🖕🏼 👰🏿 👩🏿‍⚕️ OpenID Connectの概要 👩🏼‍🎨 🌃 🧛🏽

ゆっくりですが必然的に、SAMLベースのSSOソリューションはOpenIDスタックソリューションに変わりつつあります。 最近、GoogleはOpenID Connectプロトコルのサポートをサーバーに実装しました。 あなたのプロジェクトがどれだけ受け入れられるか、そしてそれをどのように扱うかは、プロトコル仕様に従って評価するのはかなり困難です。 この決定は、仕様書の著者の1人によるブログに掲載された記事によって若干促進されるはずです。 理解を簡単にするために、いくつかのポイントが自分で追加されたので、使用されている技術へのリンクを読む必要はありませんでしたが、それらのいくつかに精通することをお勧めします。

OpenID Connect仕様を読むと、軽度の恐怖から完全な欲求不満まで、かなり不快な気持ちになります。これはすべて、「ドライ」仕様言語で記述されているために発生し、ほとんどの場合、境界ケース、例外などを記述しています。ただし、それらを通常の人間の言語に翻訳して特定のケースに切り替えると、すべてが明らかになります。それでは始めましょう！（Remarochka：テキストのほとんどは、David Recordonによって書かれた元の文と一致します。基本的に、私の編集は、パラメータ名と他の小さなものの一部にのみ影響しました）

OpenID Connectリクエストの作成

クライアントがOpenID Connectリクエストを作成するには、次のサーバー情報が必要です。

クライアント識別子 -認可サーバー上で自身を識別するためにクライアントに発行される一意の識別子。
クライアントシークレット -承認サーバーとクライアントの間で確立され、要求に署名するために使用される共有シークレットキー。
アドレス（エンドポイント、ただしこのコンテキストでは、エンドポイントとアドレスは同義です。次はアドレスです）ユーザー認証（ エンドユーザー認証エンドポイント ）- エンドユーザーを認証および認証できるサーバーリソースへのHTTPリクエストのURLアドレス。
トークン発行アドレス（ トークンエンドポイント ）-トークン発行を提供する許可サーバー上のリソース。
ユーザー情報エンドポイント -トークンを提示すると、現在のユーザーに関する情報を承認されたクライアントに返す保護されたリソース。
Check idエンドポイントは、クライアント識別子の提示時に署名を検証し、ユーザーのセッションに関する情報を返す安全なリソースです。（ 2012/3/3を削除：一般的なOAuthトークンイントロスペクションポイントとして返される場合があります ）

この情報は、クライアントの開発者、サーバーのドキュメントを読んでアプリケーションを事前登録すること、および検出と動的登録を実行することの両方によって取得できます。

クライアントは、トークンを受信するためにOAuth 2.0リクエストを作成します。

OAuth 2.0リクエストをOpenID Connectリクエストに変換するには、OpenIDキーを必要なデータセット（ scopeパラメーター）の1つとして追加するだけです。パラメータでOpenIDキーを設定することにより、クライアントはユーザーの識別子と認証コンテキストを要求します。ユーザープロファイルのURL、名前、または写真を取得する場合は、追加のデータセット（プロファイルなど）を要求できます。サーバー（およびユーザー）は、クライアントが利用できるプロファイル情報を選択できます。クライアントがユーザーのメールアドレスを取得したい場合、リクエストに「メール」キーを追加する必要があります。同じことが住所（住所）と電話（電話）にも当てはまります。

例：

GET /authorize?grant_type=token%20id_token&scope=openid%20proflie&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com

クライアントをサーバーに事前登録する必要はないかもしれませんが、サーバーには、ユーザー情報の要求に対するクライアントのさまざまな制限と要件がある可能性があります。

OpenID Connect応答の取得

ユーザーがクライアント要求によって承認された場合、クライアントはトークンを受け取ります。通常、 OAuth 2.0承認レスポンスには、 access_tokenとid_tokenの 2つのパラメーターが含まれます。 id_tokenの情報はエンコードされ、次のフィールドを持つJSONオブジェクトが含まれます。

aud（聴衆）-必須フィールド。このid_tokenが対象とするクライアント識別子（client_id）。
exp（終了）-必須フィールド。このトークンが受け入れられなくなるまでの時間。
sub-必須フィールド。ユーザー（サブジェクト）に対してローカルに一意であり、再割り当てされない識別子。たとえば、「24400320」または「AitOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4」。
iss（発行者）-必須フィールド。 HTTPSアドレス：発行者の完全修飾ホスト名を示すURI。user_idとともに、グローバルに一意で再割り当てされない識別子を作成します。たとえば、「 https://aol.com 」、「 https://google.com 」、または「 https://sakimura.org 」。
ノンスは必須フィールドです。リクエストで送信されたサーバーによって設定された値。

id_tokenパラメーターは、User-Agentストリーム（または他の信頼できないチャネル）を介してクライアントが受信したデータが変更されていないことを保証する簡単な方法を提供します。パラメータは、以前に高信頼チャネルを介して送信されたクライアントキーを使用して、サーバーによって署名されます。このエンコードは、 JSON Web Tokenと呼ばれます（ JWTの概要とドラフト仕様）。たとえば、次のような行があります。

