アクセス権限付与タイプ
OAuthフロー内のアプリケーションの最も重要なステップは、アプリケーションがアクセス・トークン(およびオプションでリフレッシュ・トークン)を受け取る方法です。権限タイプとは、トークンの取得に使用されるメカニズムのことです。OAuthでは、それぞれ異なる認可メカニズムを表す複数のアクセス権限付与タイプが定義されています。
クライアント・アプリケーションに指定された権限付与タイプに応じて、アプリケーションは様々な方法でアクセス・トークンをリクエストして保護されているエンドポイントにアクセスできます。権限付与とは、保護されているリソースにアクセスするためのリソース所有者の認可を表す資格証明です。トラステッド・アプリケーション(バックエンド・サービスなど)は、ユーザーのかわりにアクセス・トークンを直接リクエストできます。これは、OAuth 2レッグ認可フローである。通常、OAuth Webアプリケーションでは、最初にユーザーのアイデンティティを検証し、必要に応じてユーザーの承諾を得る必要があります。これは、OAuth 3レッグ認可フローである。
たとえば、リソース所有者権限付与タイプを使用する場合は、リソース所有者のパスワード資格証明(ユーザー名およびパスワード)を認可権限付与として直接使用して、アクセス・トークンを取得できます。クライアント資格証明権限付与タイプを使用する場合は、クライアントがOAuthサービスを使用して認証し、アクセス・トークンをリクエストします。アサーション権限付与を使用する場合は、アクセスをリクエストするときにユーザー・アサーションがクライアント情報とともに送信されます。
複数の権限付与タイプを1つのアプリケーションに関連付けることは可能だが、アプリケーションで使用する必要がある権限付与のタイプのみを選択することをお薦めします。追加する各権限付与タイプは、これらの権限付与タイプのいずれかを使用してアプリケーションがアイデンティティ・ドメインと通信できることを意味します。ただし、アプリケーションは実行時に、使用する権限付与タイプを選択します。
mTLSクライアント認証の適用
mTLSクライアント認証は、トークン・リクエストがセキュア・トランスポート・レイヤー(mTLS)を通過する場合、すべての権限付与タイプに適用されます。次の段落の詳細を参照してください。
- トークン・リクエストがセキュア・トランスポート・レイヤー(mTLS)を介して行われた場合、OAuthサービスは、クライアント資格証明、ユーザー・パスワードなどの証明書検証とOAuth権限付与の両方をチェックします。
- 付与(クライアント資格証明、ユーザー・パスワード)が正しい場合でも、証明書が正しくないか、クライアント・プロファイルの構成と一致しない場合、トークン・リクエストは拒否されます。同様に、証明書が正しい場合、トークン・リクエストは拒否されますが、クライアント資格証明またはユーザー・パスワードのメイン付与が正しくありません。
mTLSのsecureDomainURLの取得
- ドメインの詳細ページに移動し、ドメインURLを検索します。例:
https://<domainURL>/.well-known/idcs-configuration - ドメインURLで.comの後に/.well-known/idcs-configurationを追加し、ドメイン構成ページに移動します。
secure_token_endpointのURLはsecureDomainURLです。