IDaaSにSign in with Appleをつないでみた
2 likes5,247 views
2019/08/02の #idcon の資料 Azure AD B2C, Auth0 へ Sign in with Appleをつないでみました。
![client_secretの作り方
• Appleからダウンロードした鍵で署名したJWTを使う
{
"alg": "ES256",
"typ": "JWT“,
“kid": “{key_id}“
}.{
"sub": “{client_id}",
"nbf": 1560203207,
"exp": 1560289607,
"iss": “{TeamId}",
"aud": "https://appleid.apple.com"
}.[Signature]
基本構造
const jwt = require("jsonwebtoken");
const fs = require("fs");
const privateKey = fs.readFileSync("./authkey.p8");
const token = jwt.sign({}, privateKey, {
algorithm: "ES256",
expiresIn: "60 days",
audience: "https://appleid.apple.com",
issuer: “{TeamId}",
subject: “{client_id}",
keyid: “{key_id}"
});
console.log("The token is:", token);
Auth0の人が書いてたスクリプト
The token is: eyJhbGciOiJFUzI1NiIsInR5ccs~~省略~~z-F0Tj0TddkrPLIQ
Apple Developerサイトで
作ったキーファイル
Apple Developerサイトで
確認できるTeam Id
Apple Developerサイトで
作ったキーのId
これをclient_secretとして
使う
Copyright 2019 Naohiro Fujie](https://image.slidesharecdn.com/idcon20190802pub-190803152413/85/IDaaS-Sign-in-with-Apple-18-320.jpg)
IDaaSにSign in with Appleをつないでみた
- 1. IDaaSにSign in with Apple をつないでみた @phr_eidentity 2019/08/02 #idcon Copyright 2019 Naohiro Fujie
- 2. 自己紹介 • 役割 • OpenIDファウンデーション・ジャパン理事、KYC WGリーダー • IDをコアとしたビジネス開発担当。大阪から全国をカバー • 書き物など • Blog:IdM実験室(https://idmlab.eidentity.jp) • 監訳 : クラウド時代の認証基盤 Azure Active Directory 完全解説 • 共著 : クラウド環境におけるアイデンティティ管理ガイドライン • その他活動 • 日本ネットワークセキュリティ協会アイデンティティ管理WG • Microsoft MVP for Enterprise Mobility(Jan 2010 -) • LINE API Expert (Feb 2018 -) • Auth0 Ambassador(Sep 2018 -) Copyright Naohiro Fujie, 2019 2
- 3. お題 • まず、はじめに • Azure AD B2C編 • Auth0編 • 注意点 • まとめ Copyright 2019 Naohiro Fujie
- 4. まず、はじめに Copyright 2019 Naohiro Fujie
- 5. AuthZエンドポイント不明 Copyright 2019 Naohiro Fujie https://developer.apple.com/documentation/signinwithapplerestapi
- 6. まずは標準のJSを使ってみる • 公式ドキュメントの通り • https://developer.apple.com/documentation/signinwithapplejs/configuring_your_webpage_for_sign_in_with_apple <html> <head> <meta name="appleid-signin-client-id" content=“{client}"> <meta name="appleid-signin-scope" content="name email"> <meta name="appleid-signin-redirect-uri" content="https://{your_redirect_uri}"> <meta name="appleid-signin-state" content="hogehoge"> </head> <body> <div id="appleid-signin" data-color="black" data-border="true" data-type="sign in"></div> <script type="text/javascript" src="https://appleid.cdn- apple.com/appleauth/static/jsapi/appleid/1/en_US/appleid.auth.js"></script> </body> </html> Copyright 2019 Naohiro Fujie
- 7. まずは標準のJSを使ってみる • 認可リクエストを覗いてみる • Hybrid, scopeはname email, form_post https://appleid.apple.com/auth/authorize? client_id={client}& redirect_uri=https%3A%2F%2F{redirect_uri}& response_type=code%20id_token& state=hogehoge& scope=name%20email& response_mode=form_post& frame_id=cce20447-06fb-47cc-92bf-ca85f87febc3& m=21& v=1.1.6 Copyright 2019 Naohiro Fujie
