汎用認証サイトの独自仕様 のバックアップ(No.14)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイトの独自仕様 へ行く。
  • 1 (2017-05-22 (月) 11:04:53)
  • 2 (2017-06-22 (木) 13:56:00)
  • 3 (2017-06-29 (木) 20:13:41)
  • 4 (2017-06-30 (金) 14:41:06)
  • 5 (2017-06-30 (金) 17:44:40)
  • 6 (2017-06-30 (金) 20:36:39)
  • 7 (2017-06-30 (金) 21:38:34)
  • 8 (2017-07-03 (月) 10:45:20)
  • 9 (2017-07-03 (月) 14:54:33)
  • 10 (2017-07-04 (火) 17:37:37)
  • 11 (2017-07-13 (木) 14:50:14)
  • 12 (2017-07-28 (金) 20:12:16)
  • 13 (2017-08-02 (水) 17:03:12)
  • 14 (2017-10-25 (水) 16:06:22)
  • 15 (2018-05-21 (月) 09:44:37)
  • 16 (2018-06-15 (金) 10:02:15)
  • 17 (2018-07-30 (月) 16:47:17)
  • 18 (2019-05-10 (金) 09:56:06)
  • 19 (2019-06-05 (水) 17:45:59)
  • 20 (2019-06-07 (金) 11:14:25)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

汎用認証サイト（Multi-purpose Authentication Site）の独自仕様部分について説明する。

Idp仕様 †

概要 †

Idpの仕様については概ね、ASP.NET Identityに準拠。

ASP.NET Identity側の仕様については、「ASP.NET Identity」を参照。

カスタマイズ・ポイント †

以下のスイッチで大きな動作変更が可能。

詳しくは「汎用認証サイトのコンフィギュレーション」を参照のこと。

RequireUniqueEmailスイッチ †

以下のように、主にサインアップ・プロセスに影響を与える。

• RequireUniqueEmail? : true
  • UserName? = E-mailアドレス
  • インターネット環境の標準の実装はこちら。
  • E-mailアドレスでサインアップするため、直ちにE-mailアドレスの確認
    （E-mail confirmation）を行うため、サインアップ・プロセスは複雑化する。

• RequireUniqueEmail? : false
  • UserName? = 任意文字列
  • ユーザストアを管理者が準備するエンプラ向き実装はこちら。
  • サインアップで、E-mailアドレスが提供されないので、
    サインアップ・プロセスは、UserName?＝メアドよりシンプルになる。
    しかし、E-mailアドレスの確認（E-mail confirmation）が実質的に不可能。
    • サインアップ画面を提供せず、管理者がアカウント（E-mailアドレス）を準備する。
    • 若しくは、UserName?とE-mailアドレスの入力が可能なサインアップ画面を提供したり、
    • "ユーザ名@サイトのドメイン"でE-mailアドレスを準備するなどとする。

• その他、
  • ユーザ名変更
  • 外部ログイン

の動作にも影響を与える。

利用するサービス †

外部ログイン †

• Microsoft
• Google
• Facebook

オンライン決済サービス †

• Stripe
• PAY.JP

通知プロバイダ †

• SMTP
• SMS (Twilio)

ユーザ・アカウント †

主要属性 †

• UserId? = GUID

• UserNameはスイッチ次第
  • 基本は、E-mailアドレス
  • スイッチ変更により、任意の文字列を使用可能。

• Password
  • Passwordの強度はコチラの設定に従う。
  • 当然、ライブラリにて適切にハッシュ化されてからUserStore?に保存される。

• その他
  • スキーマを参照。

永続化 †

• EntityFrameworkをキャンセルしUserStore?クラスで実装。
• UserStoreTypeの設定で、UserStore?クラスの使用するデータストアを変更可能。
  • データストアは、メモリとRDBMSをサポート（NoSQLやLDAPのサポートも可能）
  • RDBMSへのデータアクセスは、Dapperを使用して実装している。

スキーマ †

DDL †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/tree/develop/root/files/resource/Sql

編集処理 †

• アカウント編集処理
  • 非定型データを使用すればスキーマ変更は不要。
  • 設定によってロックダウン可能。
  • 編集可能なアカウント属性についてはこちら。

