Final: OpenID Provider Authentication Policy Extension 1.0 : Overview , Policy Advertising (俺約)

 

2.  Extension Overview
  1. As part of the [Yadis] (Miller, J., Ed., “Yadis Specification 1.0,” 2005.) Discovery process, OpenID Providers can optionally add supported authentication policies to an End User’s XRDS document. This aids Relying Parties in choosing between multiple listed OPs depending on authentication policy requirements.
  2. The Relying Party includes parameters in the OpenID Authentication request describing its preferences for authentication policy for the current assertion.
  3. The OpenID Provider processes the PAPE request, prompting the End User to fulfill the requested policies during the authentication process.
  4. As part of the OpenID Provider’s response to the Relying Party, the OP includes PAPE information around the End User’s authentication. An OP MAY include this response information even if not requested by the RP.
  5. When processing the OpenID Provider’s response, the Relying Party takes the PAPE information into account when determining if the End User should be sent through additional verification steps or if the OpenID login process cannot proceed due to not meeting policy requirements.

約:

  1. Yadis Discovery プロセスでOPは認証方針をEnd UserのXRDS文書に追加可能。これによりRPは認証方針要求に沿ったOPの一覧から選ぶことができる。
  2. RPはOpenID認証要求にパラメータを追加して現在のアサーションに対する認証方針の嗜好を説明することができる。
  3. OPはPAPE要求を処理し、認証プロセス中に要求された方針を満たすようにEnd Userに促すことができる。
  4. OPのRPに対する返答にEnd Userno認証に関するPAPE情報を加えることができる。OPはRPに求められなくても追加してよい。
  5. OPの応答を処理するときに、RPはPAPE情報を考慮にいれてEnd Userが追加で承認ステップを通るようにしてもいいし、方針要求を満たさない場合はOpendIDログインプロセスを中止してよい。



TOC


3.  Advertising Supported Authentication Policies

Via the use of [Yadis] (Miller, J., Ed., “Yadis Specification 1.0,” 2005.) within OpenID, Relying Parties are able to discover OpenID Provider service information in an automated fashion. This is used within OpenID Authentication for a RP to discover what version of the protocol each OP listed supports as well as any extensions, such as this one, that are supported. To aide in the process of a Relying Party selecting which OP they wish to interact with, it is STRONGLY RECOMMENDED that the following information be added to the End User’s XRDS document. An OP may choose to advertise both custom levels and supported polices in the same <xrd:Service>. An OP should only advertise the authentication policies and custom assurance level namespaces that it supports.

When advertising supported policies, each policy URI MUST be added as the value of an <xrd:Type> element of an OpenID <xrd:Service> element in an XRDS document. (提供している方針を示すには、方針URIをXRDSのService/Typeに加える)

Example:

<xrd>
  <Service>
    <Type>http://specs.openid.net/auth/2.0/signon</Type>
    <Type>
  http://schemas.openid.net/pape/policies/2007/06/phishing-resistant
    </Type>
    <URI>https://example.com/server</URI>
  </Service>
</xrd>

When advertising supported custom Assurance Level name spaces, each name space URI MUST be added as the value of an <xrd:Type> element of an OpenID <xrd:Service> element in an XRDS document. (カスタムな保障レベル名前空間を使うならば、同じようにService/TypeにURIを書く)

Example:

<xrd>
  <Service>
    <Type>http://specs.openid.net/auth/2.0/signon</Type>
    <Type>
  http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
    </Type>
    <URI>https://example.com/server</URI>
  </Service>
</xrd>

 

Final: OpenID Provider Authentication Policy Extension 1.0

カテゴリー: 未分類 パーマリンク

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中