OpenID Connectはリソース所有者パスワード認証情報をサポートしますか?
-
21-12-2019 - |
質問
私は、承認のために以前にOAuthリソース所有者の資格情報フローを使用しています。
しかし、私はこれのペースでOpenID Connectを使用して、認証と許可のために、リソース所有者の資格情報フローがOpenID Connectでサポートされているかどうか疑問に思いました。
解決
はい、OpenID Connectは、リソース所有者パスワード認証情報付与およびクライアント認証情報を含むすべてのOAuth 2.0の付与タイプをサポートします。
認可コード付与と暗黙的な許可は、クライアントと認証サーバーとユーザーとの間の対話を含む典型的な3脚の流れです。リソース所有者パスワード認証情報付与およびクライアントクレデンシャル・グラントは2脚であるが、クライアントが事前に承認されたスコープを使用することを意味し、その結果、ユーザとの相互作用は必要であり、典型的なフローで足の1つを実行する必要がなくなる。
これは参照です。
他のヒント
答えはyesです。仕様で明示的ではありませんがOpenID ConnectはOAuth 2.0の拡張であるためすべてのOAuth 2.0フローをサポートしています。
SPECは、リソース所有者の認証情報がユーザー名とパスワードのみをサポートしているため、ブラウザのリダイレクトを伴うフローについて話します。
True SSOシステムでは、OP / IDPでユーザーを認証する方法から抽象化したいとします。ブラウザを含むことはそれをする方法です。リソース所有者パスワード認証情報フローでは、クライアントは、リソース所有者のユーザー名/パスワードを「Sees」さまざまなフローとは異なり、ApenID Connectのような連合SSOプロトコルの主な目的を軽減します。認証メカニズムと信任状はクライアントから独立している必要がある/アプリ。そのため、OpenID ConnectでROPCを多くの使用をもらうことはありません。これは、企業内のユースケースでは例外があります。
しかしあなたの走行距離は変わるかもしれません。特定のOP /ソフトウェアおよびクライアントライブラリーのサポート。
はい。私はまた同じ質問に対する答えを見つけていました。OpenID Connect仕様によると、OpenID Connectリクエストにauthorization code
とimplicit
Grantタイプを使用することをお勧めします。しかし、他の付与タイプを使用できないことは言及されていません。したがって、OpenID Connect認証要求に他のGRANTタイプを使用できます。これについて説明したOpenID Connectグループからのメールがいくつかあります。こちら。OAuth2承認サーバーがそれをサポートしている場合は、それを使用するのは問題ありません。私が知っているように、認証サーバのほとんどは、