OpenID Connect のバックアップ(No.7)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OpenID Connect へ行く。
  • 1 (2016-01-14 (木) 13:18:28)
  • 2 (2016-01-14 (木) 13:25:53)
  • 3 (2016-01-22 (金) 14:52:48)
  • 4 (2016-01-22 (金) 19:04:09)
  • 5 (2016-01-26 (火) 13:36:02)
  • 6 (2016-01-27 (水) 16:42:02)
  • 7 (2016-02-18 (木) 16:58:43)
  • 8 (2016-02-25 (木) 07:54:46)
  • 9 (2016-03-09 (水) 12:47:56)
  • 10 (2016-03-10 (木) 12:01:12)
  • 11 (2016-04-09 (土) 20:56:02)
  • 12 (2016-12-12 (月) 11:52:17)
  • 13 (2017-01-04 (水) 15:46:11)
  • 14 (2017-01-06 (金) 23:32:03)
  • 15 (2017-01-07 (土) 16:20:43)
  • 16 (2017-01-07 (土) 23:26:07)
  • 17 (2017-01-07 (土) 23:39:36)
  • 18 (2017-01-13 (金) 20:08:46)
  • 19 (2017-01-15 (日) 13:54:11)
  • 20 (2017-03-03 (金) 21:41:57)
  • 21 (2017-05-08 (月) 12:01:35)
  • 22 (2017-05-26 (金) 10:23:18)
  • 23 (2017-05-26 (金) 16:20:42)
  • 24 (2017-05-26 (金) 18:04:13)
  • 25 (2017-05-29 (月) 10:53:51)
  • 26 (2017-07-14 (金) 21:28:20)
  • 27 (2017-07-16 (日) 13:33:23)
  • 28 (2017-10-20 (金) 14:53:23)
  • 29 (2017-10-23 (月) 09:34:08)
  • 30 (2017-11-14 (火) 11:11:51)
  • 31 (2017-12-12 (火) 10:34:56)
  • 32 (2017-12-12 (火) 19:48:29)
  • 33 (2017-12-13 (水) 11:43:46)
  • 34 (2017-12-18 (月) 21:49:37)
  • 35 (2017-12-19 (火) 10:51:17)
  • 36 (2017-12-20 (水) 14:54:45)
  • 37 (2018-01-24 (水) 16:46:00)
  • 38 (2018-01-24 (水) 18:09:32)
  • 39 (2018-01-26 (金) 11:05:36)
  • 40 (2018-02-04 (日) 14:18:07)
  • 41 (2018-03-05 (月) 10:57:20)
  • 42 (2018-03-16 (金) 20:37:10)
  • 43 (2018-03-16 (金) 21:42:48)
  • 44 (2018-03-17 (土) 16:59:43)
  • 45 (2018-03-22 (木) 10:09:48)
  • 46 (2018-07-31 (火) 14:08:53)
  • 47 (2018-08-20 (月) 13:38:12)
  • 48 (2018-08-21 (火) 20:16:27)
  • 49 (2018-08-27 (月) 14:32:52)
  • 50 (2018-10-09 (火) 14:50:43)
  • 51 (2018-10-09 (火) 17:53:43)
  • 52 (2018-10-09 (火) 20:36:14)
  • 53 (2018-10-09 (火) 22:16:24)
  • 54 (2018-10-10 (水) 12:00:43)
  • 55 (2018-10-10 (水) 16:29:58)
  • 56 (2018-10-10 (水) 18:16:26)
  • 57 (2018-10-11 (木) 12:34:54)
  • 58 (2018-10-11 (木) 21:28:26)
  • 59 (2018-10-12 (金) 10:53:46)
  • 60 (2018-10-12 (金) 16:55:11)
  • 61 (2018-10-12 (金) 17:19:33)
  • 62 (2018-10-16 (火) 19:20:27)
  • 63 (2018-10-16 (火) 20:35:52)
  • 64 (2018-12-18 (火) 11:22:01)
  • 65 (2019-02-05 (火) 21:08:52)
  • 66 (2019-03-25 (月) 10:31:21)
  • 67 (2019-07-04 (木) 11:53:54)
  • 68 (2019-08-26 (月) 09:25:05)
  • 69 (2019-08-28 (水) 19:38:32)
  • 70 (2020-01-08 (水) 10:13:34)
  • 71 (2020-02-23 (日) 15:50:54)
  • 72 (2020-07-02 (木) 18:27:14)
  • 73 (2021-02-08 (月) 19:55:04)
  • 74 (2021-07-14 (水) 03:02:33)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

