも返却可能。
--Idp（OP）は要求された クレームの値を、必ずしも返さなくてもよい。
--クレームが返されない場合、null や空文字列ではなく、JSON オブジェクトのメンバーから除かれるべき。

-JWTによる署名 or 暗号化、若しくは、署名 and 暗号化を行う場合
--Claim は JWT で返されるため、Content-Type は application/jwtとする。
--署名する場合、subに加え、iss (issuer) Claim と aud (audience) Claim を含むべき。
--署名と暗号化の両方が要求された場合、レスポンスは [[JWT]] で定義されているように、~
結果はネストされた [[JWT]] となり、 署名した後に暗号化しなければならない。

-以下に UserInfoレスポンスの一例を示す:
  HTTP/1.1 200 OK
  Content-Type: application/json
  {
    "sub": "ユーザID 的 な情報",
    "name": "Jane Doe",
    "given_name": "Jane",
    "family_name": "Doe",
    "preferred_username": "j.doe",
    "email": "janedoe@techinfoofmicrosofttech.osscons.jp",
    "picture": "http://techinfoofmicrosofttech.osscons.jp/janedoe/me.jpg"
  }

-クライアントによるUserInfoレスポンスの検証
--TLS サーバー証明書チェックを通じてIdp（OP）を検証する。
--UserInfoレスポンスが[[JWT]]の場合、署名検証や復号化を行う。
--[[ID トークン>#ofb73c59]]とUserInfoクレームのsubが一致することを検証する必要がある。

**[[Discovery、Dynamic Client Registration>#h5793a09]]との関連 [#u39da1e3]
この仕様は、[[Discovery、Dynamic Client Registration>#h5793a09]]と関係がある。
-設定によって、[[ID トークン>#ofb73c59]]相当の情報が、[[JWT]] 形式もしくは [[JSON]] 形式で返される。
-設定によって、[[JWT]]の署名アルゴリズムも影響を受ける。

*OpenID Connectのシーケンス [#s55b276e]
STEP 0 は事前準備なので、STEP 1 からが実際の認証・認可のシーケンス。

**Webアプリ（Basic Client Profile） [#h438d001]
-Basic Client Profile：OAuth 2.0 Authorization Code Grantを拡張

-デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する (1/2) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html

-OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜~
OpenID Connect Authorization Code Flow~
http://www.slideshare.net/kura_lab/openid-connect-id/28

-OpenID Connect体験 - Qiita~
http://qiita.com/sonedazaurus/items/753a65186f1be7185b39

***STEP 0 : 事前準備（Idp（OP）にRPを登録） [#uc0ae497]
Idp（OP）にRPを登録し、

-アプリケーションID(client_id)
-シークレット(client_secret)

を入手する。

-参考
--Yahoo! JAPAN IDの登録ページ~
https://account.edit.yahoo.co.jp/registration
--アプリケーションIDの登録ページ~
https://e.developer.yahoo.co.jp/register

***STEP 1 : Authorization codeの取得 [#w6d2830e]
RPがIdp（OP）からAuthorization codeを取得。

-リクエスト
 https://・・・Idp（OP）のAuthorization code取得用のURL・・・?
     response_type=code+id_token
     &client_id={client_id}
     &redirect_uri=・・・RPのURL・・・
     &state=CSRF対策のランダム文字列
     &scope=openid+profile
     &nonce=リプレイアタック対策のランダム文字列

-パラメタ
|パラメータ|必須|説明|h
|response_type|○|「code」と「id_token」を指定|
|client_id|○|事前に準備したclient_idの値を指定|
|redirect_uri|○|アプリケーションID登録時のコールバックURLに入力したURLを指定|
|state||CSRF対策のランダム文字列を指定|
|scope|○|・openid：ユーザー識別子を取得（必須）&br;・profile：姓名・生年・性別が取得&br;・email：メールアドレスと確認済みフラグを取得&br;・address：ユーザー登録住所情報が取得|
|nonce|id_tokenを取得する際は必須|リプレイアタック対策のランダム文字列を指定|
|display||ユーザのUIを選択：&br;・page（PC用UI、デフォルト値）&br;・touch（スマートフォン用UI）&br;・wap（フィーチャーフォン用UI）&br;・inapp（ネイティブアプリ用UI）～|
|その他、Idp（OP）独自パラメタ||－|

