OpenID Connectはどのように機能しますか？

Question

誰かが私のユースケースを見分けることができますか？サードパーティのクライアントアプリケーションにサインインするユーザーを振り向けます。 OAUTH2フレームワークを使用すると、クライアントアプリケーションは私たちのサイトにリダイレクトして認証を行います。当然のことながら、認証サーバーはアクセストークンとid_token（OpenID Connect）を返します。

1）ユーザーが私たちに認証され、クライアントアプリケーションにリダイレクトされた場合、後でクライアントアプリケーションから離れてクライアントアプリケーションに戻った場合、それらは依然として私たちの/承認へのリダイレクト全体を通過しますか再認証するエンドポイント？

2）ユーザーが私たちと認証され、クライアントアプリケーションにリダイレクトされた場合、クライアントアプリケーションを離れて私たちのサイトに行くと、再度ログインして認証する必要がありますか？

OAuthH2でOpenID Connectを使用すると、ユーザーは一度サインインしてからサードパーティのアプリケーションやアプリケーションにアクセスした後に再度サインインする必要はありませんか？

ありがとうございました。

Answer 1

1. それは2つのことに依存します。

   。クライアントアプリケーションがセッションを維持していて、セッションがまだ期限切れになっていない場合、ユーザーはまったくリダイレ​​クトされません。

   b。クライアントセッションがタイムアウトした場合、ユーザーはリダイレクトされますが、IDPに認証セッションがまだ実行されている場合、ユーザーは認証する必要はなく、新しいトークンを使用してクライアントアプリケーションに直ちに送り返されます。

2. それは

は基本的アイデンティティプロバイダがユーザーを認証し、それを行う方法を決定再びIDPセッションの有無/タイムアウトに依存します。資格情報を要求することもできますが、（通常）SSO（真のシングルサインオン）が可能な限られた期間の間、ユーザーの認証セッションを作成して維持することもできます。

また、実際のプロトコル（OpenID Connect、OAuth、さらにはSAML）にも依存しないことに注意してください。ユーザーをフェデレーションSSOシステムのアイデンティティプロバイダにリダイレクトするすべてのプロトコルで同じように動作します。

Answer 2

OpenID Connectでは、RPのセッションは通常、エンドユーザのID Token.IDトークンが有効期限切れになったときに開始され、有効期限が設定されます。したがって、ユーザが退室しただけで（ログアウトしていない）、RPにアクセスするときにid_tokenが期限切れになった場合、エンドユーザは再認証する必要があります。

OIDCセッション管理、OIDCフロントチャネルログアウト、OIDCバックチャネルログアウトなどのログアウトメカニズムを使用している場合、同じブラウザセッションを共有するすべてのRPは、ログアウト（SLO）。したがって、エンドユーザはRPにアクセスするためにOPに再度ログインする必要があります。