OpenID Connect (OIDC) - 概要

OpenID Connect (OIDC) - 概要

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

OpenID 接続 (OIDC) は、OAuth 2.0 認可プロトコルの上に構築されたアイデンティティレイヤーです。これにより、サードパーティのアプリケーション(クライアント)がユーザーの認証および基本的な権限情報へのアクセスを行うことができます。

次に、OIDC の仕組みを理解する前に、いくつかの用語について確認しましょう。
OpenID Provider (OP)
Claims
ID token
Access token
更新する token
Authorization Endpoint
OAuth 2.0 認可コンポーネントの一つで、ユーザーの認証およびクライアントから要求されたユーザー情報の提供を行います。
Relying Party (RP)/ クライアント
スコープ
Authorization コード
リダイレクトURI
Sign-出力エンドポイント
クライアントアプリケーションは、OpenIDプロバイダーに対してユーザー認証およびユーザー情報を要求します。

 クライアントの前提条件:

クライアント(Relying Party)は、リソースプロバイダー(OpenIDプロバイダー)に登録し、OpenIDプロバイダーからクライアントIDおよびクライアントシークレットを取得している必要があります。

基本OIDCフロー:

Relying PartyはOpenIDプロバイダーのAuthorizationエンドポイントにリクエストを送り、ユーザー認証および特定のユーザー情報へのアクセス権限を取得します。ユーザーの認証および認可が完了すると、AuthorizationエンドポイントはIDトークンとアクセストークンをRelying Partyに送信します。
このトークン交換で使用中のメソッドは、Relying Party(RP)の種類および選択された認証フローによって異なります。各RPタイプおよびそれぞれに推奨される認証フローについては、この記事の後述のセクションで解説します。
RPは、アクセストークンを用いてOPのUserInfoエンドポイントからユーザー情報(クレーム)をリクエストします。OPは、同意済みのクレームをRPに送信します。

通常Webアプリケーション(MPA)とAuthorizationコードフロー

これらのアプリケーションはサーバー上で動作し、各操作ごとに新しいページリクエストをサーバーへ送信します。クライアントシークレットを安全に保存できるため、「Confidential Clients」とも呼ばれます。MPAに推奨される最適な認証フローはAuthorizationコードフローです。
このフローでは、RP(クライアント)がOPのAuthorizationエンドポイントに対して、ユーザー認証および特定のユーザー情報へのアクセス許可をリクエストします。ユーザー認証および認可取得後、AuthorizationエンドポイントからクライアントへAuthorizationコードが送信されます。クライアントはこのAuthorizationコードを、OPのトークンエンドポイントでIDトークンおよびアクセストークン(リクエストされていれば更新トークンも)と交換します。クライアントはIDトークンから必要なユーザー情報(クレーム)を取得します。
シングルページアプリケーション(SPA)とインプリシットフロー

SPAは、ユーザーの操作に応じて必要なセクションのみを読み込むモダンなWebアプリケーションです。これらのアプリケーションは通常クライアントサイドで動作し、初回に必要なすべてのリソースをサーバーから取得します。また、「公開クライアント」とも呼ばれ、クライアントシークレットを安全に保存できません。なぜなら、すべてのデータソースがブラウザー内に含まれるためです。SPAに推奨される認証フローはインプリシットコードフローです。
このフローでは、クライアント(RP)がOPのAuthorizationエンドポイントに対してユーザー認証および特定のユーザー情報へのアクセス許可をリクエストします。ユーザーの認証と認可取得後、Authorizationエンドポイントから直接クライアントにIDトークンが送信されます。リクエストされている場合は、アクセストークンや更新トークンも送信されます。クライアントはIDトークンから必要なユーザー情報を取得します。このフローでは、トークンエンドポイントは使用されません。
ネイティブアプリケーションとPKCEフロー

