OpenID Connect (OIDC) - 概要

OpenID Connect (OIDC) - 概要

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

OpenID 接続 (OIDC) は、OAuth 2.0 認可プロトコルの上に構築されたアイデンティティレイヤーです。これにより、サードパーティのアプリケーション(クライアント)がユーザーの認証および基本的な権限情報へのアクセスを行うことができます。

次に、OIDC の仕組みを理解する前に、いくつかの用語について確認しましょう。
OpenID Provider (OP)
Claims
ID token
Access token
更新する token
Authorization Endpoint
OAuth 2.0 認可コンポーネントの一つで、ユーザーの認証およびクライアントから要求されたユーザー情報の提供を行います。
Relying Party (RP)/ クライアント
スコープ
Authorization コード
リダイレクトURI
Sign-出力エンドポイント
クライアントアプリケーションは、OpenIDプロバイダーに対してユーザー認証およびユーザー情報を要求します。

 クライアントの前提条件:

クライアント(Relying Party)は、リソースプロバイダー(OpenIDプロバイダー)に登録し、OpenIDプロバイダーからクライアントIDおよびクライアントシークレットを取得している必要があります。

基本OIDCフロー:

Relying PartyはOpenIDプロバイダーのAuthorizationエンドポイントにリクエストを送り、ユーザー認証および特定のユーザー情報へのアクセス権限を取得します。ユーザーの認証および認可が完了すると、AuthorizationエンドポイントはIDトークンとアクセストークンをRelying Partyに送信します。
このトークン交換で使用中のメソッドは、Relying Party(RP)の種類および選択された認証フローによって異なります。各RPタイプおよびそれぞれに推奨される認証フローについては、この記事の後述のセクションで解説します。
RPは、アクセストークンを用いてOPのUserInfoエンドポイントからユーザー情報(クレーム)をリクエストします。OPは、同意済みのクレームをRPに送信します。

通常Webアプリケーション(MPA)とAuthorizationコードフロー

これらのアプリケーションはサーバー上で動作し、各操作ごとに新しいページリクエストをサーバーへ送信します。クライアントシークレットを安全に保存できるため、「Confidential Clients」とも呼ばれます。MPAに推奨される最適な認証フローはAuthorizationコードフローです。
このフローでは、RP(クライアント)がOPのAuthorizationエンドポイントに対して、ユーザー認証および特定のユーザー情報へのアクセス許可をリクエストします。ユーザー認証および認可取得後、AuthorizationエンドポイントからクライアントへAuthorizationコードが送信されます。クライアントはこのAuthorizationコードを、OPのトークンエンドポイントでIDトークンおよびアクセストークン(リクエストされていれば更新トークンも)と交換します。クライアントはIDトークンから必要なユーザー情報(クレーム)を取得します。
シングルページアプリケーション(SPA)とインプリシットフロー

SPAは、ユーザーの操作に応じて必要なセクションのみを読み込むモダンなWebアプリケーションです。これらのアプリケーションは通常クライアントサイドで動作し、初回に必要なすべてのリソースをサーバーから取得します。また、「公開クライアント」とも呼ばれ、クライアントシークレットを安全に保存できません。なぜなら、すべてのデータソースがブラウザー内に含まれるためです。SPAに推奨される認証フローはインプリシットコードフローです。
このフローでは、クライアント(RP)がOPのAuthorizationエンドポイントに対してユーザー認証および特定のユーザー情報へのアクセス許可をリクエストします。ユーザーの認証と認可取得後、Authorizationエンドポイントから直接クライアントにIDトークンが送信されます。リクエストされている場合は、アクセストークンや更新トークンも送信されます。クライアントはIDトークンから必要なユーザー情報を取得します。このフローでは、トークンエンドポイントは使用されません。
ネイティブアプリケーションとPKCEフロー