• OpenID 2.0のプロトコルを引き継ぐことをせず、
  OAuth 2.0を拡張して、OpenID 2.0を置き換えたもの。

• NIST SP 800-63-1で定義されている全ユーザ認証要件（LoA）への対応が可能。
  金融システムや電子政府／行政システムにも利用できることを意味している。

設計思想 †

• 簡単なことは簡単に
• 難しいことも可能に
• モジュラーデザイン

モジュラーデザイン †

ユースケースに対応するため、

• 複数の仕様から成り立っており、
• それらをモジュール的に組み合わせることで

多様な環境をサポートできる。

仕様一覧 †

OAuth 2.0に認証結果とプロフィールの受渡し機能を追加 †

OAuth 2.0に認証結果とプロフィールの受渡し機能のみを追加した仕様

• Basic Client Profile
  http://openid.net/specs/openid-connect-basic-1_0.html

  OAuth 2.0 Authorization Code Grantを拡張

• Implicit Client Profile
  http://openid.net/specs/openid-connect-implicit-1_0.html

  OAuth 2.0 Implicit Grantを拡張

OpenID Connectのコアな機能（難しいことも可能に） †

リクエスト内の細かいクレーム指定や認証コンテキストの指定

• Messages
  http://openid.net/specs/openid-connect-messages-1_0.html

  OAuth 2.0に追加で必要となるメッセージの使用

• Standard
  http://openid.net/specs/openid-connect-standard-1_0.html

  Messagesの内容をHTTPに落とし込んだHTTPバインディング仕様

関連仕様 †

• Discovery
  http://openid.net/specs/openid-connect-discovery-1_0.html

  メールアドレスやURLからユーザが利用しているOPを特定する方法

• Dynamic Client Registration
  http://openid.net/specs/openid-connect-registration-1_0.html

  動的なRP登録を行う方法

• Session Management
  http://openid.net/specs/openid-connect-session-1_0.html

  Idp（OP）上でユーザーがログアウトしたときにRP側から検知する方法など、セッション管理の方法

３つの認証のシーケンス †

Authorization Code Flow †

以下で説明しているシーケンス

Implicit Flow †

ネイティブアプリやJavaScriptが使用するシーケンス。

• Yahoo! ID連携Implicitフロー - Yahoo!デベロッパーネットワーク
  http://developer.yahoo.co.jp/yconnect/client_app/implicit/

Hybrid Flow †

SAMLやOpenID Connectの組合せのシーケンス？

OpenIDトークン（クレーム） †

• 以下の値を含むデータをエンコードして署名を付けたもの。
  • 発行元のIdp（OP）識別子
  • 発行先のRP識別子（client_id）
  • ユーザー識別子
  • 発行日時

• 仕様全体を通してメッセージ形式にJSONを採用。

• クレームの扱いについて次のような機能を定義している。
  • 外部クレームの提供
    • 集約クレーム（Aggregated Claims）
    • 分散クレーム（Distributed Claims）
  • クレームの暗号化（Encrypted Claims）

外部クレーム †

Idp（OP）は、扱うクレームの内容によって、

• 集約クレーム
• 分散クレーム

どちらを利用すべきかを判断する必要がある。

集約クレーム †

• 別のIdp（OP）が持つクレームを署名付きで提供すること。

• RPからリクエストを受けたIdp（OP）は、事前に取得していた、
  もしくは動的に取得した別のIdp（OP）のクレームをレスポンスに含む。

一定期間変更されないことが保証されており
キャッシュの効果があるものは集約クレーム。

分散クレーム †

クレームそのものではなく、問い合わせ先のURLを扱う。

• Publicなクレームの場合
  • エンドポイントのURL

• ユーザー認可が必要な場合
  • エンドポイントのURL
  • OAuth 2.0のアクセストークン

をレスポンスに含む。

頻繁に更新されるものは分散クレーム。

クレーム暗号化 †

クレーム（JSONデータ）の

• 署名作成（JWS）
• 暗号化（JWE）

の方法は、IETFのJOSE WGにて仕様が策定されている。

• Javascript Object Signing and Encryption (jose)
  http://datatracker.ietf.org/wg/jose/

