認可
前提知識
このドキュメントを理解するには、以下の基礎知識が役立ちます:
- OAuth 2.0の基本 - OAuth 2.0の認可の仕組み
- OpenID Connectの基本 - OIDCによる認証
- OAuth 2.0の役割 - 4つの役割
- 認可コードフロー - 認可フローの詳細
概要
idp-serverは、OAuth 2.0/OpenID Connect/CIBAに準拠した認可サーバー(Authorization Server) として動作しま��す。
認可サーバーとは、リソースへのアクセス権限を管理し、トークンを発行する役割を担うサーバーです。
idp-serverでは以下のような用途に対応できます:
- Webアプリケーションでの「スコープ制限付きアクセス」
- SPAでの「安全なトークン管理(PKCE + Refresh Token Rotation)」
- マイクロサービスでの「サービス間認証(Client Credentials Grant)」
- IoTデバイスでの「非同期認証(CIBA Flow)」
OAuth 2.0における4つの役割
| 役割 | 説明 | idp-serverでの対応 |
|---|---|---|
| Resource Owner | リソースの所有者(エンドユーザー) | idp-serverで認証・同意 |
| Client | リソースにアクセスしたいアプリケーション | Management APIで登録・管理 |
| Authorization Server | 認可を管理し、トークンを発行 | idp-server本体 |
| Resource Server | 保護されたリソース(API)を提供 | Introspectionでトークン検証 |
idp-serverにおける認可の設計思想
1. テナント単位の認可サーバー
idp-serverでは、1つのテナント = 1つの独立した認可サーバー として動作します。
特徴:
- テナントごとに異なる認可ポリシー
- テナントごとに独立したクライアント管理
- テナントごとに異なるトークン設定
メリット:
- マルチテナント環境での完全な分離
- テナントごとのカスタマイズ可能
- セキュリティ境界の明確化
詳細は concept-01: マルチテナント を参照。
2. スコープベースのアクセス制御
idp-serverでは、スコープ(Scope) を単位としてアクセス権限を管理します。
スコープの種類:
| スコープタイプ | 例 | 用途 |
|---|---|---|
| 標準スコープ | openid, profile, email | OIDC標準のユーザー属性 |
| カスタムスコープ | api:read, api:write | 独自API権限 |
| カスタムクレームスコープ | claims:roles, claims:permissions | 個別属性指定(idp-server独自) |
| 身元確認スコープ | verified_claims:given_name | 身元確認済み属性(idp-server独自) |
設計原則:
- 最小権限の原則: 必要最小限のスコープのみ付与
- 粒度の適切さ: 粗すぎず細かすぎない権限設計
- 認証強度との連動: 強い認証 = より多くのスコープ許可(動的スコープフィルタリング)
詳細は concept-09: カスタムクレーム を参照。
3. 認証強度と連動した動的スコープフィルタリング
idp-server独自の機能として、認証方式に応じてスコープを動的に制限できます。
使用例:
パスワード認証のみ → scope=openid profile(基本情報のみ)
FIDO2認証 → scope=openid verified_claims:*(身元確認済み情報も許可)
メリット:
- 認証強度に応じた適切な情報開示
- 過剰な権限付与の防止
- セキュリティとユーザー体験の両立
詳細は concept-05: 認証ポリシー を参照。
4. 身元確認との連携
verified_claims: スコープにより、身元確認済み属性のみを取得できます。
使用例:
scope=openid verified_claims:given_name verified_claims:family_name
→ 身元確認済みの名前のみを取得
条件:
- ユーザーが身元確認(eKYC)を完了していること
verified_claims:プレフィックス付きスコープを要求- 認証強度が要件を満たしていること
詳細は concept-03: 身元確認済�みID を参照。
5. 多様な認可フロー
idp-serverは、クライアントの特性に応じた複数の認可フローをサポートします。
フロー選択の基準:
| クライアント種類 | 推奨フロー | 理由 |
|---|---|---|
| サーバーサイドWebアプリ | Authorization Code Flow | 最も安全、シークレット保護可能 |
| SPA/モバイルアプリ | Authorization Code + PKCE | Public Clientでも安全 |
| マイクロサービス(M2M) | Client Credentials Grant | ユーザー不要の認可 |
