Multi-AuthSystemの独自仕様 のバックアップソース(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• バックアップ を表示
• Multi-AuthSystemの独自仕様 は削除されています。
  • 1 (2016-12-23 (金) 13:09:48)
  • 2 (2016-12-23 (金) 14:08:33)
  • 3 (2016-12-23 (金) 17:43:24)
  • 4 (2016-12-28 (水) 11:49:36)
  • 5 (2017-01-04 (水) 15:02:50)
  • 6 (2017-02-27 (月) 18:37:44)
  • 7 (2017-03-06 (月) 10:41:25)
  • 8 (2017-03-21 (火) 10:35:52)
  • 9 (2017-03-28 (火) 21:23:12)
  • 10 (2017-04-05 (水) 09:16:27)
  • 11 (2017-04-10 (月) 16:20:18)
  • 12 (2017-04-10 (月) 17:30:38)
  • 13 (2017-04-11 (火) 11:39:40)

「[[Open棟梁 wiki>https://opentouryo.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Multi-AuthSystem]]

*目次 [#dcb3fd61]
#contents

*概要 [#nc044def]
Multi-AuthSystemの独自仕様部分について説明する。

*Idp仕様 [#f22a150e]
Idpの使用について。

**概要 [#wd87156a]
概ね、ASP.NET Identityに準拠。

ASP.NET Identity側の仕様については、「[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]」を参照。

**カスタマイズポイント [#ka88ee84]
***ユーザアカウント [#k6db9b9b]
-UserId = GUID
-UserName = e-mail addressとする。
-Passwordの強度は[[下記の設定>#o1461750]]に従う。

***UserStore [#i2673e47]
-[[EntityFramework>https://techinfoofmicrosofttech.osscons.jp/index.php?Entity%20Framework]]をキャンセルしUserStoreクラスで実装。
-DBMSはSQL Server or PostgreSQLを使用。
-Open棟梁のB・D層を使用してデータアクセスを実装。

**スキーマ [#v25455ef]
***DDL [#qae35401]
Githubをポイント予定

***編集処理 [#d2f64093]
-管理画面で属性値の編集が可能

-ユーザ管理
--マルチテナント化
--管理者アカウントによる管理

-ロール管理
--マルチテナント化
--管理者アカウントによる管理

**パラメタ化 [#r1e165ea]
[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]や、その他、アプリケーションで使用するパラメタについて。

***SecurityStamp [#jbf899e3]
 <!-- SecurityStamp（検証間隔は10秒、本番は長めに設定-->
 <add key="SecurityStampValidateIntervalFromSeconds" value="10" />

***ユーザ名と、その検証 [#sa21d6af]
-ユーザ名は、e-mail addressとする。
-サインアップ後にe-mail address検証をする。

 <!--ユーザ名検証（ユーザ名は、E-mail-->
 <add key="AllowOnlyAlphanumericUserNames" value="false" />
 <add key="RequireUniqueEmail" value="true" />

***パスワード検証 [#o1461750]
 <!--パスワード検証（8文字以上の大文字・小文字、数値、記号-->
 <add key="RequiredLength" value="8" />
 <add key="RequireNonLetterOrDigit" value="true" />
 <add key="RequireDigit" value="true" />
 <add key="RequireLowercase" value="true" />
 <add key="RequireUppercase" value="true" />

***ユーザ ロックアウト [#d2e5eeb0]
 <!--ユーザ ロックアウト（5 回入力ミスすると、5分ロックアウト-->
 <add key="UserLockoutEnabledByDefault" value="true" />
 <add key="DefaultAccountLockoutTimeSpanFromSeconds" value="300" />
 <add key="MaxFailedAccessAttemptsBeforeLockout" value="5" />

***二要素認証 [#l00dc60b]
 <!-- 二要素認証（2FA:TwoFactorAuthentication）-->
 <!-- 必要に応じてユーザが有効にするので初期値は false -->
 <add key="TwoFactorEnabled" value="false" /> 
 <!-- Cookieの有効期限は二週間 24 * 14 = 336 時間 -->
 <add key="TwoFactorCookieExpiresFromHours" value="336" />

