OICのJWTユーザアサーションを使用したOauthの脱神秘化 (2022/09/30)

OICのJWTユーザアサーションを使用したOauthの脱神秘化 (2022/09/30)

https://blogs.oracle.com/integration/post/oic-oauth-using-jwt-user-assertion

投稿者:Vernon Saldanha | Principal Product Manager


OICは、認証コード、クライアント認証情報、JWTユーザアサーションなど、Oauthベースの認証方法のいくつかの異なる方法をサポートしています。これらの詳細については、こちらのリンクで確認できます。


https://docs.oracle.com/en/cloud/paas/integration-cloud/rest-adapter/authentication-support.html#GUID-A425ABFB-56BC-4545-A94B-463D0D487847


 


このブログでは、JWTユーザアサーションの概念を、あまり深く掘り下げることなく、抽出することを試みています。


また、JWT認証の実用的な例については、ブログの最後までお読みください。



キーポイント

前提条件


 

秘密鍵/公開鍵


  1.     JWTユーザーアサーション方式では、秘密鍵と公開鍵を使用する必要があります。
  2.     この鍵は、JWT ユーザー・アサーションを生成するために必要なペイロードに署名するために使用されます。
  3.     keytool ユーティリティ(JDK がインストールされているすべてのマシンにあります)を使用して、簡単な自己署名付きキー・ペアを生成できます。


 

Oauth クライアントアプリケーション


  1.     Oracle Integration Cloud のインスタンスごとに、Oracle Identity Cloud Service に機密アプリケーションを登録します。
  2.     この機密アプリケーションは、OIC の OAuth で保護された REST エンドポイントへのアクセスを提供します。


 


両方の前提条件の手順は、こちら(JWTユーザーアサーションの前提条件)を参照してください。


注:IDCS Trusted storeにアップロードする際に指定した証明書のALIASをメモしておくこと。これは、以降の手順で必要になります。



トークン

JWTユーザーアサーション


  •     JWTはデータ(クレーム)を含む署名されたJSONペイロードで、ユーザー名、ターゲット、アプリケーションAPIが必要とするスコープを含むことができます。
  •     これは、生成する必要がある最初のトークンです。
  •     JWTを作成するためには、まずクレームを表すデータが必要です。
  •     OICの場合、ヘッダーセクションは - で構成されている必要があります。


{
"alg": "RS256",
"typ": "JWT",
"kid": "<certificateALIAS>"
}


ここで


  •     alg 署名アルゴリズムはRS256でなければならない(MUST)。
  •     kid は、署名の検証に使用するキーを指定します。したがって、Oracle Identity Cloud Service にアップロードされた証明書 ALIAS と一致する必要があります。


 


  •     ペイロードセクションは以下のように構成される必要があります。


{
"sub": "ssaInstanceAdmin",
"jti": "8c7df446-bfae-40be-be09-0ab55c655436",
"iat": 1589889699,
"exp": 1589909699,
"iss": "d702f5b31ee645ecbc49d05983aaee54",
"aud": "https://identity.oraclecloud.com/"
}


ここで


  •     sub は、ユーザアサーションが生成されるユーザ名を指定
  •     jti は一意な識別子
  •     iatは発行日(エポック秒)
  •     expはトークンの有効期限(エポック秒)
  •     iss はクライアント ID
  •     aud には Oracle Identity Cloud Service のオーディエンス https://identity.oracle.com/ を含める必要があります。


 


  •     ヘッダー部とペイロード部はBase64エンコードされ、Header.Payloadとして連結されます。


例 


eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6Ik9JSldUIn0.eyJzdWIiOiJ1c2VybmFtZUBvcmFjbGUuY29tIiwianRpIjoiOGM3ZGY0NDYtYmZhZS00MGJlLWJlMDktMGFiNTVjNjU1NDM2IiwiaWF0IjoxNjY0NDY1MDEwLCJleHAiOjE2NjQ0NjU1NTAsImlzcyI6IjY4MDU5OTEyN2RkZDQ3NTkzZTQxNGQyYTg5ODg2ZCIsImF1ZCI6Imh0dHBzOi8vaWRlbnRpdHkub3JhY2xlY2xvdWQuY29tLyJ9


  •     これを、先に生成した秘密鍵を用いて、RS256アルゴリズムで署名します。
  •     結果は、ドット(.)で区切られた3つのBase64文字列で、Header.Payload.Signatureの形式となります。



eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6Ik9JSldUIn0.eyJzdWIiOiJ1c2VybmFtZUBvcmFjbGUuY29tIiwianRpIjoiOGM3ZGY0NDYtYmZhZS00MGJlLWJlMDktMGFiNTVjNjU1NDM2IiwiaWF0IjoxNjY0NDY1MDEwLCJleHAiOjE2NjQ0NjU1NTAsImlzcyI6IjY4MDU5OTEyN2RkZDQ3NTkzZTQxNGQyYTg5ODg2ZCIsImF1ZCI6Imh0dHBzOi8vaWRlbnRpdHkub3JhY2xlY2xvdWQuY29tLyJ9.jaQ2NyGk8wOWWHMGi2QJTsYlKGcHrfqkvP2Gb8AlBbJDQy7NDonXh6YMcAe17iIVaOfH7lDgJyF95xPv3nPHdIezbqobHBck34yct6I6a_xpKcV5kmJfXLHeb9LenqZTbdMMQ95vlUL8R914AmE2TbwGqjl4XkIoADHDez7PVM2MwyIDSfEaQ6o7J05ES7wIgI9gGspQ5w-2Xem4GOare25FBo-LrgVADDiAhKUhSLNT6XISCMAHZ3L2J86cnRhU1fekr-DJYFyfDcgAZeQPSPETHGokBWYtC1K-2qIouODKBKBcooABYEh6YTkC7bdax5KqFFbvJmSfDEjyN3tZ4w