• ユーザ・ロール編集処理
  • 管理画面でユーザ・ロールのCRU（属性編集）Dが可能
  • 管理画面についての詳細はこちら。

サインアップ・サインイン †

サインアップとE-mailアドレス確認 †

UserName? = E-mailアドレス の場合、

• E-mailアドレスの確認（E-mail confirmation）は、初回サインアップ（レコード生成）後のアカウント（レコード）に対して行なう。

• 初回サインアップ（レコード生成）後に、E-mailアドレスの確認（E-mail confirmation）をしなかった場合、
  
  • サインアップをしようとすると、レコードを再生成後、E-mailアドレスの確認（E-mail confirmation）が再送される。
  • サインインをしようとすると、E-mailアドレスの確認（E-mail confirmation）が再送される。

• 初回サインアップ（レコード生成）後、
  • E-mailアドレス確認のメールをロストした場合、
    
    • サインアップを繰り返せば、再び、E-mailアドレス確認メールは飛ぶ（レコードが再生成されるのでパスワードも変更される）。
    • サインインを繰り返せば、再び、E-mailアドレス確認メールは飛ぶ（レコードが再生成されないのでパスワードは古いまま）。

• パスワードを失念した場合、
  • 上記の「サインアップを繰り返す」を行えばサインアップできる。
  • 若しくは、パスワード・リセットを行えばサインアップできる。

サインイン・サインアウト †

• 通常通りサインアップする。
• Passwordの強度を満たさない場合、エラーとなることを確認する。

アカウント編集 †

ユーザ名 †

• アカウント編集でユーザ名を変更
• UserName? = E-mailアドレス の場合、
  E-mailアドレスの確認（E-mail confirmation）が必要。

パスワード †

• アカウント編集でパスワードを設定・変更
  • 変更
  • 設定（外部ログイン後、ローカル・ログオンを可能にする場合）

• Passwordの強度を満たさない場合、エラーとなることを確認する。

E-mailアドレス †

• アカウント編集でE-mailアドレスを設定・削除
• UserName? = E-mailアドレス の場合に表示される。

• E-mailアドレスの確認（E-mail confirmation）が必要。
  • リンクを実行しない場合、E-mailアドレス設定が正常終了しない。
  • リンクを実行した場合、E-mailアドレス設定が正常終了する。

電話番号 †

• アカウント編集で電話番号を設定・削除
• 通知プロバイダのSMSで通知を行い、受信したコードを入力する。
  • 誤ったコードを入力した場合、電話番号設定が正常終了しない。
  • 正しいコードを入力した場合、電話番号設定が正常終了する。

2要素認証(2FA) †

• アカウント編集で2要素認証(2FA)をON/OFFする。
• 2要素認証(2FA)のプロセスについては後述する。

外部ログイン †

外部ログインの一覧表示と追加・削除

オンライン決済サービス †

• オンライン決済サービスとしては、StripeとPAY.JPを *.config で設定可能。
• 設定が有効な場合、クレジット・カード情報などの支払い元情報が設定できる。
• 登録したクレジット・カード情報を利用してオンライン決済サービスを使用する。
• Debugモードの場合、オンライン決済サービスで決済されることを確認する。

属性データ（非定型データ） †

• 属性データ（非定型データ）をメンテナンスする。
• JSON形式での情報格納を想定しているので、スキーマ（DDL）変更は不要。

OAuth2データ †

ユーザ毎に、

• client_id
• client_secret
• redirect_uri（code）
• redirect_uri（token）

のデータを設定し、

OAuth2アクセストークンを取得可能。

運用系機能 †

パスワード・リセット †

• 通常のパスワード・リセットのシナリオ。
  • パスワードを失念した場合、パスワード・リセットを行う。

• 例外的に以下のシナリオで使用する。
  • 初回サインアップ時のパスワードを失念した場合のシナリオ。
  • 外部ログイン後、ローカル・ログオンを可能にするシナリオ。

• Passwordの強度を満たさない場合、エラーとなることを確認する。

セキュリティ強化機能 †

アカウント・ロックアウト †

指定回数、ログインをミスすると、指定時間ロックアウトされる。

SecurityStamp? †

• アカウント編集（ユーザ属性の変更）後のアクセスがサインアウトされる。
• アカウント編集後にサインアウト・サインインする実装になっている理由はコレ。

2要素認証 †

• アカウント編集で2要素認証をONにする。

• 別のブラウザからログイン試行を行う
  （2要素認証ではCookieでブラウザを記憶するため）。

• すると通知プロバイダを選択したコードを送信が行われる。

• 選択した通知プロバイダで通知を行い、受信したコードを入力する。
  • 誤ったコードを入力した場合、2要素認証が正常終了しない。
  • 受信したコードを入力して2要素認証が正常終了する。

