「[[Open棟梁 wiki>https://opentouryo.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Multi-AuthSystem]] *目次 [#dcb3fd61] #contents *概要 [#nc044def] Multi-AuthSystemの独自仕様部分について説明する。 *Idp仕様 [#f22a150e] Idpの使用について。 **概要 [#wd87156a] 概ね、ASP.NET Identityに準拠。 ASP.NET Identity側の仕様については、「[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]」を参照。 **カスタマイズポイント [#ka88ee84] ***ユーザアカウント [#k6db9b9b] -UserId = GUID -UserName = e-mail addressとする。 -Passwordの強度は[[下記の設定>#o1461750]]に従う。 ***UserStore [#i2673e47] -[[EntityFramework>https://techinfoofmicrosofttech.osscons.jp/index.php?Entity%20Framework]]をキャンセルしUserStoreクラスで実装。 -DBMSはSQL Server or PostgreSQLを使用。 -Open棟梁のB・D層を使用してデータアクセスを実装。 **スキーマ [#v25455ef] ***DDL [#qae35401] Githubをポイント予定 ***編集処理 [#d2f64093] -管理画面で属性値の編集が可能 -ユーザ管理 --マルチテナント化 --管理者アカウントによる管理 -ロール管理 --マルチテナント化 --管理者アカウントによる管理 **パラメタ化 [#r1e165ea] [[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]や、その他、アプリケーションで使用するパラメタについて。 ***SecurityStamp [#jbf899e3] <!-- SecurityStamp(検証間隔は10秒、本番は長めに設定--> <add key="SecurityStampValidateIntervalFromSeconds" value="10" /> ***ユーザ名と、その検証 [#sa21d6af] -ユーザ名は、e-mail addressとする。 -サインアップ後にe-mail address検証をする。 <!--ユーザ名検証(ユーザ名は、E-mail--> <add key="AllowOnlyAlphanumericUserNames" value="false" /> <add key="RequireUniqueEmail" value="true" /> ***パスワード検証 [#o1461750] <!--パスワード検証(8文字以上の大文字・小文字、数値、記号--> <add key="RequiredLength" value="8" /> <add key="RequireNonLetterOrDigit" value="true" /> <add key="RequireDigit" value="true" /> <add key="RequireLowercase" value="true" /> <add key="RequireUppercase" value="true" /> ***ユーザ ロックアウト [#d2e5eeb0] <!--ユーザ ロックアウト(5 回入力ミスすると、5分ロックアウト--> <add key="UserLockoutEnabledByDefault" value="true" /> <add key="DefaultAccountLockoutTimeSpanFromSeconds" value="300" /> <add key="MaxFailedAccessAttemptsBeforeLockout" value="5" /> ***二要素認証 [#l00dc60b] <!-- 二要素認証(2FA:TwoFactorAuthentication)--> <!-- 必要に応じてユーザが有効にするので初期値は false --> <add key="TwoFactorEnabled" value="false" /> <!-- Cookieの有効期限は二週間 24 * 14 = 336 時間 --> <add key="TwoFactorCookieExpiresFromHours" value="336" /> *外部ログイン仕様 [#x776e104] **概要 [#f65ac880] 概ね、[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]に準拠。 [[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]側の仕様については、「[[ASP.NET Identityの外部ログイン>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity%E3%81%AE%E5%A4%96%E9%83%A8%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3]]」を参照。 **カスタマイズ・ポイント [#e9fe9083] 外部ログイン処理の仕様について。 ***外部ログイン・サービス [#h32fa513] -Microsoft -Google -Facebook -Twitter ***e-mail検証 [#idf3eb5e] -外部ログイン処理で取得したe-mail addressは検証しない。 -e-mail addressでサインアップして、そのままサインインする。 ***外部ログインでサインアップ [#z90095f1] -サインアップを外部ログインで行った場合、パスワードを持たないアカウントになる。 -この場合、後からパスワードを設定することで、ローカル・ログオンが可能になる。 --管理画面でパスワード追加する。 --パスワードリセットを行なう。 **パラメタ化 [#p283d193] 以下のように各、外部ログイン・プロバイダの -有効化・無効化 -クライアント認証のための[[クライアント識別子>#a5eeec1b]] を設定できる。 <!-- 外部ログインの追加時に XSRF の防止 --> <add key="XsrfKey" value="(サイト毎にで変更する、公開しないこと)" /> <!--外部ログイン(MicrosoftAccountAuthentication)--> <add key="MicrosoftAccountAuthentication" value="true" /> <add key="MicrosoftAccountAuthenticationClientId" value="・・・" /> <add key="MicrosoftAccountAuthenticationClientSecret" value="・・・" /> <!--外部ログイン(GoogleAuthentication)--> <add key="GoogleAuthentication" value="true" /> <add key="GoogleAuthenticationClientId" value="・・・" /> <add key="GoogleAuthenticationClientSecret" value="・・・" /> <!