-成功するとログイン/同意画面が表示される。~
一度同意すると、次回以降同意画面は省略される。

-ログイン/同意が完了する(もしくは事前にログイン、同意している)と、~
以下のようなURLで「・・・RPのURL・・・」にリダイレクトされる。
 http://・・・RPのURL・・・?code=xxxxxxxx&state=CSRF対策のランダム文字列

--”code=xxxxxxxx”が、Authorization codeなので保存する。
--”state=CSRF対策のランダム文字列”が、一致していることを確認する。

***STEP 2 : Access Token、ID Tokenの取得 [#ma165906]

-Tokenを取得する際は、POSTでリクエストを送信（HTTPリクエストのヘッダーやデータにTokenリクエストに必要な値を指定する必要がある）ため、CUIのcURLコマンドを使用して、Access Token、ID Tokenを取得する。

-cURLコマンドなどでリクエストする。
--Header:'Authorization: Basic {basicAuth}'
--URL:https://・・・Idp（OP）のAccess Token、ID Token取得用のURL・・・?grant_type=authorization_code&code=・・・&redirect_uri=・・・"
--
|パラメータ|必須|説明|h
|grant_type|○|authorization_code という固定文字列を指定|
|code|○|Authorization codeを指定、リクエスト送信後は使用できなくなる。|
|redirect_uri|○|STEP 1 のredirect_uriで指定したURLを入力。|

--基本認証が必要になる。
---アプリケーションID(client_id)
---シークレット(client_secret)
---上記を":"区切りで結合しBase64文字列化

-以下の様なレスポンスが返る。
 {
     "access_token":"{ヘッダー部}.{ペイロード部}.{シグネチャー部}",
     "token_type":"bearer",
     "expires_in":"3600",
     "refresh_token":"・・・",
     "id_token":"・・・"
 }

***STEP 3 : [[ID トークン>#ofb73c59]]の正当性の検証 [#a2c91dd5]
"access_token"の

-{ヘッダー部}を取り出して、base64デコード。~
 {
     "typ":"JWT",
     "alg":"HS256"
 }
--typ:JWT（JSON Web Token）
--alg:HMAC-SHA256（署名に使用したハッシュ）

-{ペイロード部}を取り出して、base64デコード。
 {
     "iss":"https:\/\/・・・Access Tokenの発行元URL・・・",
     "user_id":"ユーザー識別子",
     "aud":"アプリケーションID(client_id)と一致する値",
     "iat":IDトークンの発行時刻,
     "exp":IDトークンの有効期限,
     "nonce":"STEP 1 のnonceと一致する値"
 }

-署名の検証
--"{ヘッダー部}.{ペイロード部}"を使用して,alg:HMAC-SHA256でバイナリ形式でハッシュ化。
--それをBase64文字列化した文字列が"{シグネチャー部}"と一致していることを確認する。

***STEP 4 : 属性情報の取得 [#v5e6dad3]
-RPがIdP（OP）で認証したユーザ属性情報を取得する。
-ここで、準備、STEP 0-3 で取得したAccess Tokenを使う。

-[[ユーザー情報エンドポイント>#k1d9c845]]に、以下の形式でAccess Tokenを渡す。
--Header:'Authorization: Bearer {access_token}'
--URL:https://・・・ユーザ属性情報の発行元URL・・・?schema=openid

-以下のユーザ属性情報を含んだクレームが取得できる。
 {
     "user_id":"・・・",
     "name":"・・・",
     "given_name":"・・・",
     "given_name#ja-Kana-JP":"・・・",
     "given_name#ja-Hani-JP":"・・・",
     "family_name":"・・・",
     "family_name#ja-Kana-JP":"・・・",
     "family_name#ja-Hani-JP":"・・・",
     "gender":"male or female",
     "birthday":"YYYY",
     "locale":"ja-JP,etc."
 }

**モバイルアプリ（Implicit Client Profile） [#v2c717b3]
-Implicit Client Profile：OAuth 2.0 Implicit Grantを拡張

-参考
--デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する (2/2) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1209/27/news138_2.html