 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

ドットで区切られた3つの部分で構成されています。

最初の部分はヘッダー（ヘッダー）です。これはBase64urlによってエンコードされ、アルゴリズムとトークンのタイプを記述するJSONオブジェクトです：

 { "alg": "HS256", "typ": "JWT" }

2番目の部分はペイロードであり、Base64urlでエンコードされたJSONオブジェクトでもあります。

 { "sub": "1234567890", "name": "John Doe", "admin": true }

サーバーは、次のように3番目の部分を受け取りました。

 __ (HS256) ( base64UrlEncode( ) + "." + base64UrlEncode( ), _ )

base64urlエンコーディングは、 base64とは異なり、他の2つの文字を使用し、インデントを含まないことに注意してください。

許可サーバーは、そのドメイン内でのみユーザーIDに関する確認を発行する必要があります。クライアントは、audがclient_idと一致し、issがclient_idの発行者のドメイン（サブドメインを含む）と一致することを確認する必要があります。許可サーバーは、独自のローカル名前空間を管理し、各user_idのローカル一意性と非再現性（再割り当てなし）を提供します。

クライアントがユーザーIDを保存するとき、タプルをuser_idから保存する必要があり、ローカルストレージにあります。 user_idパラメーターの長さは255 ASCII文字を超えてはなりません。

データの信頼性を検証するために、クライアントは署名を検証できます。クライアントが署名を検証しない場合、それを検証するために識別子検証ポイントへのHTTP要求を行う必要があります。 -なぜ彼がそれをすべきなのか少し理解できない

ユーザー情報へのアクセス（オプション）

ユーザー情報は、JSON形式のドキュメントとしてトークンとともに返される通常のOAuth 2.0リソースです。クライアントは、ユーザー情報を提供するためにアドレスでHTTPS「GET」リクエストを作成し、パラメータとしてトークンを含めます。

応答は、次の予約済みキー（jsonオブジェクト）の一部（またはすべて）を含むJSONオブジェクトです。

sub-たとえば、「AitOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4」。
profile-エンドユーザープロファイルページのURL
nameは、ユーザーの表示名です（例：「Nat Sakimura」）。
given_name-たとえば、「Nat」。
family_name-たとえば、「Sakimura」。
メール-たとえば、「sakimura@example.com」。
画像-たとえば、「 http://graph.facebook.com/sakimura/picture 」。

サーバーは、必要に応じて、予約済みのOpenID Connectキーを変更するまで、この応答に追加のデータ（ポータブル連絡先など）を追加できます。（注：より明確に定義されたキーがありますが、簡潔にするために、それらの説明は省略します。）

オープニング（オプション）

OpenID Connectを使用する場合、一般的なサービスを介して登録するためのボタン、またはメールアドレスまたはURLを入力するためのテキストフィールドがクライアントにある可能性があります。 OpenID ConnectはNASCARを直接解決しません

（NASCARの問題は、ログインしているWebサイトのブランドのバッジのミッシュマッシュに送信され、NASCARレースのトラックカーのスポンサー広告のログインページとステッカーのコラージュの類似性を強調しています）。

クライアントを開いて登録する手順の目的は、承認サーバーのアドレス、トークン発行ポイントの終了アドレス、クライアントID、クライアントシークレットを取得し、ユーザーデータAPIを取得することです。クライアントがサーバーに事前登録されている場合、この情報はすでにわかっています。そうでない場合、クライアントはオープニングフェーズを使用してそれらを取得する必要があります。

ユーザーがクライアントのボタンをクリックしてサーバーを選択します。この場合、クライアントの開発者は優先サーバーを選択できるため、認証アドレス（および、場合によってはその他の情報）を既に把握しています。クライアントは事前登録されている場合とされていない場合があります。

別のケースでは、ユーザー（またはユーザーに代わって行動するユーザーエージェント）がURLまたは電子メールアドレスを入力します。これを行うには、クライアントはディスカバリーを実行し、許可サーバーURLが有効かどうかを判別する必要があります。手順：