--外部ログイン(FacebookAuthentication)--> <add key="FacebookAuthentication" value="true" /> <add key="FacebookAuthenticationClientId" value="・・・" /> <add key="FacebookAuthenticationClientSecret" value="・・・" /> ***設定値の取得方法など [#q0df534d] [[クライアント識別子>#a5eeec1b]]は、外部ログイン・サービスの管理画面から取得する。 合わせてここでRedirectエンドポイントの設定などを行う必要がある。~ これは、外部ログイン・サービス毎に設定方法が異なるので注意する。 例えばマイクロソフト・アカウントでは、以下の様な設定を行う。、 https://fqdnname:nnnnn/signin-microsoft 外部ログイン・サービスによっては、httpやlocalhostをサポートしないことがある。 ***XsrfKey [#ac657ea9] -asp.net mvc 5 - What is the XsrfKey used for and should I set the XsrfId to something else? - Stack Overflow~ http://stackoverflow.com/questions/32121504/what-is-the-xsrfkey-used-for-and-should-i-set-the-xsrfid-to-something-else XsrfKeyは、XSRF = CSRFを防ぐためのstateパラメタの生成に使用される。~ stateパラメタは暗号化によって生成されるので、XsrfKey自体が露見することはない。~ 従って、この値としても、無作為な値を使用する必要はない。 *[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 Server仕様 [#jc794866] **概要 [#m5d1767f] 概ね、[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]に準拠。 -[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]側の仕様 -[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]]を拡張した認証の仕様 については、「[[ASP.NET IdentityによるSTS実装>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity%E3%81%AB%E3%82%88%E3%82%8BSTS%E5%AE%9F%E8%A3%85]]」を参照。 **共通 [#x3169086] ***Server側 [#m3bdee3f] -AuthorizationServer --認可エンドポイント ---redirect_uriチェックは不要(部分一致をサポートしない完全事前登録制とするため) --Tokenエンドポイント(Access Tokenの発行方法) ---scope=その他の値の場合、scopeパラメタ値をClaimに格納する(通常の動作)。 -ResourceServer --リソース・アクセス用のWeb APIを提供する。 ***Client側 [#r1ee86fd] -パラメタ --redirect_uri指定は不要(部分一致をサポートしない完全事前登録制とするため) --state指定は必須(ID Tokenのnonce Claimにコレを設定する)。 -ResourceServerリソース・アクセス用のWeb APIにアクセスする場合、 --Access TokenをHTTPヘッダに指定して送信する。 ***Access Token [#ua3f247e] -Access Tokenのフォーマットには[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションを使用する。 --この[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションには、OpenID Connectと同様のID Tokenを含める。 --Access TokenはOAuthAuthorizationServerOptions.AccessTokenFormatに設定した、モジュールで生成される。 -AccessTokenFormatモジュールとの情報の受け渡しには、 --[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]の仕組みに準拠し、ClaimsIdentityを使用する。 --ClaimsIdentityには、以下のようなURN形式の文字列をkeyに使用して、~ OAuthAuthorizationServer側からvalueの追加を行う(以下はscopeの値を設定する例)。 claimsIdentity.AddClaim(new Claim("urn:oauth:scope", xxxxx)); **クライアント認証 [#g36cdbd4] ここでのクライアントとは、ユーザではなく、[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 のClientを指しているので注意する。 -認可エンドポイントでは、クライアント認証ではなく、Redirectエンドポイントの検証を行う。 -クライアント認証は、Tokenエンドポイントにアクセスする際に行なう。 -ベーシック認証の認証ヘッダを使用して[[クライアント識別子>#a5eeec1b]]を送信する。 ***クライアント識別子 [#a5eeec1b] -GUIDを使用する --32文字の英数字。 --URLに指定するので、[{}, -] は無し。 -client_id~ 全てのグラント種別以外で必須 -client_secret --Implicitグラント種別以外で必須 --ただし、[[ユーザ認証>#wc68d5c6]]で使用する場合は、Implicitグラント種別でも必須。 **ユーザ認証 [#wc68d5c6] ***Server側 [#ccacfafd] -Access TokenにOpenID Connectと同様のID Token([[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーション)を含める。 -ApplicationOAuthBearerTokenProviderの実装 --ValidateClientRedirectUriのオーバーライド --- --xxxxx ---xxxxxxxxxx -[[クライアント識別子>#a5eeec1b]]は全てのグラント種別で必須となる。 ***Client側 [#x687be6c] -グラント種別 --できるだけ、Authorization Codeグラント種別を使用する。 --Implicitグラント種別もサポートするが、その場合、~ ユーザ認証用Access Tokenと[[クライアント識別子>#a5eeec1b]]の露見のリスクがあることに注意すること。 --従って、できるだけ、[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションをClient側で検証することが推奨される。 -パラメタ --response_typeには、"code"(推奨) or "token"を指定する。 -ResourceServerのユーザ認証専用のWebAPIにアクセスする場合、 --ユーザ認証用Access Tokenに加え、前述の[[クライアント識別子>#a5eeec1b]]をPOSTで送信する。 ***ResourceServerのWebAPI [#q45fd27c] -/api/OAuthResourceApi/GetUserClaim **パラメタ化 [#t2745f68] ***共通設定 [#l76fce40] -[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 STSの有効化・無効化設定 <!-- 共通設定 --> <add key="EquipOAuthServer" value="true" /> -OAuthAuthorizationServerOptions <!-- プロパティ --> <add key="AllowOAuthInsecureHttpEndpoints" value="true" /> <add key="OAuthAuthorizeEndpointCanDisplayErrors" value="true" /> <add key="OAuthAccessTokenExpireTimeSpanFromMinutes" value="360" /> <add key="OAuthRefreshTokenExpireTimeSpanFromDays" value="14" /> -[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーション関連の設定 <!-- JWT --> <add key="OAuthIssuerId" value="http://jwtssoauth.opentouryo.com" /> <!-- JWTの署名に使用する X.509 証明書に関するパラメタ --> <add key="OAuthJWTPassword" value="xxxxx" /> <add key="OAuthJWT_pfx" value="XXXXX_RS256.pfx" /> <add key="OAuthJWT_cer" value="XXXXX_RS256.cer" /> -Grant Typeの有効・無効 <!-- Grant Typeの有効・無効 --> <add key="EnableResourceOwnerCredentialsGrantType" value="true" /> <add key="EnableClientCredentialsGrantType" value="true" /> <add key="EnableRefreshToken" value="true" /> ***Server側エンドポイント [#ea36e6a5] -Authorization Serverエンドポイント <!-- AuthorizationServerエンドポイント --> <add key="OAuthAuthorizationServerEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" /> <!-- 認可エンドポイント --> <add key="OAuthAuthorizeEndpoint" value="/Account/OAuthAuthorize" /> <!-- Tokenエンドポイント --> <add key="OAuthBearerTokenEndpoint" value="/OAuthBearerToken" /> -Resource Serverエンドポイント <!-- ResourceServerエンドポイント --> <add key="OAuthResourceServerEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" /> <add key="OAuthAuthenticateUserWebAPI" value="/api/OAuthResourceApi/AuthenticateUser" /> <add key="OAuthGetUserClaimWebAPI" value="/api/OAuthResourceApi/GetUserClaim" /> ***Client側エンドポイント [#e0e7e9ba] <!-- Client --> <!-- Clientエンドポイント --> <add key="OAuthClientEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" /> <!-- Redirectエンドポイント --> <!-- - test_self_code : Authorization Codeグラント種別 --> <add key="OAuthAuthorizationCodeGrantClient" value="/Account/OAuthAuthorizationCodeGrantClient" /> <!-- - test_self_token : Implicitグラント種別 --> <add key="OAuthImplicitGrantClient" value="/Account/OAuthImplicitGrantClient" /> ***[[クライアント識別子>#a5eeec1b]] [#ic5d0bd8] 以下をツールを使用して生成して、登録する。 -先頭の[[クライアント識別子>#a5eeec1b]]は、テスト用Redirectエンドポイントを使用するテスト用。 -以降の[[クライアント識別子>#a5eeec1b]]は、ユーザのサイト。 <!-- クライアント識別子 (client_id, client_secret, redirect_uri) --> <add key="OAuthClientsInformation" value=' { "-guid(client_id)-": { "client_secret": "-乱数-", "redirect_uri_code": "test_self_code", "redirect_uri_token": "test_self_token", "client_name": "TestUser" }, "-guid(client_id)-": { "client_secret": "-乱数-", "redirect_uri_code": "http://hogehoge0/aaa", "redirect_uri_token": "http://hogehoge0/bbb", "client_name": "hogehoge0" }, "-guid(client_id)-": { "client_secret": "-乱数-", "redirect_uri_code": "http://hogehoge1/aaa", "redirect_uri_token": "http://hogehoge1/bbb", "client_name": "hogehoge1" }, "-guid(client_id)-": { "client_secret": "-乱数-", "redirect_uri_code": "http://hogehoge2/aaa", "redirect_uri_token": "http://hogehoge2/bbb", "client_name": "hogehoge2"