*外部ログイン仕様 [#x776e104]

**概要 [#f65ac880]
概ね、[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]に準拠。

[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]側の仕様については、「[[ASP.NET Identityの外部ログイン>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity%E3%81%AE%E5%A4%96%E9%83%A8%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3]]」を参照。

**カスタマイズ・ポイント [#e9fe9083]
外部ログイン処理の仕様について。

***外部ログイン・サービス [#h32fa513]
-Microsoft
-Google
-Facebook
-Twitter

***e-mail検証 [#idf3eb5e]
-外部ログイン処理で取得したe-mail addressは検証しない。
-e-mail addressでサインアップして、そのままサインインする。

***外部ログインでサインアップ [#z90095f1]
-サインアップを外部ログインで行った場合、パスワードを持たないアカウントになる。
-この場合、後からパスワードを設定することで、ローカル・ログオンが可能になる。
--管理画面でパスワード追加する。
--パスワードリセットを行なう。

**パラメタ化 [#p283d193]
以下のように各、外部ログイン・プロバイダの

-有効化・無効化
-クライアント認証のための[[クライアント識別子>#a5eeec1b]]

を設定できる。

 <!-- 外部ログインの追加時に XSRF の防止 -->
 <add key="XsrfKey" value="(サイト毎にで変更する、公開しないこと)" />
  
 <!--外部ログイン（MicrosoftAccountAuthentication）-->
 <add key="MicrosoftAccountAuthentication" value="true" />
 <add key="MicrosoftAccountAuthenticationClientId" value="・・・" />
 <add key="MicrosoftAccountAuthenticationClientSecret" value="・・・" />
  
 <!--外部ログイン（GoogleAuthentication）-->
 <add key="GoogleAuthentication" value="true" />
 <add key="GoogleAuthenticationClientId" value="・・・" />
 <add key="GoogleAuthenticationClientSecret" value="・・・" />
  
 <!--外部ログイン（FacebookAuthentication）-->
 <add key="FacebookAuthentication" value="true" />
 <add key="FacebookAuthenticationClientId" value="・・・" />
 <add key="FacebookAuthenticationClientSecret" value="・・・" />

***設定値の取得方法など [#q0df534d]
[[クライアント識別子>#a5eeec1b]]は、外部ログイン・サービスの管理画面から取得する。

合わせてここでRedirectエンドポイントの設定などを行う必要がある。~
これは、外部ログイン・サービス毎に設定方法が異なるので注意する。

例えばマイクロソフト・アカウントでは、以下の様な設定を行う。、
 https://fqdnname:nnnnn/signin-microsoft

外部ログイン・サービスによっては、httpやlocalhostをサポートしないことがある。

***XsrfKey [#ac657ea9]
-asp.net mvc 5 - What is the XsrfKey used for and should I set the XsrfId to something else? - Stack Overflow~
http://stackoverflow.com/questions/32121504/what-is-the-xsrfkey-used-for-and-should-i-set-the-xsrfid-to-something-else

XsrfKeyは、XSRF = CSRFを防ぐためのstateパラメタの生成に使用される。~
stateパラメタは暗号化によって生成されるので、XsrfKey自体が露見することはない。~
従って、この値としても、無作為な値を使用する必要はない。

*[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 Server仕様 [#jc794866]

**概要 [#m5d1767f]
概ね、[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]に準拠。

-[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]側の仕様
-[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]]を拡張した認証の仕様

については、「[[ASP.NET IdentityによるSTS実装>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity%E3%81%AB%E3%82%88%E3%82%8BSTS%E5%AE%9F%E8%A3%85]]」を参照。

**共通 [#x3169086]

***Server側 [#m3bdee3f]
-AuthorizationServer
--認可エンドポイント
---redirect_uriチェックは不要（部分一致をサポートしない完全事前登録制とするため）
--Tokenエンドポイント（Access Tokenの発行方法）
---scope=その他の値の場合、scopeパラメタ値をClaimに格納する（通常の動作）。

