OpenID Connect Federation 入门指南

标准原文OpenID Connect Federation 1.0

OpenID-Connect针对跨域的身份鉴别请求的需求,提出了自己的解决方案——OIDC联盟(OpenID Connect Federation )。和基于SAML框架的eduGAIN不同,OIDC联盟还只停留在技术方案阶段,并没有一个实体团体来维护和推进身份联盟的建设。

本文是基于OpenID-Connect的进阶内容。关于OpenID-Connect的详尽内容,请参看 OpenID Connect 协议入门指南

1. 发现与动态注册

在提出OIDC联盟之前, OpenID-Connect提供了发现Discovery)和动态注册Dynamic Registration)机制来支持服务方(Service Provider, SP)发现未知身份提供方(Identity Provider,IDP)并动态注册,其流程为:

  1. SP从IDP的特定路径中获取IDP的配置信息,如IDP的授权端点(authorization_endpoint)和令牌端点(token_endpoint)、验证ID令牌签名的公钥等;
  2. SP向IDP指定的注册端点发送他的返回重定向(redirect_uri)等信息;
  3. IDP返回的响应包括SP的ID(client_id)和口令(client_secret)等信息。

但是这样IDP动态注册SP的机制存在如下问题:

  1. 接收方不能仅凭消息本身来验证消息的完整性和消息来源的可靠性;
  2. 完整性和消息来源的可靠性保护完全依赖于TLS协议,但是TLS也可能出现问题;

如何才能实现元数据(IDP的配置信息、SP的配置信息)的可靠传输,这便是构建OIDC联盟的初衷。OIDC联盟利用唯一的可信第三方,建立一个互相信任的联盟,用于元数据的可靠传输,元数据的接收方可以验证消息的完整性和来源的可靠性,从而信任这些信息。

OIDC联盟使用OAuth2.0中规定的签名元数据(Signed Metadata),构建元数据声明(metadata statement)来安全传递元数据。

2. 元数据参数(Metadata Parameters)

为了构建联盟参与方的元数据声明,IDP和SP在注册是都需要提供联盟所要求的元数据参数。

以下为OIDC联盟在注册时IDP和SP都可配置的元数据参数:

  1. signing_keys (可选) 联盟中实体的公钥,以JSON Web Key (JWK)形式呈现。与IDP签发ID令牌的公钥不同,该公钥主要用来验证元数据的完整性和来源的可靠性,即对元数据进行验签时使用,如SP对IDP的注册响应的验签。
  2. signing_keys_uri (可选) 获取联盟中实体的公钥的URL,作用和signing_keys相同。唯一不同的是,从URL中获得的signing_keys是单独经过上级实体以 JSON Web Signature (JWS)格式签名的,而signing_keys中的公钥,会和其他元数据参数一起被上级实体签名。
  3. metadata_statements (可选) 联盟规定的元数据是嵌套的元数据,本级元数据需要加上上一级的元数据,直到最终的可信第三方,即信任锚。元数据声明参数的值是上级的元数据。本级的元数据将作为下级的元数据声明的值。最高级(Level 0)的元数据不包含该参数。
  4. metadata_statement_uris (可选)获取元数据声明的URL。
  5. signed_jwks_uri (可选) 增强版的jwks_uri。获取验证ID令牌签名的公钥的URL。公钥经过本机构的私钥签名,接收方可以使用signing_ keys进行验签。
  6. signing_keys需要对以下数据进行签名:下级的签名公钥(signing_ keys)、下级的元数据声明(metadata_statement)、和本级的ID令牌签名公钥(如果是IDP的话)。
  7. federation_usage (可选) 元数据声明的用处。由于发现、动态注册请求和动态注册响应中都会涉及元数据,这些元数据包含的参数并不相同,federation_usage规定了元数据究竟用于发现、动态注册请求还是动态注册响应。该参数的值包括:discoveryregistrationresponse

SP的元数据参数还包括redirect_uris等,本标准还规定了以下专用于SP的参数:

  1. scopes (建议) SP想要的资源范围。
  2. claims (建议) SP想要的属性声明。

IDP的元数据参数还包括issuer、authorization_endpoint、token_end point等。

3. 元数据声明(Metadata Statements)

元数据声明,即元数据参数组成的数据结构。某一机构的元数据声明包含本机构的签名公钥(signing_keys)以及本机构的元数据请求,包含本级的元数据参数。
本机构将未签名的元数据声明发送给上级机构,上级机构使用它的私钥对本机构的元数据请求和签名公钥进行签名,得到经过签名的元数据声明(metadata statement)。本机构的元数据声明将作为下级机构的元数据请求中参数metadata_ statement的值。

