OpenID Connect (OIDC) を使用してソーシャルログインを設定する
OpenID Connect (OIDC) プロトコルのための公式 Logto コネクター。
このガイドでは、Logto コネクターに関する基本的な知識を持っていることを前提としています。もし持っていない場合は、コネクターの設定 ガイドを参照して始めてください。
はじめに
OIDC コネクターは、OIDC プロトコルをサポートする任意のソーシャルアイデンティティプロバイダーへの Logto の接続を可能にします。
ℹ️ 注意
OIDC コネクターは Logto における特別な種類のコネクターであり、いくつかの OIDC ベースのコネクターを追加できます。
OIDC アプリを作成する
このページを開いたときには、接続したいソーシャルアイデンティティプロバイダーがすでに決まっていると考えています。最初に行うべきことは、アイデンティティプロバイダーが OIDC プロトコルをサポートしていることを確認することです。これは有効なコネクターを設定するための前提条件です。その後、アイデンティティプロバイダーの指示に従って、OIDC 認可のための関連アプリを登録および作成します。
コネクターを設定する
セキュリティ上の考慮から「Authorization Code」グラントタイプのみをサポートしており、Logto のシナリオに完全に適合します。
clientId と clientSecret は、OIDC アプリの詳細ページで見つけることができます。
clientId: クライアント ID は、認可サーバーへの登録時にクライアントアプリケーションを識別する一意の識別子です。この ID は、認可サーバーがクライアントアプリケーションのアイデンティティを確認し、特定のクライアントアプリケーションに関連付けられた認可されたアクセス トークンを関連付けるために使用されます。
clientSecret: クライアントシークレットは、登録時に認可サーバーからクライアントアプリケーションに発行される秘密のキーです。クライアントアプリケーションは、この秘密キーを使用して、アクセス トークンを要求する際に認可サーバーに対して自分自身を認証します。クライアントシークレットは機密情報と見なされ、常に安全に保たれるべきです。
tokenEndpointAuthMethod: トークンエンドポイント認証方法は、クライアントアプリケーションがアクセス トークンを要求する際に認可サーバーに対して自分自身を認証するために使用されます。サポートされている方法を確認するには、OAuth 2.0 サービスプロバイダーの OpenID Connect ディスカバリエンドポイントで利用可能な token_endpoint_auth_methods_supported フィールドを参照するか、OAuth 2.0 サービスプロバイダーが提供する関連ドキュメントを参照してください。
clientSecretJwtSigningAlgorithm (オプション): tokenEndpointAuthMethod が client_secret_jwt の場合にのみ必要です。クライアントシークレット JWT 署名アルゴリズムは、トークンリクエスト中に認可サーバーに送信される JWT をクライアントアプリケーションが署名するために使用されます。
scope: スコープパラメーターは、クライアントアプリケーションがアクセスを要求しているリソースと権限のセットを指定するために使用されます。スコープパラメーターは通常、特定の権限を表す値のスペース区切りリストとして定義されます。たとえば、スコープ値が "read write" の場合、クライアントアプリケーションがユーザーのデータへの読み取りおよび書き込みアクセスを要求していることを示すかもしれません。
authorizationEndpoint、tokenEndpoint、jwksUri、および issuer を OpenID プロバイダーの構成情報として見つけることが期待されます。これらはソーシャルベンダーのドキュメントで利用可能であるべきです。
authenticationEndpoint: このエンドポイントは、認証プロセスを開始するために使用されます。認証プロセスは通常、ユーザーがログインし、クライアントアプリケーションがそのリソースにアクセスするための認可を付与することを含みます。
tokenEndpoint: このエンドポイントは、クライアントアプリケーションが要求されたリソースにアクセスするために使用できる ID トークンを取得するために使用されます。クライアントアプリケーションは通常、トークンエンドポイントにグラントタイプと認可コードを含むリクエストを送信して ID トークンを受け取ります。
jwksUri: これは、ソーシャルアイデンティティプロバイダー(略して IdP)の JSON Web Key Set (JWKS) を取得できる URL エンドポイントです。JWKS は、認証プロセス中に発行される JSON Web トークン (JWT) を IdP が署名および検証するために使用する暗号化キーのセットです。jwksUri は、IdP が JWT に署名するために使用する公開鍵を取得するために RP が使用し、RP が IdP から受け取った JWT の真正性と整合性を検証できるようにします。
