- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-08-08T16:47:34+09:00","default:k1rou","k1rou")
*OpenID Connect [#vc861686]
**OIDC とは [#u5bb708c]
-略語は「OIDC」。
-[[認証]]と[[認可]]と属性取得の技術で構成されている。
--[[認証]]は、[[JSON Web Token]]
--[[認可]]は、[[OAuth2.0]]
--属性取得は、属性情報取得APIの仕様
-認可の仕様([[OAuth2.0]])をベースに、認証の仕様([[OpenID]])を加え、属性取得もできるようにしたもの。
-[[REST]] APIライクな[[JSON]](使用技術)
-コンシューマ系で採用されている。
-[[野村総合研究所]]、[[Google]]を中心に開発を開始した。
-2014年2月に最終承認された。
**OIDCの仕様 [#z9bbe46e]
***ロール(登場人物) [#v66bc1a3]
-エンドユーザ (User)
-リライングパーティ (RP)
--IdPの認証結果を受け取るアプリケーション
--事前にIdPに登録する必要がある。
-IDプロバイダー (IdP)
--OpenIDプロバイダー (OP)
--IDトークンとアクセストークンを発行する
-UserInfoエンドポイント
--エンドユーザのプロフィール情報をRPに提供する
***エンドポイント [#ife9f8d9]
-認可エンドポイント
-トークンエンドポイント
-リダイレクションエンドポイント
-ユーザーインフォエンドポイント
***スコープ [#f527332c]
-UserInfoエンドポイントから取得する情報
--openid ※必須
--profile
--email
--address
--phone
***トークン [#r48938d6]
-IDトークン
--IdPがRPに対して発行する
--RPはIDトークンを使ってエンドユーザを認証する
--トークンに含まれる情報:ユーザID、有効期限、発行者・受領者、トークンの形式・署名方法、署名
--トークンの形式:[[JWS]](署名付き[[JWT]])
-アクセストークン
--認可情報
-認可コード
-リフレッシュトークン
***フロー [#uea75fbd]
-認可コードフロー
--Authorization Code Flow
--[[OAuth2.0]]の認可コードグラント
--サーバサイドで認証
--コンフィデンシャルクライアント(RP)向け
-インプリシットフロー
--Implicit Flow
--[[OAuth2.0]]のインプリシットグラント
--パブリッククライアント向け
--クライアントサイドで認証
--リフレッシュトークンの発行が禁止されている
-ハイブリッドフロー
--Hybrid Flow
--認可コードフローとインプリシットフローのハイブリッドなフロー
--サーバサイド・クライアントサイドの両方で認証
**OIDCの仕様・プロトコル [#zb80fbb4]
-OpenID Foundation 標準
-※元々は以下の部分規格に分かれていた。
--OpenID Connect Core
--OpenID Connect Discovery
--OpenID Connect Dynamic Registration
--OAuth 2.0 Multiple Response Type Encoding Practices
-※策定中の規格
--OpenID 2.0 to Connect Migration
--OpenID Form POST binding
--OpenID Connect Session Management
-※関連する別規格(IETF OAuth WG)
--[[JSON Web Token]]([[JWT]])
-※関連する別規格(IETF JOSE WG)
--JSON Web Signature(JWS)
--JSON Web Encryption(JWE)
--JSON Web Algorithms(JWA)
--JSON Web Key(JWK)
-※関連する別規格(IETF Apps WG)
--[[WebFinger]]
**OIDCの実装 [#na6223de]
***Webサービス [#tdedeb18]
-Google
-Microsoft
-Salesforce
-Mixi
-Yahoo!Japan
***OSS [#db7b586a]
-[[OpenAM]]
-[[Keycloak]]
-[[Gluu Server]]
**関連サイト [#ec917f68]
-OpenID Foundation Japan 公式サイト~
http://openid.ne.jp/
-OpenID Foundation 公式サイト(英語)~
https://openid.net/ ~
http://openid.net/connect/
-OpenID Connect Core 1.0 ドキュメント(最終版:英語)~
http://openid.net/specs/openid-connect-core-1_0.html
-OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1~
https://openid.net/specs/openid-connect-registration-1_0.html
-OpenID Connect Discovery 1.0 incorporating errata set 1~
https://openid.net/specs/openid-connect-discovery-1_0.html
-OpenID Connect入門 (Yahoo!デベロッパーネットワーク)~
https://www.slideshare.net/techblogyahoo/openid-connect-openid-technight-133177834
-Google Identity Platform >OpenID Connect (Google)~
https://developers.google.com/identity/protocols/OpenIDConnect
**関連用語 [#f4aabd9c]
-[[統合認証]]
-[[プライバシーバイデザイン]]
-[[CIBA]] -Client Initiated Backchannel Authentication
-[[CSRF]]
-[[Financial API]]
-[[ID連携]]([[フェデレーション]])
-[[JSON]]
-[[OAuth]]
-[[OpenID]]
-[[REST]]
-[[SAML]]
-[[SCIM]]
-[[Self Issued IdP]]
バックアップ