ユーザー入力を分析して、これが電子メールアドレスまたはURLであるかどうかを確認します。これがメールアドレスの場合、何もしません。スキームがない場合、HTTPSプロトコルを想定します。
さまざまな部分を再構築して、識別子を復元します。

例：

https://joe.example.com- > https://joe.example.com/

example.com-> https://example.com/

joe@example.com-> joe@example.com

ドメインを抽出し、 TLS / SSLを介してWebFingerを呼び出します。

WebFingerは、安全なチャネルを介して標準のHTTPメソッドを使用して、インターネット上の人々または他のエンティティに関する情報を受信するために使用されます。 WebFingerは、要求されたエンティティを記述するJSONオブジェクトを返します。

 GET /.well-known/webfinger?resource=acct%3Ajoe%40example.com&rel=http%3A%2F%2Fopenid.net%2Fspecs%2Fconnect%2F1.0%2Fissuer HTTP/1.1 Host: example.com HTTP/1.1 200 OK Content-Type: application/jrd+json { "subject": "acct:joe@example.com", "links": [{ "rel": "http://openid.net/specs/connect/1.0/issuer", "href": "https://server.example.com" }] }

特定のURLを取得するために、クライアントは「/.well-known/openid-configuration」を発行者に追加し、次のようにTLS / SSL経由で発行者構成ファイルを受け取ります。

 GET /.well-known/openid-configuration HTTP/1.1 Host: server.example.com

応答は、エンドポイントおよびその他の情報を含むJSONオブジェクトです。

例：

 { "authorization_endpoint": "https://server.example.com/connect/authorize", "issuer" : "https://server.example.com", "token_endpoint": "https://server.example.com/connect/token", "token_endpoint_auth_types_supported":["client_secret_basic", "private_key_jwt"], "userinfo_endpoint": "https://server.example.com/connect/user", "check_id_endpoint": "https://server.example.com/connect/check_id", "registration_endpoint": "https://server.example.com/connect/register" }

未登録の顧客と動的登録（オプション）

使用されているディスカバリメカニズムに関係なく、クライアントはサーバーに登録されている場合と登録されていない場合があります。サーバーは、クライアントが事前に登録されている（サービス利用規約への同意を意味する）か、クライアントが動的登録を使用するかに応じて、クライアントが受信できる情報に異なる制限を設定できます。

クライアントに有効なクライアント識別子とキーがない場合、POST要求の本文にJSON形式でリストされた要求パラメーターを使用して、サーバー登録アドレス（オープニングを参照）に対して次のHTTPS POST要求を行うことができます：redirect_uris-OpenID応答を受信するためのURLアドレスの配列。

例：

 POST /connect/register HTTP/1.1 Content-Type: application/json Accept: application/json Host: server.example.com { "redirect_uris": ["https://client.example.org/callback", "https://client.example.org/callback2"] }

サーバーは、リクエストに応答する前に、コールバックURLがこのOpenIDストリームの外部に登録されているかどうかを確認する必要があります。その場合、サーバーはエラーへの応答として情報を送信します。サーバーは、送信されたredirect_uriが動的登録要求中にクライアントの開発者によって事前登録されている場合に、このようなケースを処理するポリシーを開発する必要があります。このような動作は、たとえば、これらのredirect_uriを使用した動的登録の新しいリクエストがエラーにつながることを意味する場合がありますが、既に実装されている動的登録を使用するリクエストは、古くなるまで機能し続けます

動的な関連付けを提供するために、サーバーには次のJSON応答パラメーターが含まれます。

client_id-クライアント識別子。この値は、サーバーへの要求に対する応答ごとに変わる場合があります。
client_secret-クライアントキー。回答ごとに間違いなく変化します。
expires_at-1970-01-01T0からの秒数：0：0からclient_idおよびclient_secretが期限切れになるまでUTCまたは制限の法令がない場合は0
registration_client_uri-この登録データを管理するためのURI。
registration_access_token-registration_client_uriへのアクセスに使用されるトークン。

クライアントは、サーバートークンを使用するために動的登録データを保存する必要があります。動的登録ごとに、クライアントは、クライアント識別子、クライアントキー、有効期限、ユーザーURL、サポートされているストリーム、およびユーザー情報APIを保存する必要があります。終了時間は、絶対時間として保存するか、登録が永遠に続くことをマークする必要があります。

ご覧のとおり、OpenID Connect Webクライアントの基本的なプロセスは非常にシンプルで、最初に提案されたプロセスと同じくらい簡単です。同時に、追加の機能を使用できます。たとえば、デフォルトのセットではなく、特定のデータセットを要求します。これらの追加機能は、必要なときに使用でき、多数のOpenIDプロバイダーを使用しているお客様にとって、単純な対話を大きな問題に変えることはありません。

OpenID Connectの概要