外部ログイン仕様 †

概要 †

概ね、ASP.NET Identityに準拠。

• ASP.NET Identity側の仕様については、
  「ASP.NET Identityの外部ログイン」を参照。

• サインアップ・サインインも可能。
• 基本的には、UserName = E-mailアドレス

カスタマイズ・ポイント †

外部ログイン処理の仕様について。

外部ログイン設定 †

外部ログインと、外部ログイン・サービスを設定する。

• RequireUniqueEmailスイッチ
  • UserName ＝ E-mailアドレスで動作する。
  • UserName ≠ E-mailアドレスでの外部ログインとの親和性は低い。
    • 通常、サインアップ画面を提供せず、管理者がアカウント（E-mailアドレス）を準備する。
    • 殆どのIdPではE-mailを使用しており、オプションで使用しているUserName?がIdP間で一致していないことが多いため。
    • IdP間を跨ぐ場合、UserName?の一意性は保証されないので、結局、E-mailアドレス確認（E-mail confirmation）されたE-mailに頼る必要がある。

• XsrfKey?
  XSRF(=CSRF)を防ぐためのstateパラメタの生成に使用される。

• 外部ログイン・サービス
  • Microsoft
  • Google
  • Facebook
  • Twitter

外部ログインでサインアップ †

サインアップを外部ログインで行った場合、

• パスワードを持たないアカウントになる。
• この場合、後からパスワードを設定することで、ローカル・ログオンが可能になる。
  • アカウント編集画面でパスワード追加する。
  • パスワード・リセットを行なう。

• E-mailアドレスの確認（E-mail confirmation）
  • 外部ログイン処理で取得したE-mailアドレスは確認しない。
    （信頼するIdPのSTSで連携されたE-mailアドレスであるため）
  • E-mailアドレスでサインアップして、そのままサインインする。

外部ログインでサインイン †

• ローカル・ログインに外部ログインを重ねるパターンと、
  外部ログインに外部ログインを重ねるパターンとがある。

• サインインを外部ログインで行った場合、
  • 既存のアカウントにID連携でサインインできる。
  • ID連携で必要なクレーム（属性値）を連携して上書きできる。
  • なお、UserName?やE-mailなど、ID連携で変更できない属性値もある。

外部ログインの一覧と削除 †

• サインアップ済みの状態から外部ログインの追加 → 削除
  外部ログイン削除後のタイミングで、ログアウトしていないのは、
  代替のログイン手段を持っているため問題無いということ。

• サインアップせずに、外部ログインの追加 → 削除
  
  • ローカル・ログオンを可能にしていない場合、最後の外部ログインを削除できなくなる。
  • 後からパスワードを設定することでローカル・ログオンを有効化すれば外部ログインを削除できる。

外部ログインの詳細 †

ExternalLoginCallback?の条件分岐

• AccountController?
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L1015
  • (1) 外部ログインの成否
    • 失敗（異常終了）
    • 成功、(2) へ。

• (2) 外部ログインの有・無
  • 既存の外部ログインがある → クレームを更新してサインイン（正常終了）
  • 既存の外部ログインがない →新規の外部ログインの追加、(3) へ。

• (3) 外部ログインの追加
  • 当該ユーザが既にサインアップされている。
    → 外部ログイン、クレームを追加してサインイン（正常終了）
  • 当該ユーザが未だサインアップされていない。
    → サインアップ後に外部ログイン、クレームを追加してサインイン（正常終了）

• ManageController?
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/ManageController.cs#L1295
  • (1) 外部ログインの成否
    • 失敗（異常終了）
    • 成功、(2) へ。

• (2) 外部ログインの有・無
  • 既存の外部ログインがある → クレーム更新のみ行う（正常終了）
  • 既存の外部ログインがない →新規の外部ログインの追加、(3) へ。

• (3) 外部ログインの追加
  • 当該ユーザが既にサインアップされている。
    → 外部ログイン、クレームを追加してサインイン（正常終了）
  • 当該ユーザが未だサインアップされていない。
    → このケースはありえない。

• クレームの連携（追加・更新）時に、ユーザ属性を更新するかどうか？
  • 案件毎に決定してカスタマイズする。
  • 既定では、ユーザ属性の更新はしていない。

