The Latest Specs of OpenID Connect at #idcon 9

The Latest Specs of
OpenID Connect

@ritou
2011/7/8
Identity Conference #9

@ritou

• 秋田県在住
• 去年まで某ポータルサイトのログイン担当

•http://d.hatena.ne.jp/ritou
• OpenID Connect WG Contributer

2

はじめに

• 情報漏えい騒ぎ
– いまさらPWの使いまわしのリスクに注目
• いまこそOpenID/OAuthの出番？
• OpenID / OAuth へのネガティブな影響
– あるOPのパスワードが漏れたらRP/Clientまで
全部やられるね → orz
今こそ安全なAuthN/Zのしくみを提供してア
ピールすべき！

3

OpenIDとOAuth

• OpenID Auth 2.0 • OAuth 1.0a

• OpenID OAuth Extension

• OpenID v.Next • OAuth WRAP
– Artifact Binding (for • OAuth 2.0
Mobile etc...)

• OpenID Connect
4

OpenID Connect

• Authorization : OAuth 2.0 Base
• Authentication
• Attribute transmission
– UserInfo Endpoint
• Discovery
– JSON Based
• Dynamic Client Registration
• Session Management
– Refresh/Check/Logout 5

Latest Specs

• Core : Messages, Abstract flow
• Framework : Req/Res formats
• Discovery
• HTTP Redirect Binding : HTTP protocol
binding
• UserInfo
6

Latest Specs

• Core
– http://openid.net/specs/openid-connect-core-1_0.html
• Framework
– http://openid.net/specs/openid-connect-framework-
1_0.html
• Discovery
– http://openid.net/specs/openid-connect-discovery-
1_0.html
• HTTP Redirect Binding
– http://openid.net/specs/openid-connect-http-redirect-
7
1_0.html

Latest Specs

– http://openid.net/specs/openid-connect-session-
1_0.html
– http://openid.net/specs/openid-connect-registration-
1_0.html
• UserInfo
– http://openid.net/specs/openid-connect-userinfo-
1_0.html

8

Latest Specs

• Discovery
binding
• UserInfo
9

Latest Specs

• Discovery
binding
• UserInfo
10

GET /.well-known/simple-web-discovery

OpenID Connect Discovery

• Endpoint,メタデータをDiscoveryするしくみ
– Endpoints
– サポートしているFlow,Identifierの種類など
• HTTPS + GETでDiscovery用エンドポイントに
アクセス
• レスポンスフォーマットはJSONオブジェクト
– XRDよりも簡単！？

11


OpenID Connect Simple Web Discovery

• Discoveryに利用できるIdentifierは3種類
– Hostname
– Email
– URL
• OpenID Connectの最初の利用例
– Emailアドレスを入力(≒WebFinger）
– OP Identifierを入力(≒OpenID Auth 2.0）
– OpenID URLを入力(≒OpenID Auth 1.1）

12


• Request
GET
/.well-known/simple-web-discovery?
principal= joe@example.com&
service=http://openid.net/specs/connect/1.0/issuer
HTTP/1.1
Host: example.com

13


• Response
HTTP/1.1 200 O.K.
Content-Type: application/json
{ "locations":
["https://example.com/auth"]
}

別のURLへのリダイレクト指定も可能

14

Latest Specs

• Discovery
binding
• UserInfo
15

OpenID Connect
Dynamic Client Registration
• DiscoveryによりRegistration Endpointを
取得
• Registration EndpointにClient登録/更新
のリクエストを送る

16

OpenID Connect
• Request (HTTP POST, JSONオブジェクト)
– type : “client_associate”/“client_update”
– client_id
– client_secret
– contact : email list
– application_type, application_name
– logo_url, redirect_url, js_origin_url, jwk_url
– sector_identifier
@_nat JWTではないのでしょうか？
17

OpenID Connect
• Response (JSON object)
– client_id
– client_secret
– expires_in

18

Latest Specs

• Discovery
binding
• UserInfo
19

HTTP Redirect Binding

• OAuth 2.0のFlowにOpenID Connectの
Request/Responseパラメータを加える方法

20

Protocol Flows

• Authorization Code Flow
– ClientがWeb Serverとして動作
• Implicit Flow
– ClientがJavaScript, Flashなどで動作

21

Protocol Flows

• Authorization Code Flow
– ClientがWeb Serverとして動作
• Implicit Flow
– ClientがJavaScript, Flashなどで動作

22

Authorization Code Flow

End User Client AuthZ Resource
0. Clientにサービス要求 Server Server

1. Request準備
2. AuthZ ServerにRequestを送信

3. Authentication
4. Consent/Authorization
5. AuthZ CodeとともにUserを戻す

6. Assertion要求

7. Assertion応答
8. UserInfo Endpointにアクセス

23
9. 属性情報など応答



1. Request準備

3. Authentication

6. Assertion要求

7. Assertion応答

24

Requestの送り方は3種類

• Query Parameters Method
– クエリパラメータにそのまま含む
• Request Parameter Method
– OpenID Connect RequestをToken(文字列)
にしてrequestパラメータとして指定
• UserInfo/Session Management関連
• Request File Method
– JSONオブジェクトを返すURLを用意して、その
URLをパラメータに含む
25