-ResourceServer
--リソース・アクセス用のWeb APIを提供する。

***Client側 [#r1ee86fd]
-パラメタ
--redirect_uri指定は不要（部分一致をサポートしない完全事前登録制とするため）
--state指定は必須（ID Tokenのnonce Claimにコレを設定する）。

-ResourceServerリソース・アクセス用のWeb APIにアクセスする場合、
--Access TokenをHTTPヘッダに指定して送信する。

***Access Tokenへの情報格納方法 [#ua3f247e]
Access Tokenのフォーマットには[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションを使用する。

-この[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションには、OpenID Connectと同様のID Tokenを含める。
-Access TokenはOAuthAuthorizationServerOptions.AccessTokenFormatに設定した、モジュールで生成される。
-AccessTokenFormatモジュールとの情報の受け渡しには、[[ASP.NET Identity>https://techinfoofmicrosofttech.osscons.jp/index.php?ASP.NET%20Identity]]の仕組みに準拠し、ClaimsIdentityを使用する。
-ClaimsIdentityには、以下のようなURN形式の文字列をkeyに使用して、OAuthAuthorizationServer側からvalueの追加を行う。
 claimsIdentity.AddClaim(new Claim("urn:oauth:scope", scope));

**クライアント認証 [#g36cdbd4]
ここでのクライアントとは、ユーザではなく、[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 のClientを指しているので注意する。

-認可エンドポイントでは、クライアント認証ではなく、Redirectエンドポイントの検証を行う。
-クライアント認証は、Tokenエンドポイントにアクセスする際に行なう。
-ベーシック認証の認証ヘッダを使用して[[クライアント識別子>#a5eeec1b]]を送信する。

***クライアント識別子 [#a5eeec1b]
-GUIDを使用する
--32文字の英数字。
--URLに指定するので、[{}, -] は無し。

-client_id~
全てのグラント種別以外で必須
-client_secret
--Implicitグラント種別以外で必須
--ただし、[[ユーザ認証>#wc68d5c6]]で使用する場合は、Implicitグラント種別でも必須。

**ユーザ認証 [#wc68d5c6]

***Server側 [#ccacfafd]
-Access TokenにOpenID Connectと同様のID Token（[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーション）を含める。

-ApplicationOAuthBearerTokenProviderの実装
--ValidateClientRedirectUriのオーバーライド
---
--

-[[クライアント識別子>#a5eeec1b]]は全てのグラント種別で必須となる。

***Client側 [#x687be6c]
-グラント種別
--できるだけ、Authorization Codeグラント種別を使用する。
--Implicitグラント種別もサポートするが、その場合、~
ユーザ認証用Access Tokenと[[クライアント識別子>#a5eeec1b]]の露見のリスクがあることに注意すること。
--従って、できるだけ、[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーションをClient側で検証することが推奨される。

-パラメタ
--response_typeには、"code"(推奨) or "token"を指定する。

-ResourceServerのユーザ認証専用のWebAPIにアクセスする場合、
--ユーザ認証用Access Tokenに加え、前述の[[クライアント識別子>#a5eeec1b]]をPOSTで送信する。

***ResourceServerのWebAPI [#q45fd27c]
-/api/OAuthResourceApi/GetUserClaim

**パラメタ化 [#t2745f68]

***共通設定 [#l76fce40]
-[[OAuth>https://techinfoofmicrosofttech.osscons.jp/index.php?OAuth]] 2.0 STSの有効化・無効化設定
  <!-- 共通設定 -->
  <add key="EquipOAuthServer" value="true" />

-OAuthAuthorizationServerOptions
  <!-- プロパティ -->
  <add key="AllowOAuthInsecureHttpEndpoints" value="true" />
  <add key="OAuthAuthorizeEndpointCanDisplayErrors" value="true" />
  <add key="OAuthAccessTokenExpireTimeSpanFromMinutes" value="360" />
  <add key="OAuthRefreshTokenExpireTimeSpanFromDays" value="14" />

