7. OpenID Certified Mark取得しました
7
Yahoo! ID連携(Yahoo! ID Federation)は
OpenID Connect™ protocolのOP Basic,
OP Implicit, OP Hybrid, OP Configのプロファイル
を適合したOpenID Certified™な実装を提供します。
OpenID Certified™ by Yahoo Japan Corporation to
the of OP Basic, OP Implicit, OP Hybrid and OP Config of
the OpenID Connect™ protocol.
24. OpenID Certified Mark取得しました
24
Yahoo! ID連携(Yahoo! ID Federation)は
OpenID Connect™ protocolのOP Basic,
OP Implicit, OP Hybrid, OP Configのプロファイル
を適合したOpenID Certified™実装です。
OpenID Certified™ by Yahoo Japan Corporation to the of
OP Basic, OP Implicit, OP Hybrid and OP Config of
the OpenID Connect™ protocol.
27. ID Token・Claim関連
27
• ID Token・UserInfo Endpointのユーザー識識別⼦子の
user_̲idをsubへ変更更
• sub:subject(主体)。ユーザー識識別⼦子
• 仕様策定中の整合性のため
• ID Tokenのデコード結果を返却するCheck ID Endpoint
の廃⽌止
• ID TokenはJSONベースのフォーマットであり多くの
場合、クライアントサイドでデコードできるため
28. ID Token・Claim関連
28
• ID Tokenの署名を共有鍵を⽤用いたHMAC-‐‑‒SHA256から
公開鍵によるRSA-‐‑‒SHA256へ変更更
• 共有鍵が漏漏洩した場合、署名が⽣生成できるためID
Tokenを偽装できてしまう
• 公開鍵にすることでID Tokenの偽装を防⽌止するととも
に鍵管理理のコストを下げるため
29. ID Token・Claim関連
29
• ID TokenのPayloadにauth_̲time, armを追加
• auth_̲time:Authentication Time。認証時間
• amr:Authentication Method Reference。
パスワードやワンタイムパスワードなどの認証⼿手段
• IdP(ID Provider)がユーザーを認証した時刻と認証
⽅方法をRPで判定できるようにするため
30. ID Token・Claim関連
30
• ID TokenのPayloadにat_̲hash, c_̲hashを追加
• at_̲hash:Access Token Hash
• c_̲hash:Authorization Code Hash
• SHA1のハッシュ値。
• ID Tokenを受け取った際に検証することで
Access Token, Authorization CodeとID Tokenの
組み合わせの改ざんを防⽌止するため
35. redirect_̲uriの仕様
35
• redirect_̲uri
• “… This URI MUST exactly match one of
the Redirection URI values for the Client
pre-‐‑‒registered at the OpenID Provider,
with the matching performed…”
OpenID Connect Core 1.0 incorporating errata set 1
http://openid.net/specs/openid-‐‑‒connect-‐‑‒core-‐‑‒1_̲0.html