JSON Web Signature（JWS） †

JSON Web Encryption（JWE） †

JSONデータで表現されたクレームを、

• Idp（OP）：暗号化する。
• Idp（OP）：RPにリダイレクトして渡す。
• RP：復号化する。

OpenID Connectのシーケンス †

STEP 0 は事前準備なので、STEP 1 からが実際の認証・認可のシーケンス。

Webアプリ †

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  OpenID Connect Authorization Code Flow
  http://www.slideshare.net/kura_lab/openid-connect-id/28

• OpenID Connect体験 - Qiita
  http://qiita.com/sonedazaurus/items/753a65186f1be7185b39

STEP 0 : 事前準備（Idp（OP）にRPを登録） †

Idp（OP）にRPを登録し、

• アプリケーションID(client_id)
• シークレット(client_secret)

を入手する。

• 参考
  • Yahoo! JAPAN IDの登録ページ
    https://account.edit.yahoo.co.jp/registration
  • アプリケーションIDの登録ページ
    https://e.developer.yahoo.co.jp/register

STEP 1 : Authorization codeの取得 †

RPがIdp（OP）からAuthorization codeを取得。

• リクエスト

  https://・・・Idp（OP）のAuthorization code取得用のURL・・・?
  response_type=code+id_token
  &client_id={client_id}
  &redirect_uri=・・・RPのURL・・・
  &state=CSRF対策のランダム文字列
  &scope=openid+profile
  &nonce=リプレイアタック対策のランダム文字列

• パラメタ

  パラメータ	必須	説明
  response_type	○	「code」と「id_token」を指定
  client_id	○	事前に準備したclient_idの値を指定
  redirect_uri	○	アプリケーションID登録時のコールバックURLに入力したURLを指定
  state		CSRF対策のランダム文字列を指定
  scope	○	・openid：ユーザー識別子を取得（必須） ・profile：姓名・生年・性別が取得 ・email：メールアドレスと確認済みフラグを取得 ・address：ユーザー登録住所情報が取得
  nonce	id_tokenを取得する際は必須	リプレイアタック対策のランダム文字列を指定
  display		ユーザのUIを選択： ・page（PC用UI、デフォルト値） ・touch（スマートフォン用UI） ・wap（フィーチャーフォン用UI） ・inapp（ネイティブアプリ用UI）～
  その他、Idp（OP）独自パラメタ		－

• 成功するとログイン/同意画面が表示される。
  一度同意すると、次回以降同意画面は省略される。

• ログイン/同意が完了する(もしくは事前にログイン、同意している)と、
  以下のようなURLで「・・・RPのURL・・・」にリダイレクトされる。

  http://・・・RPのURL・・・?code=xxxxxxxx&state=CSRF対策のランダム文字列

• ”code=xxxxxxxx”が、Authorization codeなので保存する。
• ”state=CSRF対策のランダム文字列”が、一致していることを確認する。

STEP 2 : Access Token、ID Tokenの取得 †

• Tokenを取得する際は、POSTでリクエストを送信（HTTPリクエストのヘッダーやデータにTokenリクエストに必要な値を指定する必要がある）ため、CUIのcURLコマンドを使用して、Access Token、ID Tokenを取得する。

• cURLコマンドなどでリクエストする。
  • Header:'Authorization: Basic {basicAuth}'
  • URL:https://・・・Idp（OP）のAccess Token、ID Token取得用のURL・・・?grant_type=authorization_code&code=・・・&redirect_uri=・・・"

    パラメータ	必須	説明
    grant_type	○	authorization_code という固定文字列を指定
    code	○	Authorization codeを指定、リクエスト送信後は使用できなくなる。
    redirect_uri	○	STEP 1 のredirect_uriで指定したURLを入力。

• 基本認証が必要になる。
  • アプリケーションID(client_id)
  • シークレット(client_secret)
  • 上記を":"区切りで結合しBase64文字列化

• 以下の様なレスポンスが返る。

  {
  "access_token":"{ヘッダー部}.{ペイロード部}.{シグネチャー部}",
  "token_type":"bearer",
  "expires_in":"3600",
  "refresh_token":"・・・",
  "id_token":"・・・"
  }