-[[JWT>https://techinfoofmicrosofttech.osscons.jp/index.php?JWT]]アサーション関連の設定
  <!-- JWT -->
  <add key="OAuthIssuerId" value="http://jwtssoauth.opentouryo.com" />
  <!-- JWTの署名に使用する X.509 証明書に関するパラメタ -->
  <add key="OAuthJWTPassword" value="xxxxx" />
  <add key="OAuthJWT_pfx" value="XXXXX_RS256.pfx" />
  <add key="OAuthJWT_cer" value="XXXXX_RS256.cer" />

-Grant Typeの有効・無効
  <!-- Grant Typeの有効・無効 -->
  <add key="EnableResourceOwnerCredentialsGrantType" value="true" />
  <add key="EnableClientCredentialsGrantType" value="true" />
  <add key="EnableRefreshToken" value="true" />

***Server側エンドポイント [#ea36e6a5]
-Authorization Serverエンドポイント
  <!-- AuthorizationServerエンドポイント --> 
  <add key="OAuthAuthorizationServerEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" />
  <!-- 認可エンドポイント -->
  <add key="OAuthAuthorizeEndpoint" value="/Account/OAuthAuthorize" />
  <!-- Tokenエンドポイント -->
  <add key="OAuthBearerTokenEndpoint" value="/OAuthBearerToken" />

-Resource Serverエンドポイント
  <!-- ResourceServerエンドポイント -->
  <add key="OAuthResourceServerEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" />
  <add key="OAuthAuthenticateUserWebAPI" value="/api/OAuthResourceApi/AuthenticateUser" />
  <add key="OAuthGetUserClaimWebAPI" value="/api/OAuthResourceApi/GetUserClaim" />

***Client側エンドポイント [#e0e7e9ba]
  <!-- Client -->
  <!-- Clientエンドポイント -->
  <add key="OAuthClientEndpointsRootURI" value="http://localhost:nnnnn/MultiPurposeAuthSite" />
  <!-- Redirectエンドポイント -->
  <!--  - test_self_code : Authorization Codeグラント種別 -->
  <add key="OAuthAuthorizationCodeGrantClient" value="/Account/OAuthAuthorizationCodeGrantClient" />
  <!--  - test_self_token : Implicitグラント種別 -->
  <add key="OAuthImplicitGrantClient" value="/Account/OAuthImplicitGrantClient" />

***[[クライアント識別子>#a5eeec1b]] [#ic5d0bd8]
以下をツールを使用して生成して、登録する。

-先頭の[[クライアント識別子>#a5eeec1b]]は、テスト用Redirectエンドポイントを使用するテスト用。
-以降の[[クライアント識別子>#a5eeec1b]]は、ユーザのサイト。

  <!-- クライアント識別子 (client_id, client_secret, redirect_uri) -->
  <add key="OAuthClientsInformation" value='
       {
         "-guid(client_id)-": {
           "client_secret": "-乱数-",
           "redirect_uri_code": "test_self_code",
           "redirect_uri_token": "test_self_token",
           "client_name": "TestUser"
         },
         "-guid(client_id)-": {
           "client_secret": "-乱数-",
           "redirect_uri_code": "http://hogehoge0/aaa",
           "redirect_uri_token": "http://hogehoge0/bbb",
           "client_name": "hogehoge0"
         },
         "-guid(client_id)-": {
           "client_secret": "-乱数-",
           "redirect_uri_code": "http://hogehoge1/aaa",
           "redirect_uri_token": "http://hogehoge1/bbb",
           "client_name": "hogehoge1"
         },
         "-guid(client_id)-": {
           "client_secret": "-乱数-",
           "redirect_uri_code": "http://hogehoge2/aaa",
           "redirect_uri_token": "http://hogehoge2/bbb",
           "client_name": "hogehoge2"

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.009 sec.