ネイティブアプリケーションは特定のデバイスに直接インストールされます。これらも「公開クライアント」と呼ばれます。直接デバイスにインストールされるため、シークレットを安全に保持できず、アプリケーションが誰でもデコンパイル可能でクライアントシークレットにアクセスできてしまいます。ネイティブアプリに推奨されるフローは、AuthorizationコードフローとProofキーによるコード交換(PKCE)です。
このフローでは、クライアント(RP)がコードベリファイア(ランダムな文字列)とコードチャレンジ(任意のハッシュ方式でコードベリファイアをハッシュ化したバージョン)を生成します。クライアントは、認可リクエストをOPの認可エンドポイントに送信する際、コードベリファイアも一緒に送ります。ユーザーが認証され、認可が取得された後、認可エンドポイントはクライアントに認可コードを送信します。OPのトークンエンドポイントでは、クライアントがこの認可コードとコードチャレンジ、さらにコードベリファイアをハッシュ化する際に使用したハッシュ方式を提供します。トークンエンドポイントは、指定されたハッシュ方式でコードチャレンジをデハッシュし、その結果がコードベリファイアと一致するかを確認することで、認可コードが同じクライアントから送信されたことを認証します。その後、トークンエンドポイントはIDトークンとアクセストークン(要求があれば更新トークンも)を発行します。クライアントはIDトークンから必要なユーザー情報を取得します。

    Zoho CRM 管理者向けトレーニング

    「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。

    日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。

    Zoho CRM Training



            Zoho Campaigns Resources

              Zoho WorkDrive Resources




                • Desk Community Learning Series


                • Digest


                • Functions


                • Meetups


                • Kbase


                • Resources


                • Glossary


                • Desk Marketplace


                • MVP Corner


                • Word of the Day


                • Ask the Experts






                        Latest Feature Updates



                                • Related Articles

                                • 概要

                                  Zoho Oneでは、各アプリの概要情報を表示するための部品(ウィジェット)が用意されています。ウィジェットは、ダッシュボード上に複数まとめて表示できます。ダッシュボードの作成/編集画面の右側には、使用可能なウィジェットの一覧が表示されます。こちらからウィジェットを選択し、要件に合わせてダッシュボードをカスタマイズすることが可能です。 たとえば、会計アプリの概要情報を表示するダッシュボードの場合、Zoho BooksやZoho ...

                                • Zoho OneにおけるOpen ID Connect (OIDC)の活用

                                  お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 OpenIDプロバイダーとして、Zoho One(ZO)はユーザーの認証およびユーザー権限情報への安全なアクセス認可をサポートします。これはOIDC認証プロトコルを通じて行われます。OIDCの詳細はこちら。 Zoho ...

                                • グループの概要

                                  Zoho Oneにおけるグループ機能は、ユーザー管理を効率化するのに役立ちます。グループ機能を活用することで、アプリへのアクセス権限やセキュリティポリシーに関する設定を、複数のユーザーに対してまとめて行うことができます。また、利用するアプリとしてZoho Mailを追加した場合は、グループのメールエイリアス(メーリングリスト)を作成することで、グループの全員に対してメールを一括配信できます。   Zoho Oneでは、次の2種類のグループを設定できます: ...

                                • デバイス管理 - 概要

                                  組織において、情報セキュリティへの対策や取り組みは必要不可欠です。今日では、個人情報の管理と同様に、組織で使用するPCや携帯電話の管理にも注意を払う必要があります。組織で使用する携帯電話やタブレットなどのデバイスを管理するためのサービスとして、 モバイルデバイス管理 (以下、MDM)が広く普及しています。このページでは、Zoho OneにおけるMDMの機能の概要について説明します。 Zoho ...

                                • 非ディレクトリOIDCアプリを追加する

                                  お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 無料プランでは、非Zohoアプリを最大3つまで追加できます。 Zoho Oneでは、任意のサードパーティアプリに対してOpenID接続(OIDC)を設定できます。OIDCの動作は、設定するアプリケーションの種類によって異なります。Zoho ...

                                Resources

                                Videos

                                Watch comprehensive videos on features and other important topics that will help you master Zoho CRM.



                                eBooks

                                Download free eBooks and access a range of topics to get deeper insight on successfully using Zoho CRM.



                                Webinars

                                Sign up for our webinars and learn the Zoho CRM basics, from customization to sales force automation and more.



                                CRM Tips

                                Make the most of Zoho CRM with these useful tips.