OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens

• ステータス: Proposed Standard
• 発行日: February 2020
• ストリーム: IETF
• エラッタ: エラッタなし

---

Document Information

• RFC Number: 8705
• Title: OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens
• Authors: B. Campbell (Ping Identity), J. Bradley (Yubico), N. Sakimura (Nomura Research Institute), T. Lodderstedt (YES.com AG)
• Date: 2020 年 2 月
• Category: Standards Track
• Updates: なし
• Obsoletes: なし

Abstract

本文書は, X.509 証明書を用いた mutual Transport Layer Security (TLS) 相互認証により, OAuth クライアント認証および証明書にバインドされた access token (アクセストークン) と refresh token (リフレッシュトークン) を実現する方法を記述する. OAuth クライアントには, self-signed certificate (自己署名証明書) または public key infrastructure (PKI, 公開鍵基盤) に基づき, mutual TLS を用いて authorization server (認可サーバ) に認証する手段が提供される. OAuth authorization server には発行した access token をクライアントの mutual-TLS 証明書にバインドする手段が提供され, OAuth protected resource (保護リソース) には, 提示された access token がそのトークンを提示しているクライアントに対して発行されたものであることを保証する方法が提供される.

Status of This Memo

本文書は Internet Standards Track 文書である.

本文書は Internet Engineering Task Force (IETF) の成果物であり, IETF コミュニティの合意を表す. 公開レビューを経て, Internet Engineering Steering Group (IESG) による公開承認を得ている. Internet Standards に関する詳細は RFC 7841 のセクション 2 を参照のこと.

本文書の現行ステータス, 正誤表, フィードバック方法については https://www.rfc-editor.org/info/rfc8705 を参照のこと.

Copyright Notice

Copyright (c) 2020 IETF Trust and the persons identified as the document authors. All rights reserved.

本文書は BCP 78 および IETF Trust の IETF 文書に関する法的条項 (https://trustee.ietf.org/license-info) の対象であり, 本文書の公開日時点で有効な版が適用される. 権利と制限についてはこれらの文書を注意深く確認すること. 本文書から抽出した Code Components には, Trust Legal Provisions のセクション 4.e に記載の Simplified BSD License 文を含めなければならず, Simplified BSD License に記載のとおり無保証で提供される.

Contents

• 1. Introduction (はじめに)
  • 1.1. Requirements Notation and Conventions (要件表記と慣例)
  • 1.2. Terminology (用語)
• 2. Mutual TLS for OAuth Client Authentication
  • 2.1. PKI Mutual-TLS Method
    • 2.1.1. PKI Method Metadata Value
    • 2.1.2. Client Registration Metadata
  • 2.2. Self-Signed Certificate Mutual-TLS Method
    • 2.2.1. Self-Signed Method Metadata Value
    • 2.2.2. Client Registration Metadata
• 3. Mutual-TLS Client Certificate-Bound Access Tokens
  • 3.1. JWT Certificate Thumbprint Confirmation Method
  • 3.2. Confirmation Method for Token Introspection
  • 3.3. Authorization Server Metadata
  • 3.4. Client Registration Metadata
• 4. Public Clients and Certificate-Bound Tokens
• 5. Metadata for Mutual-TLS Endpoint Aliases
• 6. Implementation Considerations (実装上の考慮事項)
  • 6.1. Authorization Server
  • 6.2. Resource Server
  • 6.3. Certificate Expiration and Bound Access Tokens
  • 6.4. Implicit Grant Unsupported
  • 6.5. TLS Termination
• 7. Security Considerations (セキュリティ考慮事項)
  • 7.1. Certificate-Bound Refresh Tokens
  • 7.2. Certificate Thumbprint Binding
  • 7.3. TLS Versions and Best Practices
  • 7.4. X.509 Certificate Spoofing
  • 7.5. X.509 Certificate Parsing and Validation Complexity
• 8. Privacy Considerations (プライバシー考慮事項)
• 9. IANA Considerations
  • 9.1. JWT Confirmation Methods Registration
  • 9.2. Authorization Server Metadata Registration
  • 9.3. Token Endpoint Authentication Method Registration
  • 9.4. Token Introspection Response Registration
  • 9.5. Dynamic Client Registration Metadata Registration
• 10. References (参考文献)
  • 10.1. Normative References
  • 10.2. Informative References
• Appendix A. Example "cnf" Claim, Certificate, and JWK
• Appendix B. Relationship to Token Binding
• Acknowledgements (謝辞)
• Authors' Addresses (著者連絡先)