汎用認証サイト（Multi-purpose Authentication Site） のバックアップ(No.20)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイト（Multi-purpose Authentication Site） へ行く。
  • 1 (2017-05-22 (月) 11:11:32)
  • 2 (2017-06-30 (金) 21:35:55)
  • 3 (2017-07-05 (水) 09:56:18)
  • 4 (2017-07-28 (金) 20:15:18)
  • 5 (2017-09-22 (金) 16:52:41)
  • 6 (2017-09-25 (月) 14:26:21)
  • 7 (2017-10-17 (火) 16:18:22)
  • 8 (2017-10-19 (木) 16:04:32)
  • 9 (2017-10-24 (火) 10:09:53)
  • 10 (2017-10-29 (日) 16:50:30)
  • 11 (2017-10-31 (火) 20:13:56)
  • 12 (2017-11-07 (火) 15:20:53)
  • 13 (2018-01-29 (月) 16:04:23)
  • 14 (2018-01-29 (月) 16:10:47)
  • 15 (2018-02-06 (火) 16:09:01)
  • 16 (2018-03-12 (月) 09:08:07)
  • 17 (2018-06-04 (月) 09:51:23)
  • 18 (2018-06-07 (木) 09:46:29)
  • 19 (2018-06-15 (金) 10:02:39)
  • 20 (2018-07-05 (木) 12:46:30)
  • 21 (2018-10-05 (金) 19:15:34)
  • 22 (2018-12-21 (金) 13:44:37)
  • 23 (2019-05-10 (金) 12:02:32)
  • 24 (2019-05-10 (金) 12:11:34)
  • 25 (2019-06-05 (水) 17:45:41)
  • 26 (2019-08-02 (金) 10:28:05)
  • 27 (2019-08-02 (金) 14:25:27)
  • 28 (2020-07-27 (月) 17:27:22)
  • 29 (2020-07-27 (月) 22:56:12)
  • 30 (2020-08-18 (火) 09:59:52)
  • 31 (2020-09-18 (金) 19:51:18)
  • 32 (2020-11-28 (土) 18:35:00)
  • 33 (2020-11-28 (土) 22:39:11)
  • 34 (2021-05-11 (火) 11:29:33)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 機能一覧
  • アプリケーション設計のポイント

目次 †

概要 †

リポジトリ †

https://github.com/OpenTouryoProject/MultiPurposeAuthSite/

ファーストステップ †

機能 †

• インターネット環境でも安全に利用可能な認証基盤
• 認証フレームワークにASP.NET Identityを採用

インターネット向けIdP機能 †

サインアップ †

サインイン・サインアウト †

E-mailアドレス確認 †

E-mailアドレスの確認（E-mail confirmation）

パスワード・リセット †

アカウント・ロックアウト †

SecurityStamp? †

アカウント編集時、他のSessionを自動的にサインアウトさせるSecurityStamp?

2要素認証 †

E-mailやSMSを使用した2要素認証（Two-factor authentication）

外部ログイン †

外部Idp & STSサービスを使用した、外部ログイン（External login, Social login）

生体認証の追加 †

FIDO2.0を参照。

OAuth 2.0 + JWTのSSO可能な拡張STS機能 †

汎用認証サイト（Multi-purpose Authentication Site）に実装された「OAuth 2.0 Server」機能を使用して、
OpenID ConnectのIDトークン（JWTアサーション）形式のBearer Tokenを発行することで、
シングル・サインオン（SSO）やアプリケーション連携を実現する。

OAuth 2.0 の 4 flowをサポート †

• Authorization Codeグラント種別
• Implicitグラント種別
• Resource Owner Password Credentialsグラント種別
• Client Credentialsグラント種別

Bearer TokenにIDトークン・ライクなJWTアサーションを使用 †

• JWT検証ライブラリの準備。
• ここで発行したJWT形式のBearer Tokenをjwt.ioでも検証可能であり、
  これにより、さまざまなプラットフォーム上のアプリケーションをサポートできる。

OpenID ConnectのSSO可能な拡張STS機能 †

OpenID Connect の 2 flowをサポート †

OAuth2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

を、OpenID Connectの

• Authorization Code Flow (response_type=code)
• Implicit Flow (response_type=id_token token, id_token)

に拡張した。

OpenID Connect 拡張方法 †

OAuth 2.0 Serverと、HTTPModuleの書き換え機能によりOpenID Connectをサポートしている。

• AccessToken?に使用するJWTアサーションを編集してID Token化している。
• なので、AccessToken?フォーマットはJWTのモードで動かす必要がある。

