OpenID Connect
定義
OpenID Connect(OIDC)はOAuth 2.0の認可フレームワークの上に認証レイヤーを追加したプロトコル(2014年策定)で、IDトークン(JWT形式)によってユーザーの認証情報を安全に伝達します。OAuth 2.0が「何にアクセスできるか(認可)」のみを扱うのに対し、OIDCは「誰がログインしているか(認証)」も同時に扱います。IDトークンにはユーザーID(sub)・発行者(iss)・対象オーディエンス(aud)・有効期限(exp)・認証時刻(auth_time)などの標準クレームが含まれ、UserInfoエンドポイントで追加プロフィール情報を取得できます。Google・Microsoft・Appleなど主要なIdPがOIDCをサポートしており、「ソーシャルログイン」やエンタープライズSSOの実装基盤として広く使われています。セキュリティ上の実装注意点としてnonce(リプレイ攻撃防止)・iss/audの厳密な検証・stateパラメータによるCSRF対策・トークン有効期限の適切な設定が重要です。
関連用語
よくある質問
OpenID Connectとは?
OAuth 2.0の上に認証レイヤーを追加したプロトコル。IDトークン(JWT)でユーザー情報を伝達する。「Googleアカウントでログイン」など多くのフェデレーション認証の実装基盤。OAuth 2.0が認可、OIDCが認証を担う。
同じカテゴリの用語(プロトコル・技術)
APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…
DMARCなどの認証を満たしたメールにブランドロゴを表示し、正当な送信者であることを示しやすくする仕組み。…
どの認証局が自社ドメインのTLS証明書を発行できるかをDNSで指定するレコード。…