- 8. まずは標準のJSを使ってみる • 認可レスポンス(redirect_uriへPOSTされてくる) state: hogehoge code: cb5ce09e14e9a4d7cb7b9cdc95c0d82ab.0.nsqtx.5pH1elbG5qgYO4GJHLMQwg id_token: eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiYX VkIjoidmluLnJlaXdhLmNs~~省略~~Zw6ToHn_uXOKXRS4lkFguFldNRKPYahVZk_RZ4_UEfZBAYEyvkxxngl8- _5Yp6L1e39p6t9apnHquj9J80K0N45WNDdj2erF_NUGtmKZQRdqbs9sA0BxbrJVyyJIGrOPO0A6sl-3Lt7LBvHyZg user: {"name":{"firstName":"Naohiro","lastName":"Fujie"},"email":“xxx@xxxx.jp"} Copyright 2019 Naohiro Fujie
- 9. まずは標準のJSを使ってみる • Id_tokenの中身を覗いてみる • c_hashは無い・・・ { "iss": "https://appleid.apple.com", "aud": “{client}", "exp": 1564639728, "iat": 1564639128, "sub": "002037.b50e1026dfac4f1db61c47b2095a2928.1501", "email": “xxx@xxxx.jp" } ちなみにsubのスコープは Teamっぽい Copyright 2019 Naohiro Fujie
- 10. まずは標準のJSを使ってみる+α • 返ってきたcodeを使ってtokenエンドポイントを叩いてみる • https://appleid.apple.com/auth/token *これはドキュメントに書いてある POST /auth/token HTTP/1.1 Host: appleid.apple.com Content-Type: application/x-www-form-urlencoded grant_type=authorization_code& code=c8117807ab9514cb8b7ab21a6b4422053.0.nsqtx.sviy07qmCL418BjyY4zKVQ& client_id={client}& client_secret=eyJhbGciOiJFUzI1NiIsInR~~省略~~F0Tj0TddkrPLIQ redirect_uri=https%3A%2F%2Fb2cline.azurewebsites.net%2Fapplejs.php client_secretの作り方は後程 Copyright 2019 Naohiro Fujie
- 11. まずは標準のJSを使ってみる+α • トークンレスポンス { "access_token": "aeed1e957c03e4992bcda1d5f5db74730.0.nsqtx.40F_OL_3UR_QgCqeCGzwbA", "token_type": "Bearer", "expires_in": 3600, “refresh_token”: “r58fb1260e21e4ed09d6b~~省略~~PpcIOA7HFcwxYzCiqg", “id_token”: “eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiY XVkIjoidmluLnJlaXdhLmNsaWVudCIsImV4cCI6MTU2NDY0MTEwMCwiaWF0IjoxNTY0NjQwNTAwLCJzdWIiOiIwM DIwMzcuYjUwZTEw~~省略~~qb_OQMCsNLWdu1- 21gxtpD2pAeF3bEYed8dOoyxj9u9wNujyg7RVbHCKRPazMx8Hwcvp8W-aU-HpUVxkFl5_qFHY_6rm- Q0MteUezGRWbhwpAubpS5husq9gc33S_dsc-p1wpSe3nsvIg2uPVU_vwrBn_zwAFknTqI- 4ym_V1fBE9w_2e56qyfJEK9Qew" } Copyright 2019 Naohiro Fujie
- 12. まずは標準のJSを使ってみる+α • Id_tokenの中身を覗いてみる • at_hashはある { "iss": "https://appleid.apple.com", "aud": “{client}", "exp": 1564640650, "iat": 1564640050, "sub": "002037.b50e1026dfac4f1db61c47b2095a2928.1501", "at_hash": "Z2Bmd-29JWvbo_mqohgqow", "email": “xxx@xxxx.jp" } Copyright 2019 Naohiro Fujie
- 13. この流れを踏まえてIDaaSに組み込む • ここまででわかったこと • エンドポイントは以下の通り • 認可エンドポイント:https://appleid.apple.com/auth/authorize • トークンエンドポイント: https://appleid.apple.com/auth/token • userInfoエンドポイントは見当たらない • form_postでid_tokenと一緒にuser情報が返ってくる • 試したIDaaS • Azure AD B2C • Auth0 Copyright 2019 Naohiro Fujie