OAuth 2.0 Server仕様 †

概要 †

概ね、ASP.NET Identityに準拠。

• ASP.NET Identity側の仕様
• OAuthを拡張した認証の仕様

については、「ASP.NET IdentityによるSTS実装」を参照。

Access Token †

オプション †

以下の動作を設定可能。

• AccessToken?のフォーマットを、
  • JWT形式にするか（true）
  • ASP.NET Identity形式にするか（false）

• Refresh Tokenの機能のロックダウン

フォーマット †

• Access TokenのフォーマットにJWTアサーションを採用する場合、
  • このJWTアサーションには、OpenID Connectと同様のID Tokenを含める。
  • Access TokenはOAuthAuthorizationServerOptions?.AccessTokenFormat?に設定した、モジュールで生成される。

• AccessTokenFormat?に設定したモジュールとの情報の受け渡しには、
  • ASP.NET Identityの仕組みに準拠し、ClaimsIdentity?を使用する。
  • ClaimsIdentity?には、以下のようなURN形式の文字列をkeyに使用して、
    OAuthAuthorizationServer?側からvalueの追加を行う（以下はscopeの値を設定する例）。

    claimsIdentity.AddClaim(new Claim("urn:oauth:scope", xxxxx));

Server側 †

AuthorizationServer? †

• 認可エンドポイント
  • redirect_uriチェック
    https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ASPNETIdentity/TokenProviders/ApplicationOAuthBearerTokenProvider.cs#L93
    
    • redirect_uriが存在しない場合、事前登録のredirect_uriを使用する。
      
    • redirect_uriが存在する場合、「特定エンドポイント」or「事前登録の完全一致」のみ許可する。

• Tokenエンドポイント
  • Access Tokenの発行方法

ResourceServer? †

• リソース・アクセス用のWeb APIを提供する。

Client側 †

スターターのパラメタ †

• redirect_uri指定

• scope指定

• IDトークン準拠のscope
  • profile
  • email
  • phone
  • address

• 特殊なscope
  • auth
    認証用途の場合、認可画面をスキップする。
  • userid
    ユーザの主キー（guid）を連携する場合に指定する。

• state指定
  AccessToken?のフォーマットがJWT形式の場合に必須
  （ID Tokenのnonce Claimにstate値を設定するため）。
• nonce指定
  OpenID Connectの場合に必須
  （ID Tokenのnonce Claimにnonce値を設定するため）。

ResourceServer?のWeb APIへのアクセス †

• /userinfo
• ResourceServer?リソース・アクセス用のWeb APIにアクセスする場合、
  Access Tokenを"Authorization: Bearer" HTTPヘッダに指定して送信する。

認証 †

https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth#wdad8a4e

クライアント認証 †

ここでの"クライアント"とは、"ユーザ"の事ではなく、
OAuth 2.0 のClientを指しているので注意する。

• クライアント認証は、Tokenエンドポイントにアクセスする際に行なう。
• ベーシック認証の認証ヘッダを使用してクライアント識別子を送信する。

• クライアント識別子
  • client_id
    • 全てのグラント種別以外で必須
    • GUID（32文字の英数字、URLに指定するので、[{}, -] は無し）を使用。

• client_secret
  • Implicitグラント種別以外で必須
  • 乱数（GetPassword.Base64UrlSecret(32)）

ユーザ認証 †

• 使用するグラント種別
  • できるだけ、Authorization Codeグラント種別を使用する。
    = response_typeには、"code"(推奨) or "token"を指定する。

• Implicitグラント種別もサポートするが、その場合、
  • クライアント識別子と、ユーザ認証用Access Tokenの
    露見のリスクがあることに注意すること（若しくはキャプチャ可能）。

• Token
  • 認証されたユーザに対してAccess Tokenを発行する。
  • Access TokenのフォーマットにJWTを使用した場合、
    • ASP.NET Identityに限らずAccess Tokenの利用が可能。
    • JWTアサーションを検証できるため、OAuthの脆弱性の問題を回避可能。

OpenID Connect Server仕様 †

• OAuth2.0の
  • Authorization Codeグラント種別
  • Implicitグラント種別

を、

• OpenID Connectの
  • Authorization Code Flow(response_type=code)
  • Implicit Flow((response_type=id_token token, id_token)

に拡張している。

• OAuth 2.0 Serverと、HTTPModuleの書き換え機能により、
  • AccessToken?に使用するJWTアサーションを編集してID Token化している。
  • なので、AccessToken?フォーマットはJWTのモードで動かす必要がある。