{
  "redirect_uris": ["https://example.com/rp1"],
  "metadata_statements": {
    'https://example.com':
      {
        "scope": "openid eduperson",
        "response_types": ["code", "code id_token"],
        "contacts": ["rp_helpdesk@example.com"],
        "redirect_uris": ["https://example.com/rp1"],
        "response_types: ["code"]
        "metadata_statements" : {
          'https://example.com':
            {
              "logo_uri": "https://example.com/logo.jpg",
              "policy_uri": "https://example.com/policy.html",
              "tos_uri": "https://example.com/tos.html"
            }
         }
      }
   }
}

元数据声明,是JWT格式的数据,如上,使用上级机构的私钥签名,JWT数据的载荷为本机构的签名公钥和其他元数据参数。

假设A、B、C是联盟中分属三个层次的机构,A是上级,B是中间级C是下级,则A对B的元参数请求和签名公钥签名,B再对C的元数据请求和签名公钥签名。C的元数据请求应当包含B的元数据声明。第0层的元数据请求不包含元数据声明的参数。第N层的请求者是第N+1层的签名者。

{
  "application_type": "web",
  "exp": 1496130898,
  "iat": 1496044498,
  "iss": "https://www.uninett.no",
  "kid": "5jl-7XNA-LaMiorIlf3qDdk35hbRaxnesdqzg1Q5rcg",
  "metadata_statements": {
    "https://swamid.sunet.se/": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjY1TUp
yRnFDeDBGUjk2SzNxWHJNZ0ZWMTkxOF9fVFc3dnVJMl9MUl9HZ28ifQ.eyJmZWRlcmF0
aW9uX3VzYWdlIjogInJlZ2lzdHJhdGlvbiIsICJzaWduaW5nX2tleXMiOiB7ImtleXMi
OiBbeyJrdHkiOiAiUlNBIiwgInVzZSI6ICJzaWciLCAia2lkIjogIjVqbC03WE5BLUxh
TWlvcklsZjNxRGRrMzVoYlJheG5lc2RxemcxUTVyY2ciLCAibiI6ICIyTmRUbXpNYThw
cWlzZU8wdFNITW1SaU1VbWVhRmQxVUNfLVUwSXJiLTdEUlBZTE92OER2VWRJRTA2OXZu
eURMWlNpM1VpbzNIMkUyNVc1c1FwUjdpZWVHeHI1bDNYWVdKZ2tpcW1EaWtIblF3anRw
RklPM1lfNWd5SHBCZHFLSHpZcnFPaDZhTWRyeUZqWkhqRF9QcDVkaF8tZG5WUjFqbHdB
M0wzSF91WG92QzAwYmVDMzBGUFk4OFByRFl2X1hDYm1KaUhtZ0FFTHlmZ1N2d0lHcUV6
a241VHc0Mk80RVlfaFB6Vm5NYkdSTEl6cy11eUlqSTJKTGpoemdWUDJBZlBkVF9zNkdB
QktmVlBrWDZvQ090enpqbVZfY2EzX2VPUGZ2MVlJQ0xlSnJ5M0pTVnRIbHFSekNDS2wy
ZFdQZC1XY09MN0lNVWlBd3hSV1hkNzFvbVEiLCAiZSI6ICJBUUFCIn1dfSwgInJlc3Bv
bnNlX3R5cGVzIjogWyJjb2RlIiwgInRva2VuIl0sICJ0b2tlbl9lbmRwb2ludF9hdXRo
X21ldGhvZCI6ICJwcml2YXRlX2tleV9qd3QiLCAic2NvcGVzIjogWyJvcGVuaWQiLCAi
ZW1haWwiXSwgImlzcyI6ICJodHRwczovL3N3YW1pZC5zdW5ldC5zZS8iLCAiaWF0Ijog
MTQ5NjA0NDQ5NywgImV4cCI6IDE0OTg2MzY0OTcsICJraWQiOiAiNjVNSnJGcUN4MEZS
OTZLM3FYck1nRlYxOTE4X19UVzd2dUkyX0xSX0dnbyIsICJqdGkiOiAiMWMzOTY0NmM0
MGExNDVkNGFkYWIwMGNlNmQ0MmRhYmMifQ.YPcpHSluei_DbOyRxDQ9PeL5FU23ZHU45
G33WTJlCT1QxqzKLYFjHdm28WVHxquQ4FrgmY49Wt9vm1cvsg5hSyxNcHJMDDL3Y4pfe
LeozTVZhDrx-wUCcPqCIxpU9WdtuWvefyvxzbuF8qMf7_4Aiw8V1TqJc7tqYpd_Ic0xd
uHEMFaF1UATztdGOKy4iISSR6qKOKGfJyW4IlNw-hLR5DImln4W7uikHFUxkKjmrXCQ-
AnKhMUub75dThKg-vIZiXD8T0KbIsi2l40bH_n9qWexnpX_BAGvCgY9LlEJ0Z8wlTpHq
HzD2mrs218ysop2tB45ICJpsW_YDqWHgvP9mQ"
  },
  "response_types": [
    "code"
  ],
  "sub": "https://foodle.uninett.no"
}

