OpenID Connect の履歴(No.1)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OpenID Connect へ行く。
  • 1 (2021-11-14 (日) 21:02:27)
  • 2 (2021-11-15 (月) 09:42:44)
  • 3 (2022-10-08 (土) 16:18:13)

---

OpenID Connect†

OIDC とは†

• 略語は「OIDC」。
• 認証と認可と属性取得の技術で構成されている。
  • 認証は、JSON Web Token
  • 認可は、OAuth2.0
  • 属性取得は、属性情報取得APIの仕様

• 認可の仕様（OAuth2.0）をベースに、認証の仕様（OpenID）を加え、属性取得もできるようにしたもの。

• REST APIライクなJSON（使用技術）
• コンシューマ系で採用されている。
• 野村総合研究所、Googleを中心に開発を開始した。
• 2014年2月に最終承認された。

OIDCの仕様†

ロール(登場人物)†

• エンドユーザ (User)

• リライングパーティ (RP)
  • IdPの認証結果を受け取るアプリケーション
  • 事前にIdPに登録する必要がある。

• IDプロバイダー (IdP)
  • OpenIDプロバイダー (OP)
  • IDトークンとアクセストークンを発行する

• UserInfoエンドポイント
  • エンドユーザのプロフィール情報をRPに提供する

エンドポイント†

• 認可エンドポイント
• トークンエンドポイント
• リダイレクションエンドポイント
• ユーザーインフォエンドポイント

スコープ†

• UserInfoエンドポイントから取得する情報
  • openid ※必須
  • profile
  • email
  • address
  • phone

トークン†

• IDトークン
  • IdPがRPに対して発行する
  • RPはIDトークンを使ってエンドユーザを認証する
  • トークンに含まれる情報：ユーザID、有効期限、発行者・受領者、トークンの形式・署名方法、署名
  • トークンの形式：JWS(署名付きJWT)

• アクセストークン
  • 認可情報

• 認可コード

• リフレッシュトークン

フロー†

• 認可コードフロー
  • Authorization Code Flow
  • OAuth2.0の認可コードグラント
  • サーバサイドで認証
  • コンフィデンシャルクライアント(RP)向け

• インプリシットフロー
  • Implicit Flow
  • OAuth2.0のインプリシットグラント
  • パブリッククライアント向け
  • クライアントサイドで認証
  • リフレッシュトークンの発行が禁止されている

• ハイブリッドフロー
  • Hybrid Flow
  • 認可コードフローとインプリシットフローのハイブリッドなフロー
  • サーバサイド・クライアントサイドの両方で認証

OIDCの仕様・プロトコル†

• OpenID Foundation 標準
• ※元々は以下の部分規格に分かれていた。
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect Dynamic Registration
  • OAuth 2.0 Multiple Response Type Encoding Practices

• ※策定中の規格
  • OpenID 2.0 to Connect Migration
  • OpenID Form POST binding
  • OpenID Connect Session Management

• ※関連する別規格（IETF OAuth WG）
  • JSON Web Token（JWT）
• ※関連する別規格（IETF JOSE WG）
  • JSON Web Signature（JWS）
  • JSON Web Encryption（JWE）
  • JSON Web Algorithms（JWA）
  • JSON Web Key（JWK）
• ※関連する別規格（IETF Apps WG）
  • WebFinger

OIDCの実装†

Webサービス†

• Google
• Microsoft
• Salesforce
• Mixi
• Yahoo!Japan

OSS†

• OpenAM
• Keycloak
• Gluu Server

関連サイト†

• OpenID Foundation Japan 公式サイト
  http://openid.ne.jp/

• OpenID Foundation 公式サイト（英語）
  https://openid.net/
  http://openid.net/connect/

• OpenID Connect Core 1.0 ドキュメント（最終版：英語）
  http://openid.net/specs/openid-connect-core-1_0.html

• OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1
  https://openid.net/specs/openid-connect-registration-1_0.html

• OpenID Connect Discovery 1.0 incorporating errata set 1
  https://openid.net/specs/openid-connect-discovery-1_0.html

• OpenID Connect入門 (Yahoo!デベロッパーネットワーク)
  https://www.slideshare.net/techblogyahoo/openid-connect-openid-technight-133177834

• Google Identity Platform >OpenID Connect (Google)
  https://developers.google.com/identity/protocols/OpenIDConnect

関連用語†

• 統合認証
• プライバシーバイデザイン
• CIBA -Client Initiated Backchannel Authentication
• CSRF
• Financial API
• ID連携（フェデレーション）
• JSON
• OAuth
• OpenID
• REST
• SAML
• SCIM
• Self Issued IdP