Query Parameters Method

https://server.com/op/authorize?
response_type=token
&client_id=s6BhdRkqt3
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2E
com%2Fcb
&scope=openid
&state=af0ifjsldkj

26

Request Parameter Method

response_type=code
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2E
com%2Fcb
&scope=openid
&state=af0ifjsldkj
&request=jwt_header.jwt_payload.jwt_crypto

27

request パラメータ

• OpenID Connect リクエスト
– 下記機能についてのリクエスト
• UserInfo : 必要なクレーム、フォーマット
• Session Management : ID Tokenに含むクレーム、
PAPE関連のパラメータなど
• JSONオブジェクトを文字列として表現
– “jwt_header.jwt_payload.jwt_crypto”
• jwt_header : メタデータをBase64URLEnc
• jwt_payload : JSONオブジェクトをBase64URLEnc
• jwt_crypto : Signatureなど
28

Request File Method

• JSON オブジェクトを返すRequest URLを作
成
https://rp.example.com/rf.js
{
"response_type": "code",
"client_id": "s6BhdRkqt3",
"redirect_uri":
"https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb",
"scope": "openid",
"state": "af0ifjsldkj“
29
}

Request File Method

response_type=code
&state=af0ifjsldkj
&request_uri=https://rp.example.com/rf.js

モバイルでも使えるように512byteを超えてはいけない！

30



1. Request準備

2.5. Request File 取得
3. Authentication

6. Assertion要求

7. Assertion応答
31


Latest Specs

• Discovery
binding
• UserInfo
32

OpenID Connect Framework

• OAuth 2.0 に追加される OpenID
Connect独自リクエスト/レスポンス
• UserInfo エンドポイントで返されるClaim
• その他...

33

OpenID Request Object

• OpenID Connect リクエスト
– 下記機能についてのリクエスト
• UserInfo : 必要なクレーム、フォーマット
• Session Management : ID Tokenに含むクレーム、
PAPE関連のパラメータなど
• JSONオブジェクトを文字列として表現
– “jwt_header.jwt_payload.jwt_crypto”
• jwt_header : メタデータをBase64URLEnc
• jwt_payload : JSONオブジェクトをBase64URLEnc
• jwt_crypto : Signatureなど
34

OpenID Request Object
{

"inf":
{

"clm":
{ "name": null, "nickname": {"opt": true},
"email": null, "verified": null,
"picture": {"opt": true}, },
"fmt": "sig"
}

"idt":
{

"mxa": 86400,
"eaa": "2" 35

}

UserInfo Endpoint : Claims

• 下記の3種類のClaimを提供する
– Normal Claims : OPがAssertしたClaims
– Aggregated Claims : OPから返されるが、別
のOPがAssertしたClaims
• JWT形式
– Distributed Claims
• 別のOPのエンドポイントから返されるClaims
• endpoint, access_token

36



1. Request準備

3. Authentication

6. Assertion要求

7. Assertion応答

37

{
"name": "Jane Doe"
...
"_claim_names": { "birthday": "src1",
"eye_color": "src1",
"credit_score": "src3" },
"_claim_sources": {
"src1": {"JWT":
"JWT_hdr.JWT_claims.JWT_crypto"},
"src3": {"endpoint":
"https://creditagency.example.com/claimshere",
"access_token": "ksj3n283dke"} }
}
38

Latest Specs
• Discovery
binding
• UserInfo
39

OpenID Connect UserInfo

• FrameworkにあったNormal Claimsについ
ての定義
– Profileデータ
• Request
– access_token
– schema : “openid”

40

OpenID Connect UserInfo

• ResponseはJSONオブジェクト or JWT
– AuthZ Requestの際にJWT形式で指定

41

Latest Specs
• Discovery
binding
• UserInfo
42

OpenID Connect
Session Management
• ID Tokenを用いたセッション管理
– 現在誰がログイン中なのか確認する
– Client側からログアウトさせる
• ID Token : JWSを用いた署名付きクレーム
– issur
– client_id
– user_id
– audience
– exp
43

OpenID Connect
Session Management
• Creating Session : ID Token発行
– Authorization Request
• Clientはresponse_type に “id_token”を含む
– Access Token Response
• AuthZ ServerはAccess Tokenと一緒にid_tokenを
渡す

44

OpenID Connect
Session Management
• Session Management Endpoints
– Refresh Session : expireしたid_tokenの更新
– Check Session : id_tokenの内容取得
– End Session : Clientからのログアウト要求

45

最後に
• 仕様は日々更新中
http://lists.openid.net/mailman/listinfo/ope
nid-specs-ab

46

The Latest Specs of OpenID Connect at #idcon 9

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (10)

Ähnlich wie The Latest Specs of OpenID Connect at #idcon 9

Ähnlich wie The Latest Specs of OpenID Connect at #idcon 9 (20)

Mehr von Ryo Ito

Mehr von Ryo Ito (19)

Kürzlich hochgeladen

Kürzlich hochgeladen (8)

The Latest Specs of OpenID Connect at #idcon 9