問題タブ [openid-provider]

OpenID のサード パーティとの統合を完了しようとしています。難しい部分はすべて完了しており、すべてが機能しています。

この foo.com と呼ばれるサードパーティは、サイトにログインしているユーザーに OpenID 認証を提供していますが、管理していないドメインのユーザーに関する情報を認証および提供しています。私の会社のドメインである gmail.com のようなドメインと、ログインしているアカウントの任意のメール アドレスからの他のドメインであると確信しています。

これは OpenID 仕様によるとコーシャですか? (ドキュメントが見つかりません) foo.com が bar.com に OpenID 認証を提供しているように思えます。ここで、foo.com と bar.com は無関係であり、bar.com は OpenID サポートを提供していない可能性があります。 OpenID のポイント全体が欠けている: アカウントを完全に制御している人の ID のみを認証する必要があります。

Web サイト 1に OAuth/OpenID を実装し、それをWeb サイト 2で使用したいと考えています。

Web サイト 1のサインアップ、サインイン、サインアウト、プロファイル機能/ページを作成し、 Web サイト 2で Facebook や Twitter 認証のような認証を使用したいと考えています。

追加情報として、興味を持った場合は、ウェブサイト 1とウェブサイト 2の試用サイトにアクセスできます。上で述べたように、それらはまだ試用版であるため、完全な機能または正しい機能を期待しないでください。

PS OAuth を使用することにしました。OpenID のことは忘れてください。

LaravelにOpenIDの実装はありますか？（プロバイダーとコンシューマー）

私がやろうとしているのは、1つのCoreAppをOpenIDプロバイダーのように機能させ、他のAppをOpenIDコンシューマーとして機能させて、ユーザーが次のいずれかを選択できるようにすることです。

• CoreAppOpenIDシステムでログインします
• 他のOpenIDプロバイダー（Google、Facebook、Twitter ...）でログインします
• アカウントを作成すると、ユーザーは他のアカウントを作成するためにCoreAppにリダイレクトされ、そのアカウントをOpenIDアカウントとして使用して、自分のアプリにログインします。

oAuth（1＆2）もこの使用法を意味していることがわかりますか？Laravelのチュートリアル/ハウツーはありますか？

L4（Beta1）のベータ段階のため、L3を本番環境に使用するのは良いことだと思いますか？

私はLaravelにかなり慣れていませんが、まだRTFMレベルです:)

Usually the user first visits the client site (like stackoverflow) and gets redirected to the OpenID Provider (OP) and gets redirected back to the client after authenticating.

Imagine now we have a portal which acts as a OP. After I login into the portal it should show links to applications. These applications are managing there logins with openID Clients. Is it possible to construct links (or redirect headers) to the application (openID client)?

Step by Step like this:

1. Fresh Browser (old cookies etc. deleted)
2. Visit OpenID Provider
3. Log into OpenID Provider site.
4. Click on a link in your profile to another website which provides openID client mechanism
5. You get immediately logged in without any further action from the user

Is it possible? Or do I always have to visit the openId Client first to start a session or something like this?

(if it differs from openId v1 and v2, it would be nice to hear about it)

node.js での適切な OpenID プロバイダーの実装を知っている人はいますか? 多分ノードモジュール？

中継パーティ機能を実装するために、passportjs を使用しています。

私は一連の RESTful Web アプリケーションのユーザー向けの内部認証システムに取り組んでいます。私たちの意図は、ユーザーが Web フォームを介して 1 回サインオンできる必要があり、ドメイン内のこれらすべての RESTful アプリケーションに適切にアクセスできるようにすることです。これは、多くのサーバーにまたがるプライベート クラウドに分散されている可能性があります。(単一の認証済みセッションを持つことは純粋な RESTful アプローチと一致しないことは既に理解していますが、これは使いやすさの要件です。)

アプリケーション自体はさまざまなプログラミング言語で作成されるため、言語に依存しないアプローチが必要です。OpenID や OAuth、または同様のフレームワークを使用して認証を処理することを提案されましたが、これらはサードパーティ サービスを対象としており、内部システムでデータを共有するファーストパーティ サービスを対象としていないことを理解しています。この場合、他のすべてのアプリケーションがサード パーティ (または依存パーティ) として扱われる、中央のプロバイダー サービスを持つことができます。

質問:

1. OpenID/OAuth はファーストパーティ サービス間の認証に適していますか?
2. もしそうなら、このユースケースの認証をどのように設定することをお勧めしますか?
3. ユーザーは、サードパーティのサーバーに個別のアクセス許可を付与する必要があるのと同じように、使用する各ファースト パーティのサーバーに個別のアクセス許可を付与する必要があるのではないでしょうか? これは、すべてのファースト パーティ サービスにアクセスするためのシングル サインオンの要件に違反すると思います。
4. このファーストパーティのユースケースをサポートしているサイトの良い例はありますか?
5. このファーストパーティのユースケースに適した代替フレームワークは何ですか?

私たちは OpenId プロバイダーであり、チームは基盤となる OpenId プロバイダー サービスとして現在運用中の DotNetOpenAuth 3.4 を使用しています。IProviderApplicationStore インターフェイスを実装し、データベース テーブルを使用して OpenIdAssociation と OpenIdNonce を格納しました。

ここでバージョン 4.2 に移行したいと考えていますが、この実装では IOpenIdApplicationStore インターフェイスを使用するようになりました。このインターフェイスは、IAssociationStore インターフェイスの代わりに ICryptoStore インターフェイスを継承します。

Provider コードと OpenIdAssociation テーブルを CryptoStore を使用するように移行する方法を教えてもらえますか?

他に注意すべきことはありますか？

.NET での OpenID Connect プロバイダーの実装のサンプルはありますか?

DotNetOpenAuth はこの標準をサポートしていないようです。

The OpenID 2.0 specification says very little about the relation between the session type and association type in OpenID association requests. My questions: (1) Is a combination of session type "DH-SHA1" and association type "HMAC-SHA256" valid? (2) How about the reverse, i.e. "DH-SHA256" and "HMAC-SHA1"?

I don't think these mixed combinations are explicitly forbidden by the spec, but section 8.2.3 describes the process of encrypting the MAC key for transport as follows:

Does this imply that the MAC key length must be 20 bytes for session type DH-SHA1 and 32 byte for session type DH-SHA256? Section 6.2 of the spec states

Does this then imply that DH-SHA1 always must be paired with HMAC-SHA1 and the same for the ...256 versions?

Another data point: the OpenId provider at https://me.yahoo.com/ seems to accept association requests with session type DH-SHA1 and association type HMAC-SHA256, returning a 20 byte MAC key.

以下のようにカスタム Open Id クライアントを作成しています。

}`

コードに見られるように、私が使用しようとしてhttp://localhost:39167/いる OpenIdProvider は、DotNetOAuth サンプル、つまり OpenIdWebRingSsoProvider および OpenIdWebRingSsoRelyingParty によって開発されており、RP webconfig で次のように定義されています。

そして、私は自分のウェブサイトに CustomOpenIdClient を登録しています

OAuthWebSecurity.RegisterClient(new CustomOpenIdClient(), "TestOpenId", new Dictionary<string, object>());

認証しようとすると、No OpenId End Point found が表示されます

OAuthWebSecurity.RequestAuthentication(Provider, ReturnUrl)

ローカルホストは、RP の webconfig のホワイトリストで既に定義されています。この No OpenId End point エラーの原因となっている、ここで何が欠けているのか教えてください。

ありがとう、
SB