ID とアクセス
OpenID Connect (OIDC)
別称: OIDC
定義
OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
OpenID Connect (OIDC) は、OAuth 2.0 を標準化された認証プロトコルで拡張します。認可サーバーは OAuth のアクセストークンに加えて、認証された利用者に関するクレーム(sub、iss、aud、auth_time、属性など)を含む署名付き JWT である ID トークンを発行し、UserInfo エンドポイントも提供します。クライアントは署名、発行者、Audience、有効期限を確認したうえで身元を信頼します。OIDC は、Web/モバイル SSO、ソーシャルログイン、IdP 間フェデレーションのデファクト標準となっています。SAML と比べて JSON/HTTP に親和的で、モバイルや API でも扱いやすく、PKCE、pairwise サブジェクト識別子、送信者拘束トークンの DPoP など、現代的な機能をサポートします。
例
- Web アプリが OIDC で「Microsoft でサインイン」を提供し、社員を認証する。
- モバイルアプリが Auth0 発行の ID トークンを検証してからユーザーデータを表示する。
関連用語
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
シングルサインオン (SSO)
信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
フェデレーテッド ID
別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。
SAML
ID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。