OpenID Connect（おーぷんあいdeeこねくと）

OpenID Connectとは

OpenID Connect（OIDC）は、ウェブ、モバイルアプリケーション、APIにおいてユーザー認証を安全に行うためのオープンソースの認証プロトコルです。OAuth 2.0の認可フレームワークを拡張し、ユーザーのアイデンティティ情報を安全に共有するための標準規格を提供します。

OAuth 2.0との関係

OpenID ConnectはOAuth 2.0を基盤として構築されています。OAuth 2.0が主にアプリケーションにリソースへのアクセス権限を付与することに焦点を当てているのに対し、OpenID Connectはユーザーの認証情報を検証し、その情報をアプリケーションに提供することに重点を置いています。OIDCはOAuth 2.0の認可フローに加えて、IDトークンと呼ばれるJSON Web Token（JWT）を使用し、ユーザーに関する情報を伝達します。

OpenID Connectの仕組み

OpenID Connectの基本的な流れは以下の通りです。

1. 認証リクエスト: ユーザーがアプリケーションにログインを試みます。
2. リダイレクト: アプリケーションはユーザーをOpenIDプロバイダー（IdP）にリダイレクトします。
3. 認証: IdPはユーザーの認証を行います（ユーザー名とパスワードの入力、多要素認証など）。
4. 認可コード: 認証が成功すると、IdPはアプリケーションに認可コードを返します。
5. トークン交換: アプリケーションは認可コードをIdPに送信し、IDトークン、アクセストークン、リフレッシュトークンと交換します。
6. ユーザー情報取得: アプリケーションはIDトークンからユーザー情報を取得し、アクセストークンを使用して保護されたリソースにアクセスします。

IDトークン

IDトークンは、OpenID Connectにおいて重要な役割を果たすJWTです。IDトークンには、ユーザーの識別子（サブジェクト）、発行者、有効期限、署名などの情報が含まれています。アプリケーションはIDトークンを検証することで、ユーザーの認証状態を確認し、ユーザー情報を安全に取得できます。

OpenID Connectのメリット

• セキュリティ: OAuth 2.0を基盤としているため、安全な認証を実現できます。
• 相互運用性: オープンな標準規格であるため、様々なIdPやアプリケーションとの連携が容易です。
• シングルサインオン: 複数のアプリケーションで同じ認証情報を使用できます。
• ユーザーエクスペリエンス: ユーザーは一度認証すれば、複数のアプリケーションに簡単にログインできます。