このページは Authlete 2.x 向けのドキュメントです。3.0 の内容はOIDC Basics(3.0)をご覧ください。
はじめに
このドキュメントでは、OpenID Connect (OIDC) の Authorization Code Flow に対応したアイデンティティプロバイダーを構築する際の、Authlete 2.x API(api.authlete.com)の基本的な利用方法について説明します。構成(2.x)
本チュートリアルでは、認可サーバー(OIDC アイデンティティプロバイダー)とリソースサーバーは実際には存在せず、クライアント(OIDC リライングパーティ)から認可リクエスト・トークンリクエスト・トークンイントロスペクションリクエストを受信したときに、どのような API リクエストを Authlete に行うかを curl で試行します。| サービス | FQDN |
|---|---|
| Authlete API | api.authlete.com |
| 管理者コンソール | so.authlete.com |
| 開発者コンソール | cd.authlete.com |
| 認可サーバー(想定) | as.example.com |
| クライアント(想定) | client.example.org |
OIDC 認可コードフローの流れ(2.x)
- 認可リクエスト — クライアントが response_type=code と scope=openid で認可リクエストを送信。認可サーバーは /auth/authorization API にパラメーターを送り、action=INTERACTION と ticket を取得。
- ユーザー認証と認可の確認 — 認可サーバーがユーザーを認証し、認証結果提供の確認を行う。
- 認可コードの発行 — /auth/authorization/issue API に ticket と subject を送り、認可コード付きのリダイレクト URI を取得。
- トークンリクエスト — クライアントが認可コードでトークンエンドポイントにリクエスト。認可サーバーは /auth/token API を呼び、アクセストークン・リフレッシュトークン・ID トークンを取得。
- トークンイントロスペクション — リソースサーバーは /auth/introspection API でアクセストークンを検証。UserInfo が必要な場合は /auth/userinfo API を利用。