4. 信任模型(Trust Model)

OIDC联盟依靠签名公钥(signing_keys),建立起一条一条的信任链,每一条信任链都到达可信第三方(Federation Operator)。

联盟内所有成员都信任Federation Operator。Federation Operator需要公开它的公钥。联盟内成员通过HTTPS网站获得,HTTPS网站的证书应当记录在证书透明化日志中。

最内层的元数据声明由Federation Operator签名,不包含元数据声明这一参数。元数据声明的产生流程:

  1. 本机构将自身所需的元数据参数和签名公钥发送给上级机构。
  2. 本机构可以同时将上级的元数据声明发送给上级机构,也可以由上级机构直接添加,因为本机构的元数据声明当中应当包含上级机构的元数据声明(metadata statement参数的值)。
  3. 上级机构可以自主地添加或者删除某些参数,然后对元数据请求和签名公钥进行签名。
  4. 上级机构将签完名地元数据声明发送给本机构。

元数据声明的验签流程:

  1. 收到一个元数据声明,首先应当解析最内层地元数据声明。利用已知的Federation Operator的公钥验证最内层声明的正确性。
  2. 从最内层声明中提取公钥,验证次内层的声明的正确性。
  3. 以此类推。

发现和动态注册机制保持不变,但是所有的数据都应当是元数据声明。

发现和动态注册请求的参数通常是固定的,因此可以事先由各自的上级机构签完名并存储在本地,然后直接发送给相对方。

动态注册响应的参数一般是不固定的,有两种解决方案:

  1. IDP的上级机构提供实时签名的服务;
  2. IDP自己对响应进行签名:IDP需要事先获得一份只有signing_keys的、经过上级机构签名的元数据声明,然后将该声明嵌套在动态注册响应中,并使用自己的私钥签名。这样的元数据声明也能通过验证。

5. 联盟的加入

OIDC联盟标准允许IDP和SP加入多个OIDC联盟,通过发现和动态注册机制,IDP和SP协商确定彼此认可的联盟。

IDP发布配置信息的时候,可以发布多个元数据声明,各自指向不同的Federation Operator。

SP发起动态注册请求的时候选择其中若干个联盟签发的元数据声明,发送给IDP。
IDP选择其中一个联盟,返回该联盟签发的动态注册响应。

SP向IDP发送的注册请求如下:

{
  "redirect_uris": ["https://example.com/rp2/callback"],
  "metadata_statement_uris": {
      https://swamid.sunet.se/":
        "https://dev.example.com/rp1/idfed/swamid.jws",
      "https://www.incommon.org":
        "https://dev.example.com/rp1/idfed/incommon.jws"
  }
}

IDP响应SP的注册信息如下:

{
  "client_id": "abcdefgh",
  "client_secret": "0123456789",
  "client_id_issued_at": 1462375583,
  "client_secret_expires_at": 1462379183,
  "redirect_uris": ["https://example.com/rp2/callback"],
  "metadata_statement_uris": {
    "https://swamid.sunet.se/":
      "https://dev.example.com/rp1/idfed/swamid.jws",
  }
}

参考文件

  1. OAuth 2.0 Authorization Server Metadata
  2. JSON Web Key (JWK)
  3. JSON Web Signature (JWS)
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容

  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,448评论 25 707
  • 数字证书原理 - 无恙 - 博客园 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明...
    拉肚阅读 1,656评论 0 3
  • 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现...
    sunny冲哥阅读 1,364评论 0 3
  • 以下内容来自https://en.wikipedia.org/wiki/SAML_2.0 SAML 2.0是用来在...
    WebSSO阅读 8,171评论 0 0
  • 读牌1:倒吊男被捆在大树上,树很关键,为什么捆着也值得探讨,自愿的?被动的? 读牌2:倒着看的倒吊男有一种背靠大树...
    回老家养猫阅读 499评论 0 0