Post on 24-May-2015
transcript
OpenID ConnectHands-on
@nov, @kura_lab, @lef
OAuth 2.0x
Authentication
Your Server
GET /me
User Info
GET /me
User Info
:Different User Data
Token ReplaceYour Server
OAuth 2.0 + Identity Layer= OpenID Connect
OpenID Connect IdPs
Google+ Sign-in
by Google
YConnect
by Yahoo! Japan
Ping Federate
by Ping Identity
Debug: Google+ Sign-inhttps://developers.google.com/oauthplayground/
Google OAuth 2.0 Playground
Google が Developer に提供している OAuth 2.0 体験サイト
https://developers.google.com/oauthplayground/
HTTP レベルで OAuth 2.0 の各フローを体験できる
Access Token 取得
API アクセス
OpenID Connect も基本的なフローは OAuth 2.0 と共通なので
ここで OpenID Connect のフローも体験できる
Try Google+ Sign-inOpenID Connect Flow
STEP 1: scope に “openid email profile” を指定
STEP 2: ボタン押すだけ
STEP 3: Request URI に “https://www.googleapis.com/oauth2/v3/userinfo”
Try YConnect Integration
YConnect: Application 登録
OAuth 2.0 対応 API を使うには, ほとんどの場合, 事前に
Developer サイト等から Application の登録が必要
「アプリケーションID登録手順」参照
..hopefully already done..
YConnect: Obtain Access Token
UserInfo (プロフィール情報) 取得 API にアクセスするために
OAuth 2.0 の Access Token を取得
同時に ID Token も取得
ID Token の取得タイミングは response_type によって変わる
「YConnect 利用ガイド」参照
まずは Authorization Code フロー
それができたら Implicit フローを
YConnect: Get UserInfo
「UserInfo API リファレンス」参照
YConnect: ID Token Verification
Check Token API を使う方法
「YConnect 利用ガイド」参照
この方法は現時点では標準化されていないので注意
Client サイドで署名検証を実施する方法
YConnect の場合は client_secret を鍵に HMAC-SHA256 で署名されている
Try Ping Federate
Ping Federate Integration Steps
ユーザー登録