独自仕様部分の説明 †

Idp仕様 †

• 認証用のデータストアと認証機能のセットを提供する。
• インターネット向け認証は、イントラネット向け認証と異なり、
  非常に多くの機能が必要になる（ASP.NET Identityの機能を利用する）。

外部ログイン仕様 †

• 別名、ソーシャル・ログイン。
• 「Facebookでログイン」が一般的。

セキュアトークンサービス（STS）機能 †

OAuth 2.0 Server仕様 †

OAuth 2.0は、通常、アプリケーション間連携（認可）に使用するが、
JWTを使用することでシングル・サインオン（認証）にも使用できる。

OpenID Connect Server仕様 †

STS専用モード †

こちらの設定を行うことで、
既存のユーザストアに接続してSTS専用モードとして動作させることができる。

動作検証手順の説明 †

Idp動作検証 †

外部ログイン動作検証 †

セキュアトークンサービス（STS）機能 †

OAuth 2.0 Server動作検証 †

OpenID Connect Server動作検証 †

STS専用モード †

こちらの設定を行うことで、
既存のユーザストアに接続したSTS専用モードの動作ができる。

外部サービス †

外部ログイン †

Microsoft, Google, Facebook, Twitter, etc.

オンライン決済サービス †

Stripe、PAY.JPなど、オンラインで処理可能な「カード決済」などを行なう。

通知プロバイダ †

「メール送信」や「SMS送信」がある。

メモ †

SecurityStamp †

詳しくはコチラを参照。

外部ログイン †

• クレームベース認証 による認証・認可の仕組みを使用する。

• 詳しくは以下を参照のこと。

• OAuth - マイクロソフト系技術情報 Wiki
• ASP.NET Identityの外部ログイン - マイクロソフト系技術情報 Wikiを参照。

セキュアトークンサービス（STS） †

• クレームベース認証 による認証・認可の仕組みを提供する。

• 詳しくは以下を参照のこと。

• OAuth - マイクロソフト系技術情報 Wiki
• ASP.NET IdentityによるSTS実装 - マイクロソフト系技術情報 Wikiを参照。

負荷分散クラスタ環境化での稼働実績 †

実績、あります。

• 基本的に、ユーザを１つの物理ノードにルーティングするモードで動作させて下さい。

• 上記が不可能な場合、以下の設定が必須になります。
  • 認証チケットをクラスタノード間で共有するために、machine keyを一致させる。
  • Sessionをクラスタノード間で共有するために、以下の何れかのモードを使用しSessionのクラスタ対応を行う。
    • StateServer?
    • SQLServer
    • Custom

※ ただし、cookie persistenceの持続する時間によるので、
ユーザを１つの物理ノードにルーティングできる場合も、基本的に設定した方が良い。

他サイトとの認証チケットの共有 †

.NET †

ASP.NET Identityを使用して共有できる（データストアは共有する）。

その他 †

前述の「セキュアトークンサービス（STS）」を使用する。

• OAuth 2.0, OpenID ConnectのIdP＋STSを使用して、SSOする。
• JWTを使用すればクロスプラットフォームな (Bearer) Token として利用可能。

参考 †

汎用認証サイトのFAQ †

汎用認証サイトの独自仕様 †

汎用認証サイトの動作検証 †

汎用認証サイトのコンフィギュレーション †

汎用認証サイトのファーストステップガイド †

OAuth 2.0, OpenID ConnectのParameterとFlowの関係 †

OAuth_And_OIDC.xlsx

#ref(): File not found: "OAuth_And_OIDC.png" at page "汎用認証サイト（Multi-purpose Authentication Site）"

OAuth 2.0 †

フルサポート。

OpenID Connect †

• AuthenticateCode?系
  response_type="code"はフルサポート

• Implicit系
  • response_type="id_token token"のみサポート。
    
  • ASP.NET Identityの制約なので、認可エンドポイントを変更し、
    ASP.NET Identityをバイパスしてスクラッチ実装すれば、response_type="id_token" 対応は可能。

• Hybrid系
  response_type="code xxxx"はフルサポート

• Implicit、Hybrid系
  response_modeは、指定無し(default)のみ（fragment相当）。

OAuth2拡張 †

• OAuth PKCE

• OAuth 2.0 Token Introspection

• OAuth 2.0 Token Revocation

• JWT bearer token authorizationグラント種別

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.072 sec.