開発基盤部会 Blog

開発基盤部会 Blog >> 記事詳細

2019/07/15

OAuth2/OIDC/FAPI2関連仕様、JAR、JARMを汎用認証サイトに実装しました。

Tweet ThisSend to Facebook | by nishino
 JARとJARMって、Request Object と Response Object と言った感じの対になる仕様で、JAR / JARMと名前(略号)も似ています。


 これらの処理の内容は(、OIDCなのでAuthZではなく)、AuthN の Request / ResponseをJWT(JWS / JWE)形式で投げるダケなのですが、実装はソコソコ面倒臭いです。

 また、この2つの仕様、丁度、こないだSAML2の実装を終えた所なので解るのですが、2つ合わせてSAML2っぽいんですよね。特に、「Implicit Flow」の戻り(response_mode)を「form_post.jwt」にすると、ホント、SAMLっぽくなります。そんなモノを、今回、汎用認証サイトに実装しました(現在、プルリクのレビュー中)。

 これにより、FAPI2のConfidential Clientがガッツリとサポート出来ました(因みに、JARについては、FAP2のプロファイルの範囲内でのサポートです)。...で、以前の「FAPI2のConfidential Clientサポート宣言」は、JAR対応ができていなかったので、すいません、間違っていて、次バージョン(v01-90)で、FAPI2のConfidential Clientが正式サポートとなります。

 また、汎用認証サイトは、今後、「CIBA (Client Initiated Backchannel Authentication)」の実装を行った後、以降、暫くメンテナンス・フェーズに移行する予定です。この理由は、FAPI2のPublic Clientをサポートするための仕様である「OAUTB」が若干、暗礁に乗り上げているようにも見えるので。

 なので、今後は、現行、作り込んだ認証基盤をスマホから利用するテンプレートの開発と、IoTエッジ・コンピューティングや、その中で利用されるIoT系の認証に対して取り組んで行きたいと考えています(ただし、この中で、OAuth 2.0 Device Flowなどを汎用認証サイトに実装して行くと言う事はあるかもしれません)。
09:00 | 投票する | 投票数(0) | コメント(0) | お知らせ