ネイティブアプリケーションは特定のデバイスに直接インストールされます。これらも「公開クライアント」と呼ばれます。直接デバイスにインストールされるため、シークレットを安全に保持できず、アプリケーションが誰でもデコンパイル可能でクライアントシークレットにアクセスできてしまいます。ネイティブアプリに推奨されるフローは、AuthorizationコードフローとProofキーによるコード交換(PKCE)です。
このフローでは、クライアント(RP)がコードベリファイア(ランダムな文字列)とコードチャレンジ(任意のハッシュ方式でコードベリファイアをハッシュ化したバージョン)を生成します。クライアントは、認可リクエストをOPの認可エンドポイントに送信する際、コードベリファイアも一緒に送ります。ユーザーが認証され、認可が取得された後、認可エンドポイントはクライアントに認可コードを送信します。OPのトークンエンドポイントでは、クライアントがこの認可コードとコードチャレンジ、さらにコードベリファイアをハッシュ化する際に使用したハッシュ方式を提供します。トークンエンドポイントは、指定されたハッシュ方式でコードチャレンジをデハッシュし、その結果がコードベリファイアと一致するかを確認することで、認可コードが同じクライアントから送信されたことを認証します。その後、トークンエンドポイントはIDトークンとアクセストークン(要求があれば更新トークンも)を発行します。クライアントはIDトークンから必要なユーザー情報を取得します。

    Zoho CRM 管理者向けトレーニング

    「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。

    日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。

    Zoho CRM Training



              Zoho Campaigns Resources

                Zoho WorkDrive Resources




                  • Desk Community Learning Series


                  • Digest


                  • Functions


                  • Meetups


                  • Kbase


                  • Resources


                  • Glossary


                  • Desk Marketplace


                  • MVP Corner


                  • Word of the Day


                  • Ask the Experts






                          Latest Feature Updates



                                  • Related Articles

                                  • Zoho OneにおけるOpen ID Connect (OIDC)の活用

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 OpenIDプロバイダーとして、Zoho One(ZO)はユーザーの認証およびユーザー権限情報への安全なアクセス認可をサポートします。これはOIDC認証プロトコルを通じて行われます。OIDCの詳細はこちら。 Zoho ...

                                  • デバイス管理 - 概要

                                    組織において、情報セキュリティへの対策や取り組みは必要不可欠です。今日では、個人情報の管理と同様に、組織で使用するPCや携帯電話の管理にも注意を払う必要があります。組織で使用する携帯電話やタブレットなどのデバイスを管理するためのサービスとして、 モバイルデバイス管理 (以下、MDM)が広く普及しています。このページでは、Zoho OneにおけるMDMの機能の概要について説明します。 Zoho ...

                                  • 非ディレクトリOIDCアプリを追加する

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 無料プランでは、非Zohoアプリを最大3つまで追加できます。 Zoho Oneでは、任意のサードパーティアプリに対してOpenID接続(OIDC)を設定できます。OIDCの動作は、設定するアプリケーションの種類によって異なります。Zoho ...

                                  • Zoho Oneのモバイルアプリの概要

                                    Zoho Oneの組織の管理者は、モバイルデバイスでZoho Oneアプリにサインインして利用を開始できます(新規ユーザーの場合、モバイルアプリを利用する前にまずWeb版でZoho Oneに登録する必要があります)。Zoho Oneのモバイルアプリには、管理者にとってさまざまな便利な機能が用意されています。たとえば、管理画面では、各アプリに対するユーザーのアクセス権限を設定できます。また、ユーザーに対してセキュリティポリシーを適用したり、アプリへのアクセス権限の設定などを行うこともできます。 ...

                                  • タブ - 概要

                                    Zoho Oneでは、さまざまなZohoアプリを利用することができます。また、標準連携アプリ、Zoho Creatorで作成したカスタムアプリ、拡張連携アプリを利用することも可能です。数多くのアプリが利用できるため、場合によってはホーム画面が見づらくなる可能性があります。 例を見てみましょう。佐藤さんは組織の管理者です。組織では、25種類以上のアプリを使用しています。たくさんのアプリを利用する中で名前を間違えてしまい、「Zoho ShowTime」をクリックするつもりが「Zoho ...

                                  Resources

                                  Videos

                                  Watch comprehensive videos on features and other important topics that will help you master Zoho CRM.



                                  eBooks

                                  Download free eBooks and access a range of topics to get deeper insight on successfully using Zoho CRM.



                                  Webinars

                                  Sign up for our webinars and learn the Zoho CRM basics, from customization to sales force automation and more.



                                  CRM Tips

                                  Make the most of Zoho CRM with these useful tips.