-Webアプリ（Basic Client Profile）との違い
--STEP 0は、前提の違いによる差異。
--STEP 1以降は、[[Implicit Flow>#e7adf5c2]]がベースとなっている。

***STEP 0 : Discovery & Dynamic Client Registration [#l8e54863]
IdP（OP）探索と動的なRP登録

-「○○のIDでログイン」というリンクを選択する替わりに、~
次の2種類の値をIdP（OP）特定（Discovery）のためのヒントとして利用できる。
--メールアドレス~
例 : ritou@openidconnect.info
--OP URL~
例 : https://openidconnect.info

-動的なRP登録~
RP登録用エンドポイントにPOSTリクエストを送ることで、~
動的なRP登録（Dynamic Client Registration）もできる。

結果的に、OPからRP識別のための“cient_id”がレスポンスされる。

***STEP 1 : Authorization Request [#q48280b8]
認可リクエスト

***STEP 2 : Authorization Response [#g13ce252]
認可応答

***STEP 3 : ID Token Verification [#b8e5b481]
[[ID トークン>#ofb73c59]]の検証

***STEP 4 : Accessing to UserInfo Endpoint [#c0d0225d]
[[ユーザー情報エンドポイント>#k1d9c845]]へのアクセス

*参考 [#p95f33f1]
-Final: OpenID Connect Core 1.0 incorporating errata set 1
--http://openid.net/specs/openid-connect-core-1_0.html
--https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html

-超速習 OpenID Connect - Qiita~
http://qiita.com/sylph01/items/208ae313c03426feedc1

-第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場~
https://www.ogis-ri.co.jp/otc/hiroba/technical/openid-connect/chap1.html

-デジタル・アイデンティティ技術最新動向（4）：「OpenID Connect」を理解する - ＠IT
--http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
--http://www.atmarkit.co.jp/ait/articles/1209/27/news138_2.html

-[前編] IDトークンが分かれば OpenID Connect が分かる - Qiita~
http://qiita.com/TakahikoKawasaki/items/8f0e422c7edd2d220e06

-OpenID Connectはそんなに大変かね？ - OAuth.jp~
http://oauth.jp/blog/2016/02/24/is-openid-connect-far-from-oauth2/

-エンタープライズITでのOpenID Connect利用ガイドライン~
http://www.slideshare.net/tkudo/openid-connect-for-enterprise

**OpenID Foundation [#z4c28dbb]
-OpenID Connect | OpenID~
http://openid.net/connect/
--Final: OpenID Connect Core 1.0 incorporating errata set 1~
http://openid.net/specs/openid-connect-core-1_0.html
---Final: OpenID Connect Discovery 1.0 incorporating errata set 1~
https://openid.net/specs/openid-connect-discovery-1_0.html
---Final: OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1~
https://openid.net/specs/openid-connect-registration-1_0.html

-公開資料 | OpenID ファウンデーション・ジャパン~
http://www.openid.or.jp/document/
--OpenID Foundation Japan - 翻訳・教育 Working Group~
https://openid-foundation-japan.github.io/
---Final: OpenID Connect Core 1.0 incorporating errata set 1~
https://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html
---Draft: OpenID Connect Basic Client Implementer's Guide 1.0 - draft 37~
https://openid-foundation-japan.github.io/openid-connect-basic-1_0.ja.html
---Draft: OpenID Connect Implicit Client Implementer's Guide 1.0 - draft 20~
https://openid-foundation-japan.github.io/openid-connect-implicit-1_0.ja.html

***Client Implementer's Guide [#c4eeb3ab]
WebアプリケーションのClientに当該フローを実装する場合の実装ガイド。

-OpenID Connect Client Implementer's Guide
--Basic Client Profile~
http://openid.net/specs/openid-connect-basic-1_0.html
>OAuth 2.0 Authorization Code Grantを拡張

--Implicit Client Profile~
http://openid.net/specs/openid-connect-implicit-1_0.html
>OAuth 2.0 Implicit Grantを拡張

***関連仕様 [#h5793a09]
-Discovery~
http://openid.net/specs/openid-connect-discovery-1_0.html
>メールアドレスやURLからユーザが利用しているIdp（OP）を特定する方法