管理機能 †

管理者アカウント †

システム管理者アカウントサインインして管理操作を実行できる。

ユーザ・ロール編集処理 †

管理画面についての詳細はこちら。

所有権 †

所有権の無いオブジェクトに対する操作ができないことを確認する。

• 特に、テナント管理者がGUIDのコピペや直打ちなどを行っても、
  他テナントのオブジェクトは絶対に操作できないことを確認する。

例外 †

所有者はCRUD可能、非所有者はCRUD不可能の例外。

• ユーザ
  • システム管理者アカウント
    所有権は自分にしか無いが、更新（編集・削除）は不可能。

• テナント管理者アカウント
  • システム管理者アカウント
    所有権は有るが、更新（編集・削除）は不可能。
  • テナント管理者アカウント
    所有権は自分にしか無いが、更新（編集・削除）は不可能。

• ロール
  • グローバル ロール
    • システム管理者アカウント
      所有権は無いが、一覧・詳細表示のみ可能にしてある。更新（編集・削除）は不可能。
    • テナント管理者アカウント
      所有権は無いが、一覧表示のみ可能にしてある。詳細表示、更新（編集・削除）は不可能。

エラーメッセージ †

表示元 †

ASP.NET MVCのModel Bindingの検証機能によるもの。 †

• ASP.NET MVCのModel Bindingの検証機能による単項目チェックを使用。
  （Compare属性など、一部、関連チェック相当の検証機能もある）。

• 検証項目と内容については、各画面で使用しているViewModelを参照のこと。

• エラーメッセージ
  例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ViewModels/AccountRegisterViewModel.cs

• 既定値
  以下のような属性では、既定のエラーメッセージを使用。
  • [EmailAddress?]
  • [Required(AllowEmptyStrings? = false or truw)]

• カスタムのエラーメッセージ
  以下のような属性では、カスタム（Resourcesファイルである*View.resxに定義されている）のエラーメッセージを使用。

  [StringLength(
  ASPNETIdentityConst.MaxLengthOfPassword,
  ErrorMessageResourceName = "MaxLengthErrMsg",
  ErrorMessageResourceType = typeof(Resources.CommonViewModels))]

ASP.NET Identityによるもの。 †

• ASP.NET Identityが返すエラーメッセージ（IdentityResult?.Errors）をそのまま利用する。
  例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L379
  • 既にサインアップしている場合
  • パスワード要件に合わない場合

サーバー・サイド実装によるもの。 †

• アプリケーションのエラーメッセージを表示する。
  例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Controllers/AccountController.cs#L220
  • ModelState?.AddModelError?で検索する。
  • エラーメッセージは、Resourcesファイルである*Controller.resxに定義されている。

表示先 †

ASP.NET MVCのModel Bindingの検証機能によるもの。 †

• 表示位置
  • サマリ領域に表示する場合（既定の実装）、
    • Html.ValidationSummary?を使用すれば、
      例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/Register.cshtml#L45

      @Html.ValidationSummary("", new { @class = "text-danger" })

• div-ul-liタグが用意され、ソコにエラーメッセージが表示される。

  <div class="validation-summary-valid text-danger" data-valmsg-summary="true"><ul><li style="display:none"></li></ul></div>

• 入力項目の横に表示する場合、
  • Html.ValidationMessageFor?を使用すれば、

    @Html.PasswordFor(m => m.Password, new { @class = "form-control" })
    @Html.ValidationMessageFor(m => m.Password, new { @class = "text-danger" })

• 入力項目の横にspanが用意され、ソコにエラーメッセージが表示される。

  <input class="form-control" data-val="true" data-val-length="パスワード の長さは 100 文字以下である必要があります。" data-val-length-max="100" data-val-required="パスワード フィールドが必要です。" id="Password" name="Password" type="password" />
  <span class="field-validation-valid" data-valmsg-for="Password" data-valmsg-replace="true"></span>

• 表示例
  • サマリ領域に表示する場合、
    
  • 入力項目の横に表示する場合、
    

ASP.NET Identityによるもの。 †

サーバー・サイドのチェック結果が、サマリ領域（Html.ValidationSummary?）に表示される。
例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/Register.cshtml#L45

@Html.ValidationSummary("", new { @class = "text-danger" })

サーバー・サイド実装によるもの。 †

サーバー・サイドのチェック結果が、サマリ領域（Html.ValidationSummary?）に表示される。
例 : https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/Register.cshtml#L45

@Html.ValidationSummary("", new { @class = "text-danger" })

パラメタ化 †

• ASP.NET Identityや、
• 汎用認証サイトのアプリケーションで

使用するパラメタについて、コチラに纏めた。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.096 sec.