- 14. Azure AD B2C編 Copyright 2019 Naohiro Fujie
- 15. とりあえずカスタムOPとして追加 まだ標準プロバイダとして プリセットは存在しない 2019年8月時点の標準IdP: Amazon, Facebook, Google, QQ, github, WeChat, twitter, Weibo, Microsoft, LinkedIn Copyright 2019 Naohiro Fujie
- 16. Apple側のServices Id設定 • Return URLsには以下を設定する • https://login.microsoftonline.com/te/{テナント名}.onmicrosoft.com/oauth2/authresp • https://{テナント名}.b2clogin.com/{テナント名}.onmicrosoft.com/oauth2/authresp Copyright 2019 Naohiro Fujie
- 17. さっそく壁にあたる ①/.wellknown/openid- configurationが必須 { "authorization_endpoint": "https://appleid.apple.com/auth/authorize", "issuer": "https://appleid.apple.com", "token_endpoint": "https://appleid.apple.com/auth/token", "jwks_uri": "https://appleid.apple.com/auth/keys" } 仕方がないので作る 注)URLが.wellknown/openid-configuration で終わる必要あり ②client_secretが必要 作る(次ページ) ③response_typeに「code id_token」がない どちらかに設定して試す Copyright 2019 Naohiro Fujie
- 18. client_secretの作り方 • Appleからダウンロードした鍵で署名したJWTを使う { "alg": "ES256", "typ": "JWT“, “kid": “{key_id}“ }.{ "sub": “{client_id}", "nbf": 1560203207, "exp": 1560289607, "iss": “{TeamId}", "aud": "https://appleid.apple.com" }.[Signature] 基本構造 const jwt = require("jsonwebtoken"); const fs = require("fs"); const privateKey = fs.readFileSync("./authkey.p8"); const token = jwt.sign({}, privateKey, { algorithm: "ES256", expiresIn: "60 days", audience: "https://appleid.apple.com", issuer: “{TeamId}", subject: “{client_id}", keyid: “{key_id}" }); console.log("The token is:", token); Auth0の人が書いてたスクリプト The token is: eyJhbGciOiJFUzI1NiIsInR5ccs~~省略~~z-F0Tj0TddkrPLIQ Apple Developerサイトで 作ったキーファイル Apple Developerサイトで 確認できるTeam Id Apple Developerサイトで 作ったキーのId これをclient_secretとして 使う Copyright 2019 Naohiro Fujie
- 19. 注意事項 • client_secretには期限がある(最大6か月) const jwt = require("jsonwebtoken"); const fs = require("fs"); const privateKey = fs.readFileSync("./authkey.p8"); const token = jwt.sign({}, privateKey, { algorithm: "ES256", expiresIn: "60 days", audience: "https://appleid.apple.com", issuer: “{TeamId}", subject: “{client_id}", keyid: “{key_id}" }); console.log("The token is:", token); { "alg": "ES256", "typ": "JWT", "kid": "Q55XN53AWU" }.{ "iat": 1564635617, "exp": 1569819617, "aud": "https://appleid.apple.com", "iss": "D89GDBS69B", "sub": “{client}" } 絶対忘れると思う Copyright 2019 Naohiro Fujie
- 20. response_type問題:codeで • response_type=code • response_type=id_token Copyright 2019 Naohiro Fujie
- 21. 属性情報をどうやってとるか? • これで認可リクエストを発行 • response_type=code • response_mode=form_post • 一応user属性は返ってきている • が、Azure AD B2Cのredirect_uriが受け取れるはずもなく… state: StateProperties=eyJTSUQiOiJ4LW~~省略~~CJpJp93DjhQJO4A7UMQ user: {"name":{"firstName":"Naohiro","lastName":"Fujie"},"email":“xxx@xxxx.jp"} Copyright 2019 Naohiro Fujie
