このビデオについて

このビデオは、2021 年 11 月 17 日に開催された勉強会「OAuth 2.0 と OpenID Connect の細かい話: Authlete ナレッジベースから覗くプロファイリングの深淵」のプレゼンテーション録画です。

OAuth 2.0 / OpenID Connect (OIDC) をサービスに適用する際、必要となるのが「プロファイリング（詳細仕様化）」です。フレームワークである OAuth 2.0 はもちろん、その上に作られた OIDC であっても、仕様がスコープ外とする箇所や、仕様が示す複数の選択肢からどれを使うかは、サービスやビジネスの特性に応じて決めなくてはなりません。たとえば:

• クライアントからのトークンリフレッシュ要求に対して認可サーバーが返却する、リフレッシュトークン (RT) の有効期限はどうする?
• リソースオーナーの同意の下にクライアントに発行されたアクセストークン (AT1) が有効な状態で、さらにそのクライアントに AT2 を発行する際、すでに発行されていた AT1 はどう取り扱う?

この勉強会では、OAuth/OIDC サーバーを構築するための汎用的な API セットである Authlete の、ナレッジベースの記事を参照しながら、OAuth/OIDC プロファイリングのあれやこれやを紹介します。

リソース

• ナレッジベース
  • Authlete ナレッジベース
• 対象リソース
  • 「パラメーター化されたスコープ」の利用
  • Rich Authorization Requests
  • Lodging Intent Pattern Example with Authlete
• エンティティとメッセージの確からしさ
  • クライアント認証の設定
  • client_secret_jwt によるクライアント認証
  • private_key_jwt によるクライアント認証
  • tls_client_auth によるクライアント認証
  • 認可リクエストにおける PKCE 利用の強制化
  • 認可リクエストでの PKCE 利用における “S256” 指定の強制化
  • Pushed Authorization Requests (PAR)
  • JARM の有効化
• リソースオーナーの意図
  • エンドユーザーに認可するスコープを選択させる方法
• 有効期間
  • トークンの有効期間の計算ロジック
  • ハイブリッドフローによる 2 つのアクセストークンの発行
• トークン属性
  • トークンに任意のプロパティをひもづける方法
  • 2 種類のイントロスペクション API の使い分け
  • 「JWT ベースのアクセストークン」の有効化
• Proof of Possession (PoP)
  • TLS クライアント証明書を結びつけたアクセストークンの発行
  • OAuth & OIDC 勉強会 【アクセストークン編】 5. Proof of Possession
• リフレッシュされたトークンの特性
  • リフレッシュトークンの継続利用設定
• コンテキストが同等な場合
  • アクセストークンの単一化
• 失効処理の起点
  • ユーザーがクライアントに付与した認可の取得・変更・取り消し
• クリーンアップ
  • 使用されていないトークンに関する Authlete の削除ポリシー
• ID トークンと UserInfo の使いわけ
  • ユーザー属性情報の提供方式と、各方式における Authlete の処理方
• 提供するユーザー属性情報の決定
• IDトークンに追加する「クレーム」の判別
• セキュリティプロファイルの適用
  • Financial-grade API (FAPI) Basics
• 参考情報
  • シーケンス図テンプレート
  • Authlete API Reference
  • authlete-java-common