Open棟梁 汎用認証サイトの使い所

[daisukenishino]

以下、回答

汎用認証サイトは、

単なるアプリの認証機能で使うとなると少々オーバースペックですが、

昨今、認証一つとっても、結構複雑

　例えば、Visual StudioのASP.NET標準でASP.NET Identityのテンプレートを付けてきて、

　「こんなの短期間で習得できる訳無い & １つのアプリに組み込むには大き過ぎるだろ。」

　と突っ込みたくなるのですが、.NETにコレ以上に良い認証ライブラリが無いのも事実で。

なので、認証サイトを別立てして、

OAuth2などで外部ログインできれば、

アプリ側も、（比較的に）楽に開発ができるかと思います。

汎用認証サイトは、

・単純な、IdP（サンイアップ・サインイン機能の提供）として使用できます。

・また、STS（OAuth2 / OIDC）を使用して、外部アプリケーションを外部ログインで認証できます。

　・ASP.NET Identity(2系)は、OAuth2の基本部分しかサポートしないので、OAuth2拡張やOIDCは自作です。

　・ASP.NET Identity3というASP.NET CoreのライブラリはOAuth2拡張やOIDCなど、

　　最新の仕様を追っているようですが、現時点でASP.NET Coreに移行できるか微妙です。

・また、もっと高度な利用方法として、

　OAuth2 / OIDC本来の活用方法があります。

　・SSO

　・認証 / 認可

　・IDフェデレーション

　・スマホ / SPA、からのWebAPIを使用する際のWebAPI認証

　※ 何れも認証系ですが。

今後のロードマップなどを書きましたので、下記もご参照下さい。

・今後の予定をメモしてみました。 - OSSコンソーシアム

　https://www.osscons.jp/joe5n9qnb-537/#_537

　　Open棟梁 v2 ソリューション化検討資料

　　https://www.slideshare.net/daisukenishino/open-v2-88557122

・用語

　・IdP　：Identity Provider

　・STS　：Security Token Service

[k_no...@e-mind.co.jp]

現在、オープンソースの業務システム「MosP」(https://mosp.jp/)とOpen棟梁の汎用認証サイトを用いることで
MosPへのWebAPIリクエストに対するOatuh2.0の認可処理を実現しようとしています。
その際は「RFC 6749　4.1　Authorization Code Grant」フローでの実現は可能でしょうか。
「汎用認証サイト」のIF仕様書などはあればご教示ください。

[nishi.74322014]

k_no...@e-mind.co.jp さん

Authorization Code GrantはOAuth2の

最も基本的な機能なのでサポートしています。

IF仕様はRFC6749にあるままですが、

ざっくり概要を説明しますと、

（１）認可リクエスト（スターター）

http://openid-foundation-japan.github.io/rfc6749.ja.html#code-authz-req

  GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz

      &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

  Host: server.example.com

　この間に、ユーザー（リソースオーナーは、

　　ログイン画面でログインと認可画面で認可を行う）

（２）認可レスポンス

http://openid-foundation-japan.github.io/rfc6749.ja.html#code-authz-resp

  HTTP/1.1 302 Found

  Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

（３）アクセストークンリクエスト

http://openid-foundation-japan.github.io/rfc6749.ja.html#token-req

  POST /token HTTP/1.1

  Host: server.example.com

  Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

  Content-Type: application/x-www-form-urlencoded

  grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA

  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

（４）アクセストークンレスポンス

http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor25

  HTTP/1.1 200 OK

  Content-Type: application/json;charset=UTF-8

  Cache-Control: no-store

  Pragma: no-cache

  {

    "access_token":"2YotnFZFEjr1zCsicMWpAA",

    "token_type":"example",

    "expires_in":3600,

    "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",

    "example_parameter":"example_value"

  }

となっています。

access_tokenもOIDCのid_tokenと同様にJWT化されています。

なので、必要に応じて、Token検証などを行う事も出来、

通常のOAuth2よりセキュアに利用できます。

...

汎用認証サイトの利用手順はこちらにありますが、

https://opentouryo.osscons.jp/index.php?%E6%B1%8E%E7%94%A8%E8%AA%8D%E8%A8%BC%E3%82%B5%E3%82%A4%E3%83%88%E3%81%AE%E3%83%95%E3%82%A1%E3%83%BC%E3%82%B9%E3%83%88%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E3%82%AC%E3%82%A4%E3%83%89

少々古いので、必要であれば、

オンデマンドでメンテナンスしますので

必要なタイミングなどあったら言って下さい。

西野

2018年11月22日木曜日 15時53分34秒 UTC+9 k_no...@e-mind.co.jp:

[k_no...@e-mind.co.jp]

西野さん

早速のご回答をありがとうございました。
wikiを見ながら動かしてみたいと思います。

どうぞよろしくお願い致します。

[nishi.74322014]

k_no...@e-mind.co.jpさん

Wikiですが、結構古くて、最新版は、

フォルダ構成など含め結構変わってるので、

必要なら、Skypeなどで、やりましょう。

西野

2018年11月22日木曜日 17時28分37秒 UTC+9 k_no...@e-mind.co.jp:

西野さん

早速のご回答をありがとうございました。
wikiを見ながら動かしてみたいと思います。

どうぞよろしくお願い致します。