| IoT/デバイス認証 | CIBA Flow | 非同期・プッシュ通知対応 |
詳細は以下を参照:
6. クライアント認証の柔軟性
idp-serverは、7つのクライアント認証方式をサポートします。
認証方式の選択基準:
| 選択基準 | 推奨方式 | 理由 |
|---|---|---|
| FAPI準拠(金融・医療) | tls_client_auth | Mutual TLS、FAPI要件 |
| シークレット共有を避けたい | private_key_jwt | 公開鍵暗号、漏洩リスク低 |
| シークレット共有OK | client_secret_basic/post | シンプル、管理容易 |
| Public Client | none + PKCE | SPA/モバイルアプリ |
7. 2種類のトークン形式
idp-serverは、2種類のトークン形式をサポートします。
識別子型(Opaque Token):
アクセストークン: "7b3f8c2d-9e1a-4f6b-8d2c-1a3e5f7b9d2c"
→ データベースで検証・管理
→ Introspectionで検証
→ 即座に失効可能
内包型(JWT Token):
アクセストークン: "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9..."
→ 署名検証のみで利用可能
→ データベースアクセス不要
→ 失効は有効期限まで不可(リボケーションリストで対応)
比較:
| 特性 | 識別子型 | 内包型(JWT) |
|---|---|---|
| 検証方法 | Introspection API | 署名検証 |
| 即座の失効 | 可能 | 不可(リボケーションリストで対応) |
| パフォーマンス | DB問い合わせ必要 | 署名検証のみ |
| 推奨用途 | 厳密な制御が必要な場合 | 高速・スケーラブル |
詳細は concept-06: トークン管理 を参照。
ユースケース
1. Webアプリケーションでのユーザー認証・認可
シーン: SaaSサービスのWebアプリで、ユーザーのプロフィール情報を取得したい
設定:
- クライアントタイプ: Confidential Client
- 認可フロー: Authorization Code Flow
- クライアント認証:
private_key_jwt - スコープ:
openid profile email - トークン形式: 内包型(JWT)
フロー:
- ユーザーがWebアプリにアクセス
- Webアプリがidp-serverにリダイレクト
- ユーザーが認証・同意
- 認可コード発行
- Webアプリがトークンエンドポイントでトークン取得
- IDトークンからユーザー情報取得
2. SPAでの認証・認可
シーン: React/VueのSPAで、安全にユーザー認証したい
設定:
- クライアントタイプ: Public Client
- 認可フロー: Authorization Code Flow + PKCE
- クライアント認証:
none - スコープ:
openid profile - トークン形式: Refresh Token Rotation有効化
セキュリティ対策:
- PKCE必須(code_verifier/code_challenge)
- Refresh Token Rotation(使い捨てトークン)
- 短いアクセストークン有効期限(15分以内推奨)
3. マイクロサービスでのAPI保護
シーン: マイクロサービス間通信で、サービスAがサービスBのAPIにアクセスしたい
設定:
- クライアントタイプ: Confidential Client
- 認可フロー: Client Credentials Grant
- クライアント認証:
private_key_jwt - スコープ:
api:read api:write - トークン検証: Introspection
フロー:
- サービスAが Client Credentials Grant でトークン取得
- サービスAがトークンを付けてサービスBにリクエスト
- サービスBがIntrospectionでトークン検証
- スコープ確認(
api:readがある?) - レスポンス返却
4. モバイルアプリでのデバイス認証
シーン: モバイルアプリで、プッシュ通知による認証を実現したい
設定:
- クライアントタイプ: Confidential Client
- 認可フロー: CIBA Flow (Push Mode)
- クライアント認証:
private_key_jwt - スコープ:
openid profile verified_claims:* - 認証デバイス: FCM Push通知
フロー:
- クライアントがバックチャネル認証リクエスト
- idp-serverがユーザーのデバイスにプッシュ通知
- ユーザーがデバイスで認証・承認
- idp-serverがクライアントにPush通知(認証完了)
- クライアントがトークンエンドポイントでトークン取得
詳細は protocol-02: CIBA Flow を参照。
