OpenID Connect

OIDCライブラリ

OAuth2との違い

認証機能を提供

認証トークンを使用して、ユーザーを認証するため、機密情報が漏洩するリスクを低減

セッション管理

SSO

セッション管理

これで、OPのログイン状態をチェックできるのか

アプリケーション側は、IDトークンの有効期限に応じて、セッション管理する

prompt

max_age

再認証を行わなくても良い期間

auth_timeクレーム

SSOセッション

ローカルセッション

シングルログアウト

シングルログアウトがない場合、ユーザーのアカウントは IDプロバイダーで無効にできますが、アプリケーションが次に ID プロバイダーと通信するまで、セッションが開いているアプリケーションでアクティブなままになる可能性

参考

------------------

イントロスペクションエンドポイント

リソースサーバーが認可サーバーに問い合わせるときの、認可サーバー側のエンドポイント

OIDC単独では使えない

aws sso

違い、ユースケース

どういうアクセス権限があるか？

cognito blog

AD saml

Userinfoエンドポイント

トークン置換攻撃 (Section 16.11 参照) を考慮すると, UserInfo Response が必ずしも ID Token の sub Claim が示す End-User のものであるとは保証できない. そのため UserInfo Response に含まれる sub Claim が ID Token のそれと一致することを検証しなければならない (MUST). もし2つが一致しない場合, UserInfo Response を利用してはならない (MUST NOT).

ID トークンの情報は、UserInfo エンドポイントで入手できる情報のスーパーセットです。 UserInfo エンドポイントを呼び出すトークンを取得すると、同時に ID トークンを取得できます。このため、UserInfo エンドポイントを呼び出す代わりに、トークンからユーザーの情報を取得することをお勧めします。

参考

- OIDCに置いては、IDトークンとアクセストークンがトークンエンドポイントから取得される。

- UserInfoエンドポイントへは、アクセストークンでリクエストする