issuer: これは、RP が IdP から受け取った JWT を検証するために使用する IdP の一意の識別子です。これは JWT に iss クレーム として含まれています(ID トークンは常に JWT です)。発行者の値は、IdP の認可サーバーの URL と一致する必要があり、RP が信頼する URI である必要があります。RP が JWT を受け取ると、iss クレームをチェックして、それが信頼できる IdP によって発行されたものであり、RP で使用することを意図していることを確認します。
jwksUri と issuer は、認証プロセス中にエンドユーザーのアイデンティティを RP が検証するための安全なメカニズムを提供します。jwksUri から取得した公開鍵を使用することで、RP は IdP によって発行された JWT の真正性と整合性を検証できます。発行者の値は、RP が信頼できる IdP によって発行された JWT のみを受け入れ、それらの JWT が RP で使用することを意図していることを保証します。
認証リクエストは常に必要であるため、authRequestOptionalConfig が提供され、すべてのオプション設定をラップします。詳細は OIDC 認証リクエスト を参照してください。また、この設定に nonce が欠けていることに気付くかもしれません。nonce は各リクエストで同一であるべきなので、nonce の生成はコード実装に含めています。心配しないでください!前述の jwksUri と issuer も idTokenVerificationConfig に含まれています。
標準の OIDC プロトコルがインプリシットフローとハイブリッドフローの両方をサポートしているのに、Logto コネクターが認可フローのみをサポートしている理由に興味があるかもしれません。インプリシットフローとハイブリッドフローは認可フローよりも安全性が低いと判断されています。Logto のセキュリティへの注力により、ユーザーに最高レベルのセキュリティを提供するために、認可フローのみをサポートしていますが、若干の不便さがあります。
responseType と grantType は「Authorization Code」フローでのみ固定値にできるため、オプションとし、デフォルト値が自動的に入力されます。
ℹ️ 注意
すべてのフロータイプに対して、カスタマイズパラメーターを配置するためのオプションの
customConfigキーを提供しています。 各ソーシャルアイデンティティプロバイダーは、OIDC 標準プロトコルに独自のバリアントを持つことができます。希望するソーシャルアイデンティティプロバイダーが OIDC 標準プロトコルに厳密に従っている場合、customConfigを気にする必要はありません。
設定タイプ
| 名前 | タイプ | 必須 |
|---|---|---|
| scope | string | True |
| clientId | string | True |
| clientSecret | string | True |
| authorizationEndpoint | string | True |
| tokenEndpoint | string | True |
| idTokenVerificationConfig | IdTokenVerificationConfig | True |
| authRequestOptionalConfig | AuthRequestOptionalConfig | False |
| customConfig | Record<string, string> | False |
| AuthRequestOptionalConfig プロパティ | タイプ | 必須 |
|---|---|---|
| responseType | string | False |
| tokenEndpoint | string | False |
| responseMode | string | False |
| display | string | False |
| prompt | string | False |
| maxAge | string | False |
| uiLocales | string | False |
| idTokenHint | string | False |
| loginHint | string | False |
| acrValues | string | False |
| IdTokenVerificationConfig プロパティ | タイプ | 必須 |
|---|---|---|
| jwksUri | string | True |
| issuer | string | string[] | False |
| audience | string | string[] | False |
| algorithms | string[] | False |
| clockTolerance | string | number | False |
| crit | Record<string, string | boolean> | False |
| currentDate | Date | False |
| maxTokenAge | string | number | False |
| subject | string | False |
| typ | string | False |
IdTokenVerificationConfig の詳細については こちら を参照してください。