OpenID ConnectHands-on

@nov, @kura_lab, @lef

OAuth 2.0x

Authentication

Your Server

GET /me

User Info

GET /me

User Info

:Different User Data

Token ReplaceYour Server

OAuth 2.0 + Identity Layer= OpenID Connect

OpenID Connect IdPs

Google+ Sign-in

by Google

YConnect

by Yahoo! Japan

Ping Federate

by Ping Identity

Debug: Google+ Sign-inhttps://developers.google.com/oauthplayground/

Google OAuth 2.0 Playground

Google が Developer に提供している OAuth 2.0 体験サイト

https://developers.google.com/oauthplayground/

HTTP レベルで OAuth 2.0 の各フローを体験できる

Access Token 取得

API アクセス

OpenID Connect も基本的なフローは OAuth 2.0 と共通なので

ここで OpenID Connect のフローも体験できる

Try Google+ Sign-inOpenID Connect Flow

STEP 1: scope に “openid email profile” を指定

STEP 2: ボタン押すだけ

STEP 3: Request URI に “https://www.googleapis.com/oauth2/v3/userinfo”

Try YConnect Integration

YConnect: Application 登録

OAuth 2.0 対応 API を使うには, ほとんどの場合, 事前に

Developer サイト等から Application の登録が必要

「アプリケーションID登録手順」参照

..hopefully already done..

YConnect: Obtain Access Token

UserInfo (プロフィール情報) 取得 API にアクセスするために

OAuth 2.0 の Access Token を取得

同時に ID Token も取得

ID Token の取得タイミングは response_type によって変わる

「YConnect 利用ガイド」参照

まずは Authorization Code フロー

それができたら Implicit フローを

YConnect: Get UserInfo

「UserInfo API リファレンス」参照

YConnect: ID Token Verification

Check Token API を使う方法

「YConnect 利用ガイド」参照

この方法は現時点では標準化されていないので注意

Client サイドで署名検証を実施する方法

YConnect の場合は client_secret を鍵に HMAC-SHA256 で署名されている

Try Ping Federate

Ping Federate Integration Steps

ユーザー登録