More Related Content
Similar to OID to OIDC idcon mini vol1 (10)
OID to OIDC idcon mini vol1
- 1. OpenID 2.0
to
OpenID Connect
@ritou
2012/11/29
idcon mini Vol.1
- 2. 目的
OpenID 2.0とOpenID Connectとの並行運用や移行について
プロトコルの整合性
平行運用/移行案
ユーザーへの見せ方
意見交換
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 2
- 3. フローは大体同じ
OpenID 2.0 OpenID Connect
1. Discovery 1. Discovery
2. Establishing Associations 2. Dynamic Client Registration
3. AuthN Request 3. AuthZ Request
4. AuthN Response 4. AuthZ Response
5. Assertion Verification 5. ID Token Verification
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 3
- 4. ほとんどの拡張仕様はデフォルトでサポート
OpenID 2.0 OpenID Connect
SReg / AX UserInfo Endpoint
PAPE Request Object (acr, max_age)
UI Extension display
OAuth Extension OAuth 2.0 Based
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 4
- 5. 課題は識別子だけでしょ?
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 5
- 6. OpenID 2.0のユーザー識別子
Positive Assertionの中に含まれる openid.claimed_id
形式 : URL, XRI
フラグメントでリサイクル対策
PPID :
realm単位
RPがPAPEで指定
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 6
- 7. OpenID Connectのユーザー識別子
ID Token, UserInfo Responseに含まれるuser_id
形式 : 文字列
リサイクル対策 : ユニークにするだけ
PPID :
client_id単位
Registration時にuser_id_typeで指定
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 7
- 8. 汎用的な移行案とは?
OpenID ConnectのUserInfoでなんとかする
RPはOpenID 2.0で使っていたrealmをOPに伝える
OPがOpenID 2.0で返していた識別子を返す
これSpec必要かも?
Dynamic Registrationのrealm指定方法
claimed_idをやりとりするためのClaim名
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 8
- 9. ユーザーへの見せ方
アイコンなどでOP選択させてるRP
OpenID Connectに対応次第、切り替えていく
フォームに入力させてるRP
OpenID ConnectのDiscoveryのあとにOpenID 2.0のDiscovery?
EmailはOpenID Connectだけ使えるけどそのあたりはどう考える?
idcon mini Vol.1 - OpenID 2.0 to OpenID Connect 9
- 10. 意見交換タイム
idcon mini Vol.1 - Account Chooser 10