JWTの詳細については、こちらをご覧ください。


このトークンの作成には、以下の作業例が役立ちます。


 

アクセストークン


JWTのユーザーアサーションが生成されたら、次はIDCSにAccess Tokenをリクエストします。


curlコマンドは以下の通りです。


curl -L -X POST 'https://<idcs-instanceid>.identity.oraclecloud.com/oauth2/v1/token' \ 
-H 'Content-Type: application/x-www-form-urlencoded' \ 
-H 'Authorization: Basic <cite><strong><base64-clientid-secret></strong></cite>' \ 
--data-urlencode 'grant_type=<<cite><strong>grant type></strong></cite>' \ 
--data-urlencode 'assertion=<cite><strong><user assertion></strong></cite>' \ 
--data-urlencode 'scope=<cite><strong><app scope></strong></cite>'


EXAMPLE:
--------
curl -L -X POST 'https://idcs-df8f9e70673e4d51aaa9915ca7b2d.identity.oraclecloud.com/oauth2/v1/token' \
-H 'Content-Type: application/x-www-form-urlencoded' \
-H 'Authorization: Basic NjgwNTk5MTI3ZGRkNDc1Mzg5M2U0M4OTg4NmQ6YWRhMmM3NDktY2VlOC00NTEwLTk5MzctNTg2ZWQ3YTJhNDZi' \
--data-urlencode 'grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer' \
--data-urlencode 'assertion=eyJhbGciOiJSUzIdWIiOiJ2ZXJub24uai5zYWxkYW5oYUBvcmFjbGUuY29tIiwiYXVkIjoiaHR0cHM6Ly9pZGVudGl0eS5vcmFjbGUuY29tLyIsImp0aSI6IjhjN2RmNDQ2LWJmYWUtNDBiZS1iZTA5LTBhYjU1YzY1NTQzNiJ9.LeSChf2xG28rbwiAJsP_PFsNafxS1iSNkn_xIu7JOW8Fm_ppd2V5UTt01rky18fbXwWSTU9BwCfEs9hFRkYXbH9YxSMZ0yfjz85ZbzgZJe4ZvGNvqFiMxYAMwP5W8DUi7FhPmzH-sT7V9x0y9NSyDzlNwqbdy92XHdz1nfjQj645QHAA8_md4O7K9pTdoYNtauAN01eYCUOr_yaBKhsZfX6hi07aUwRPBTO7AyMsbfk92u_Yk-1CUBIVx7ZPO7c52oO7oo-BhWGNjzm3hhN36avJ9-lAMqwxiH32qFsHOdezS-l8YouwC6pPq7sd5bKQlYvb9XrZo0CCv3sSaVwCvA' \
--data-urlencode 'scope=https://C900A16A892141C6B8A245553E127ACC.integration.ocp.oraclecloud.com:443urn:opc:resource:consumer::all'


ここで


  •     <グラント タイプ> - urn:ietf:params:oauth:grant-type:jwt-bearer
  •     <base64-clientid-secret> - Base64でエンコードされたclientId:ClientSecret
  •     <user assertion> - 上記で生成されたJWTユーザーアサーション
  •     <app scope> - クライアント設定セクションでアプリケーションを作成する際に追加されたスコープ (末尾は urn:opc:resource:consumer::all です)


 


認証に成功すると、保護されたリソースにアクセスするためのアクセストークンが手に入ります。


{
    "access_token": "eyJ4NXQjG...dfsdfsFgets2ed",
    "token_type": "Bearer",
    "expires_in": 3600
}


protected APIにアクセスするためのCurlコマンドは以下のようなものです。


curl -L -X GET 'https://OIC host/OIC endpoint' \
-H 'Authorization: Bearer eyJ4NXQjG...dfsdfsFgets2ed'


EXAMPLE:
--------
curl -L -X GET 'https://oicpm-oicpm-px.integration.ocp.oraclecloud.com:443/ic/api/b2b/v1/schemas' \
-H 'Authorization: Bearer eyJ4NXQjUzI1NiI6Il9CbW5LbUV4WlZR5MOm8p3fVy_B1KF-h56dFo-PuTLAt7ZOKCg-CprlBhNiJYamYG_VYVOmzZ_Tb0fRruZEk-toRhGzbo2jckwIGpP2DGse2O1hVfSFSJr0dOatPaQ'


ワーキングコラテラル


JWTユーザアサーションを作成する際に役立つリソースをいくつか紹介します。これらはスターター・コードであることを意図しており、要件に応じて自由に変更・拡張することができます。これらは共依存ではありません。


JWTユーザーアサーションを生成するためのシェルスクリプトです。

注:秘密鍵は、スクリプトファイルと同じ場所に置きます。



 

OIC統合パッケージ


  •     TestAPIwithJWT.par ファイルを検索してください。
  •     このパッケージには、JWT ユーザーアサーションとリクエストを作成するために必要なすべてのアーティファクトが含まれています。
  •     必要に応じて、接続の詳細を変更します。


コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む