セキュリティ考慮事項
認可サーバー側の責務
- クライアント検証: リダイレクトURIの厳密な一致検証
- PKCE強制: Public Clientは必ずPKCE使用
- トークン有効期限: 適切な短期設定(Access Token: 15分、Refresh Token: 30日等)
- 同意の記録: ユーザーの同意履歴を永続化
- 監査ログ: すべての認可操作をログ記録(concept-11参照)
クライアント側の責務
- ステート検証: CSRF対策(
stateパラメータ) - PKCE実装: Public Clientは必須
- トークン保護: セキュアな保存(HTTPOnly Cookie、Secure Storage等)
- スコープ最小化: 必要最小限のスコープのみ要求
スコープ設計の原則
- 最小権限: 必要な情報だけアクセス
- 粒度の適切さ:
adminのような粗すぎるスコープは避ける - センシティブ情報:
verified_claims等は慎重に扱う - 認証強度連動: 弱い認証では強いスコープを許可しない
セキュリティ拡張機能
idp-serverは、最新のOAuth/OIDCセキュリティ拡張をサポートします。
| 拡張仕様 | 仕様 | 目的 | idp-server対応 |
|---|---|---|---|
| PKCE | RFC 7636 | 認可コード横取り攻撃対策 | ✅ 必須(Public Client) |
| JAR | RFC 9101 | 認可リクエストのJWT化 | ✅ 対応 |
| JARM | OIDF JARM | 認可レスポンスのJWT化 | ✅ 対応 |
| PAR | RFC 9126 | 認可リクエストの事前プッシュ | ✅ 対応 |
| RAR | RFC 9396 | 詳細なアクセス要求 | ✅ 対応 |
| FAPI | OIDF FAPI 1.0/2.0 | 金融レベルセキュリティ | ✅ Baseline/Advanced対応 |
これらの拡張により、金融・医療・行政など高セキュリティ要件の環境でも利用可能です。
関連ドキュメント
- マルチテナント - テナント単位の認可サーバー
- 身元確認済みID - verified_claimsスコープ
- 認証ポリシー - 認証強度と連動したスコープ制御
- トークン管理 - トークン形式・有効期限設計
- カスタムクレーム - スコープとクレームの関係
- コントロールプレーン - 認可サーバー・クライアント設定API
- セキュリティイベント - 認可操作のログ記録
- Authorization Code Flow - 認可フロー詳細
- CIBA Flow - バックチャネル認証
- Introspection - トークン検証
参考仕様
- RFC 6749: The OAuth 2.0 Authorization Framework - OAuth 2.0基本仕様
- RFC 7591: OAuth 2.0 Dynamic Client Registration Protocol - 動的クライアント登録
- RFC 7636: Proof Key for Code Exchange (PKCE) - PKCE
- RFC 7662: OAuth 2.0 Token Introspection - Introspection
- RFC 7009: OAuth 2.0 Token Revocation - Revocation
- RFC 8705: OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens - mTLS
- RFC 9101: The OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request (JAR) - JAR
- RFC 9126: OAuth 2.0 Pushed Authorization Requests (PAR) - PAR
- RFC 9396: OAuth 2.0 Rich Authorization Requests (RAR) - RAR
- OpenID Connect Core 1.0 - OIDC基本仕様
- OpenID Connect Discovery 1.0 - Discovery
- OpenID Connect Client-Initiated Backchannel Authentication Flow - Core 1.0 - CIBA
- JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) - JARM
- Financial-grade API (FAPI) 1.0 - Part 1: Baseline - FAPI Baseline
- Financial-grade API (FAPI) 1.0 - Part 2: Advanced - FAPI Advanced
- Financial-grade API: Client Initiated Backchannel Authentication Profile - FAPI-CIBA