サポートされているトークン
トークンは、セキュリティに関連する決定を行い、ユーザーを認可し、システム・エンティティに関する改ざん防止情報をアイデンティティ・ドメインに格納するために使用されます。
アイデンティティ・ドメインでは、JSON Webトークン(JWT)がサポートされています。JWTは、関係者間で情報がJSONオブジェクトとして安全に送信するための、コンパクトで自己完結する方法を定義するJSONベースのオープン標準(RFC 7519)です。この情報はデジタル署名されるため、検証可能で信頼できます。JSON Webトークンは、ピリオドアで区切られた3つの部分で構成されます((xxxx.yyyy.zzzz))。
-
ヘッダー。トークン(JWT)のタイプ、および使用されるハッシュ・アルゴリズム(SHA256など)の2つの部分で構成されます。
-
ペイロード。クレーム(トークン・データ)が含まれます。
-
署名。エンコード済トークン・ヘッダー、およびアイデンティティ・ドメイン秘密キーを使用して署名されたエンコード済ペイロードで構成されます。署名を使用して、JWTの送信者が誰かを検証し、メッセージが途中で変更されていないことを確認します。
アイデンティティ・ドメインでは、アイデンティティ・トークン、アクセス・トークンおよびクライアント・アサーションの3つの異なるトークンがサポートされています。
サポートされている各トークンの詳細情報にアクセスするには、次のいずれかのリンクを選択します。
トークンの有効期限については、次を参照してください。
アイデンティティ・トークン
アイデンティティ・トークンは、エンド・ユーザーに関するクレームを含むOpenID Connect標準で定義されている、整合性が確保された自己完結型のトークン(JSON Webトークン(JWT)形式です。アイデンティティ・トークンは、アイデンティティ・ドメインで認証を使用可能にするためのOpenID ConnectのOAuth 2.0に対する主要な拡張機能です。
アイデンティティ・トークンJWTは、ヘッダー、ペイロードおよびデジタル署名の3つのコンポーネントで構成されます。これらの3つのセクションは、JWT標準に従って、Base64URLでエンコードされ、ピリオドで区切られます。
OpenID Connectリクエストには
openidスコープ値が含まれている必要があります。 OpenID Connect 1.0は、OAuth 2.0プロトコルの上にある単純なアイデンティティ・レイヤーです。これにより、IAMアイデンティティ・ドメイン・クライアント・アプリケーション(クライアントIDとクライアント・シークレットを使用してOAuth 2クライアントとして登録)は、認可サーバー(AS)によって実行される認証に基づいてエンド・ユーザーのアイデンティティを確認でき、相互運用可能でRESTなどの方法でエンド・ユーザーに関する基本プロファイル情報を取得できます。OpenID Connectを使用すると、Webベース、モバイルおよびJavaScriptクライアントを含む全タイプのクライアントは、認証されたセッションおよびエンド・ユーザーに関する情報をリクエストして受け取ることができます。詳細は、OpenID Connectを参照してください。
| 名前 | 値 |
|---|---|
amr
|
認証メソッドの参照。認証で使用される認証メソッドの識別子である文字列のJSON配列。たとえば、値はパスワードとOTP認証メソッドの両方が使用されたことを示す場合があります。 |
at_hash
|
OAuth 2アクセス・トークン・ハッシュ値。 |
aud
|
このIDトークンが対象とする受信者を識別します。(OpenID Connect仕様に従った) OAuth 2.0 client_idである必要があります。これは、リクエストを行うOAuthクライアント名(app.name)です。Audには、IAMアイデンティティ・ドメイン発行者も含まれているため、トークン・タイプ(IT)がIAMアイデンティティ・ドメインのユーザー・アサーションに変わります。 |
authn_strength*
|
Cloud SSOから返され、認証コンテキストからの認証強度を示す値。 |
auth_time
|
Cloud SSOがユーザーを実際に認証した時間(UNIXエポック時間)(秒単位、AuthNコンテキストから取得)。 |
azp
|
認可パーティ。IDトークンが発行されたパーティ。存在する場合、このパーティのOAuth 2.0クライアントIDが含まれている必要があります。このクレームは、IDトークンに単一のオーディエンス値があり、そのオーディエンスが認可されたパーティと異なる場合にのみ必要です。認可パーティが単独のオーディエンスと同じ場合でも含まれることがあります。azp値は、大/小文字を区別する文字列で、StringOrURI値が含まれます。 |
exp
|
その時間以降は処理のためにIDトークンの受入れができなくなる有効期限(UNIXエポック時間)。この値は、session_exp.と同じである必要があります |
iat
|
JWTが作成された時間(UNIXエポック時間、秒単位)。UNIX Epoch Time is a JSON number representing the number of seconds from 1970-01-01T0:0:0Z as measured in Coordinated Universal Time (UTC) until the date/time. |
iss
|
トークンを発行したプリンシパル: https://<domainURL>
|
jti
|
サーバーで生成される、JWT IDの一意の識別子。 |
nonce
|
クライアント・セッションをIDトークンに関連付けて、リプレイ攻撃を軽減するために使用される文字列値。この値はCloud Gateによって提供されます。 |
session_exp*
|
Cloud SSOセッションの期限が切れる時間(UNIXエポック時間)(秒単位、認証コンテキスト内で同じSSOのセッション有効期限であることが必要)。 |
sid
|
認証コンテキストからのCloud SSOのセッションID (ASCII文字で最大255文字)。 |
sub
|
ユーザーを識別します。サブジェクト識別子は、ローカルに一意で再割当てされることはなく、クライアントのユーザー・ログインID (ASCII文字で最大255文字)で消費されることを目的にはしています。これは、認証コンテキストからのユーザーのログインIDです。 |
sub_mappingattr*
|
IDストアでサブを検索するために使用される属性。 |
tok_type*
|
トークン・タイプを識別します: IT |
user_displayname*
|
認証コンテキストからのユーザー表示名(ASCII文字で最大255文字)。 |
user_csr*
|
(trueの場合)ユーザーはカスタマ・サービス担当(CSR)であることを指定します。 |
user_id*
|
AuthNコンテキストからのユーザーのIAMアイデンティティ・ドメインGUID。 |
user_lang*
|
ユーザーの優先言語。 |
user_locale*
|
ユーザーのロケール |
user_tenantname*
|
ユーザー・テナント名(ASCII文字で最大255文字)。テナントのGUIDは、実際にはトークンに保存されません |
user_tz*
|
ユーザーのタイムゾーン。 |