OpenID Connectサーバーを作成する

Question

私は認証システムを構築しており、これをGoogle+やFacebookなどのフェデレーション認証認証システム（SSO）にしたいと考えています。調査の結果、OAuth 2.0の上にあるOpenID Connectが最善の策であることがわかりました。

自分でスタック全体を実装するよりも、既存のよくテストされたライブラリを使用する方が良いと思いますので、MITREID Connectを使用する予定です。コメントはありますか？

1. が、私は正しい軌道に乗っています：

   しかし、私はわからないのだがいくつか残っていますか？ OpenID-connect-serverのcodebaseは、ビルドしたいものに使用できますか？

2. OpenID Connectを使用してシステムを拡張したら、Webアプリケーション開発者に自分のOpenID Connect/OAuth2フォームにログインシステムを表示させるにはどうすればよいですか？クライアントが認証と承認のためにシステムを使用するために公開する必要があるデータやAPIを明確にするにはどうすればよいですか？

重要な点が見つからない場合は、私にお知らせください。間違ったフォーラムに投稿した場合は、投稿を適切なフォーラムに移動してください。

Answer 1

私は、認証システムを構築しているとGoogle+ やFacebookのように、それ フェデレーション認証および承認システム（SSO）したいと思います。調査の結果、OAuth 2.0の最上部のOpenID Connectが最善の策であることがわかりました。

IMHO、あなたは間違いなく正しいです！

私は私自身のスタック全体を実装するために よりも、既存の十分にテストのライブラリを使用する方がよいと思うので、私はMITREID Connectを使用する予定。コメントはありますか？

よくテストされたライブラリを使用することは、私が行ったことです。私はIdentityServer 3を使用しました。私はMITREIDを知らない。

もしそうなら、私はOpenIDの接続を使用してシステムを拡張仕上げ、どのように私は、Webアプリケーション開発者が OpenIDの接続/のOAuth2フォームに自分のログインシステムを表示するために得る のですか？クライアントが システムの認証と承認を開始するために公開する必要があるAPIは何ですか？ はどのデータを提供する必要がありますか？

あなたが十分にテストしたライブラリを実装すれば誰かがそれを行いましたが、OpenID Connect仕様で定義されているエンドポイントを実装する必要があります。それらは以下のとおりです。

• 認証/認証エンドポイント：クライアントが認証&認証フローを開始し1、それを通して - this

• トークンエンドポイントごとのように：クライアント要求/トークンをリフレッシュする1そこを通って - this

• のUserInfoエンドポイントごとに：一つは、それを通して、クライアントの利益は、そのトークンクライアントが所有しているトークンにスコープ - あたりとしてthis

• ディスカバリーエンドポイント：あなたがしたい場合は、単にできるようにクライアントが自動的にさらさすべてのエンドポイントを見つける - 詳細についてはthis

あたりとして、IdentityServer documentationを確認してください。 OpenIDファンダメンタルズにも良い（エンドポイントの部分）。