- 22. カスタムポリシーだとどうか? • 良いところ • METADATAのURLが割と自由(.well- known/openid-configurationで終わら なくても良い) • response_typeが自由に決められる • でも結局ユーザ属性は取れない • ちなみにプロトコルをOAuthにすると 追加パラメータとかも使えるが、 response_modeが使えなくなる(無 視される)。codeだしそりゃそうで す。 Copyright 2019 Naohiro Fujie
- 23. Auth0編 Copyright 2019 Naohiro Fujie
- 24. ビルトインで用意されている(ベータ) ビルトイン版がある! ちなみにredirect_uriは 標準で https://{テナント名}.auth0.com/login/callback カスタムドメインの場合は https://{カスタムドメイン名} /callback Copyright 2019 Naohiro Fujie
- 26. client_secretの期限問題がない(と思う) 署名用のキーをそのまま張り付けるだけ なので、自前でclient_secretを作らなく てよい。多分期限もちゃんと考えて毎回 or 定期的に作ってくれていると思う Copyright 2019 Naohiro Fujie
- 27. response_typeはcode, modeなし • 認可リクエスト • scope=name email • response_type=code • reponse_modeなし(当然ですが) GET /auth/authorize? client_id={client}& scope=name%20email& response_type=code& redirect_uri=https%3A%2F%2F{tenant}.auth0.com%2Flogin%2Fcallback& state=LGN0AZlHg1JZapo-4V3AEhFgd0ioBnTk HOST: appleid.apple.com Copyright 2019 Naohiro Fujie
- 28. 当然フロントにはid_tokenもuserもない • そりゃそうです。 GET /login/callback? code=c48df4947c13148f4885ee2d4a7aa80f5.0.nsqtx.JJ7XoU5YaYvVjOupQLZcog& state=gS2mgYI7FL0FKBGVbq-cIz7IZeZc79Tz HOST: {tenant}.auth0.com Copyright 2019 Naohiro Fujie
- 29. メールアドレスは取れているので、バッ クエンドでid_tokenを取ってます • 普通のcode flowです Copyright 2019 Naohiro Fujie
- 30. カスタム・ソーシャル・コネクタを作る • OAuthエクステンション • カスタム設定が可能 • あくまでOAuth… Copyright 2019 Naohiro Fujie
- 31. 必要な情報を設定~ユーザ属性取得 • access_tokenまではとって来るの で後は自分でuserInfoをたたく • Apple Idの場合はUser Profileが取 れるエンドポイントがないので、 やはりid_tokenに頼る • ctx.id_tokenでコンテキストから id_tokenが取れるのでdecode • ctx.userとかできれば嬉しいので すが、結局userはform_postが前 提なので、無理 client_secret問題再び Copyright 2019 Naohiro Fujie
- 32. 注意点 Copyright 2019 Naohiro Fujie
- 33. メールアドレス、ユーザ属性は初回のみ state: hogehoge code: cb5ce09e14e~~省略~~lbG5qgYO4GJHLMQwg id_token: eyJraWQ~~省略~~OPO0A6sl-3Lt7LBvHyZg user: {"name":{"firstName":"Naohiro","lastName":"Fujie"},"email ":“xxx@xxxx.jp"} state: hogehoge code: cb5ce09e14e~~省略~~lbG5qgYO4GJHLMQwg id_token: eyJraWQ~~省略~~OPO0A6sl-3Lt7LBvHyZg 初回の認可レスポンス 2回目以降の認可レスポンス { "iss": "https://appleid.apple.com", "aud": “{client}", "exp": 1564639728, "iat": 1564639128, "sub": "002037.b50e1026dfac4f1db61c47b2095a2928.1501", "email": “xxx@xxxx.jp" } 初回のid_token { "iss": "https://appleid.apple.com", "aud": “{client}", "exp": 1564639728, "iat": 1564639128, "sub": "002037.b50e1026dfac4f1db61c47b2095a2928.1501" } 2回目以降のid_token Copyright 2019 Naohiro Fujie
- 35. まとめ • IDaaSではSDKは使えないので、OpenID Connect?で接続 • ユーザ属性はform_postでid_tokenと一緒に飛んでくるが、実 際イレギュラーすぎてIDaaSでは取得できない(たぶん) • メールアドレスはid_tokenから • ユーザ属性もメールアドレスも取れるのは初回認可時だけ • client_secretのキーローテーションには気を付けること • Auth0のビルトインは大丈夫っぽい(たぶん) Copyright 2019 Naohiro Fujie