アクセス権限付与タイプ
OAuthフロー内でアプリケーションに最も重要なステップは、アプリケーションがアクセス・トークンを(オプションでリフレッシュ・トークンとともに)受け取ることです。権限付与タイプは、トークンを取得するのに使用されるメカニズムになります。OAuthでは、様々な認可メカニズムを表す複数の異なるアクセス権限付与タイプが定義されています。
クライアント・アプリケーションに指定された権限付与タイプに応じて、アプリケーションは様々な方法でアクセス・トークンをリクエストして保護されているエンドポイントにアクセスできます。権限付与とは、保護されているリソースにアクセスするためのリソース所有者の認可を表す資格証明です。トラステッド・アプリケーション(バックエンド・サービスなど)は、ユーザーのかわりにアクセス・トークンを直接リクエストできます。これは、OAuth 2レッグ認可フロー。通常、OAuth Webアプリケーションでは、最初にユーザーのアイデンティティを検証し、必要に応じてユーザーの承諾を得る必要があります。これは、OAuth 3レッグ認可フロー。
たとえば、リソース所有者権限付与タイプを使用する場合は、リソース所有者のパスワード資格証明(ユーザー名およびパスワード)を認可権限付与として直接使用して、アクセス・トークンを取得できます。クライアント資格証明権限付与タイプを使用する場合は、クライアントがOAuthサービスを使用して認証し、アクセス・トークンをリクエストします。アサーション権限付与を使用する場合は、アクセスをリクエストするときにユーザー・アサーションがクライアント情報とともに送信されます。
複数の権限付与タイプを1つのアプリケーションに割り当てることは可能だが、アプリケーションで使用する必要がある権限付与のタイプのみを選択することをお薦めします。追加する各権限付与タイプは、アプリケーションがこれらの権限付与タイプのいずれかを使用してアイデンティティ・ドメインと通信できることを意味します。ただし、アプリケーションは使用する権限付与タイプを実行時に選択します
mTLSクライアント認証の実施
mTLSクライアント認証は、トークン・リクエストがセキュア・トランスポート・レイヤー(mTLS)を経由する場合、すべての権限付与タイプに対して適用されます。次の段落の詳細を参照してください。
- トークン・リクエストがセキュア・トランスポート・レイヤー(mTLS)を経由する場合、OAuthサービスは証明書検証とOAuth付与(クライアント資格証明、ユーザー・パスワードなど)の両方をチェックします。
- 付与(クライアント資格証明、ユーザー・パスワード)が正しい場合でも、証明書が正しくないか、クライアント・プロファイルの構成と一致しない場合、トークン・リクエストは拒否されます。同様に、証明書が正しい場合、トークン・リクエストは拒否されますが、クライアント資格証明またはユーザー・パスワードのメイン付与が正しくありません。
mTLSのsecureDomainURLを取得します
- ドメインの詳細ページに移動し、ドメインURLを検索します。例:
https://<domainURL>/.well-known/idcs-configuration - /.well-known/idcs-configurationをドメインURLの.comの後に追加し、ドメイン構成ページに移動します。
secure_token_endpointのURLはsecureDomainURLです。