STEP 3 : IDトークンの正当性の検証 †

"access_token"の

• {ヘッダー部}を取り出して、base64デコード。
  

  {
  "typ":"JWT",
  "alg":"HS256"
  }

  • typ:JWT（JSON Web Token）
  • alg:HMAC-SHA256（署名に使用したハッシュ）

• {ペイロード部}を取り出して、base64デコード。

  {
  "iss":"https:\/\/・・・Access Tokenの発行元URL・・・",
  "user_id":"ユーザー識別子",
  "aud":"アプリケーションID(client_id)と一致する値",
  "iat":IDトークンの発行時刻,
  "exp":IDトークンの有効期限,
  "nonce":"STEP 1 のnonceと一致する値"
  }

• 署名の検証
  • "{ヘッダー部}.{ペイロード部}"を使用して,alg:HMAC-SHA256でバイナリ形式でハッシュ化。
  • それをBase64文字列化した文字列が"{シグネチャー部}"と一致していることを確認する。

STEP 4 : 属性情報の取得 †

• RPがIdP（OP）で認証したユーザ属性情報を取得する。
• ここで、準備、STEP 0-3 で取得したAccess Tokenを使う。

• UserInfoAPIに、以下の形式でAccess Tokenを渡す。
  • Header:'Authorization: Bearer {access_token}'
  • URL:https://・・・ユーザ属性情報の発行元URL・・・?schema=openid

• 以下のユーザ属性情報を含んだクレームが取得できる。

  {
  "user_id":"・・・",
  "name":"・・・",
  "given_name":"・・・",
  "given_name#ja-Kana-JP":"・・・",
  "given_name#ja-Hani-JP":"・・・",
  "family_name":"・・・",
  "family_name#ja-Kana-JP":"・・・",
  "family_name#ja-Hani-JP":"・・・",
  "gender":"male or female",
  "birthday":"YYYY",
  "locale":"ja-JP,etc."
  }

• IdM実験室 Bearer Token とは？
  http://idmlab.eidentity.jp/2013/09/bearer-token.html

モバイルアプリ †

• デジタル・アイデンティティ技術最新動向（4）：
  「OpenID Connect」を理解する (2/2) - ＠IT
  http://www.atmarkit.co.jp/ait/articles/1209/27/news138_2.html

STEP 1以降のモバイルアプリにおける差異が不明だった。

STEP 0 : Discovery & Dynamic Client Registration †

IdP（OP）探索と動的なRP登録

• 「○○のIDでログイン」というリンクを選択する替わりに、
  次の2種類の値をIdP（OP）特定（Discovery）のためのヒントとして利用できる。
  • メールアドレス
    例 : ritou@openidconnect.info
  • OP URL
    例 : https://openidconnect.info

• 動的なRP登録
  RP登録用エンドポイントにPOSTリクエストを送ることで、
  動的なRP登録（Dynamic Client Registration）もできる。

結果的に、OPからRP識別のための“cient_id”がレスポンスされる。

STEP 1 : Authorization Request †

認可リクエスト

STEP 2 : Authorization Response †

認可応答

STEP 3 : ID Token Verification †

IDトークンの検証

STEP 4 : Accessing to UserInfo? Endpoint †

UserInfo?エンドポイントへのアクセス

参考 †

• なぜOpenID Connectが必要となったのか、その歴史的背景
  http://www.slideshare.net/tkudo/openid-connect-devlove?next_slideshow=1

IdM実験室 †

WIF †

• IdM実験室 WIF Extension for OAuth を使って OpenID Connect を体験
  http://idmlab.eidentity.jp/2012/03/wif-extension-for-oauth-openid-connect.html

WIF Extension for OAuthは古い？

OWIN †

Microsoft.Owin.Security.OpenIdConnect?

• IdM実験室: [AAD/ASP.NET] OpenID Connectを使ってAADでログオンする
  http://idmlab.eidentity.jp/2014/05/aadaspnet-openid-connectaad.html
• Ad（microsoftの方）のOpenId? Connect対応
  http://www.slideshare.net/naohiro.fujie/admicrosoftopen-id-connect

ADFS †

• IdM実験室: [AD FS]OpenID Connectに対応した次期AD FSを試す
  http://idmlab.eidentity.jp/2015/08/ad-fsopenid-connectad-fs.html

サンプル †

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.134 sec.