-Dynamic Client Registration~
http://openid.net/specs/openid-connect-registration-1_0.html
>（Discoveryで発見したIdp（OP）に、）動的なRP登録を行う方法

-Session Management~
http://openid.net/specs/openid-connect-session-1_0.html
>Idp（OP）上でユーザーがログアウトしたときにRP側から検知する方法など、セッション管理の方法

-[[応答タイプ (response_type)、応答モード (response_mode)>OAuth#m0985cde]]

**IdM実験室 [#l12e411e]

***WIF [#p153dc92]

-IdM実験室 WIF Extension for OAuth を使って OpenID Connect を体験~
http://idmlab.eidentity.jp/2012/03/wif-extension-for-oauth-openid-connect.html

WIF Extension for OAuthは古い？

***OWIN [#x00c009d]
Microsoft.Owin.Security.OpenIdConnect

-IdM実験室: [AAD/ASP.NET]

--OpenID Connectを使ってAADでログオンする~
http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaad.html
---Ad（microsoftの方）のOpenId Connect対応~
http://www.slideshare.net/naohiro.fujie/admicrosoftopen-id-connect

--（続）OpenID Connectを使ってAADでログオンする～response_mode=fragment編~
http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaadresponsemode.html

***ADFS [#hcd0bd22]
-IdM実験室: [AD FS]OpenID Connectに対応した次期AD FSを試す~
http://idmlab.eidentity.jp/2015/08/ad-fsopenid-connectad-fs.html

**[[Microsoft Azure Active Directory]] [#if197a37]

*OpenId Connectのサンプル [#l2d6ff73]
**Microsoft.Owin.Security.OpenIdConnect [#i4f26644]
AzureADに対して、OpenId Connectを使用して認証する。

https://github.com/OpenTouryoProject/SampleProgram/tree/master/ASPNET/OpenID_Connect/

***サンプル・アプリケーションをAzure Active Directoryに登録 [#m0e0f2c0]

+Azureの管理ポータルにサインイン。
+Azure Active Directoryのタブを開く。
+サンプル・アプリケーションを登録するテナント（ドメイン）を開く。
+[Applications]タブに移動し、ページの下部の[Add]アイコンををクリック。
+[What do you want to do?]画面で[Add an application my organization is developing]を選択。
+[Tell us about your application]画面が表示される。
++アプリケーションの名前を入力（例：OpenIDConnect_sample）。
++[Web Application and / or Web API]を選択する。
++[Next]をクリックする。
+[App properties]画面が表示される。
++サンプルのサインオンURLを入力（例：https://localhost:xxxxxx/）~
サンプル・プロジェクトのプロパティにある開発サーバのSSL URLプロパティを指定~
http://www.codeproject.com/Tips/766918/Visual-Studio-Use-HTTPS-SSL-On-Web-Application-Pro
++アプリのID URIを入力（例：https://<your_tenant_name>/OpenIDConnect_sample）~
'<your_tenant_name>はAzure ADのテナント（ドメイン）名。
++[Complete]をクリック。

***サンプル・アプリケーションの構成 [#a7737c8d]
+web.configファイルを開く。
+FxTenantにAzure ADのテナント（ドメイン）名を指定（例：xxxxx.onmicrosoft.com）
+FxClientId にAzureのポータルから入手することができるClient IDを指定
++クライアントIDを取得するには、
++Azureの管理ポータルにサインイン。
++Azure Active Directoryのタブを開く。
++サンプル・アプリケーションを登録したテナント（ドメイン）を開く。
++[Applications]タブに移動しサンプル・アプリケーションを選択。
++アプリケーション画面で[ACCESS WEB APIS IN OTHER APPLICATIONS]を選択。
++Client IDをコピー。
+FxPostLogoutRedirectUriにサンプルのサインオンURLを入力（例：https://localhost:xxxxxx/）

***サンプル・アプリケーションの実行 [#t8486caa]
F5実行でリダイレクトされた先のAzure AD（STS）で認証できることを確認する。

----
Tags: [[:認証基盤]], [[:クレームベース認証]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.082 sec.