OpenID Connectとは何ですか？

OAuth 2.0を拡張して認証機能を追加したプロトコル。「Googleでログイン」などのソーシャルログインの基盤技術。

OpenID Connectのポイントは？

OAuth 2.0（認可）にID層（認証）を追加したプロトコル。IDトークン（JWT形式）でユーザー情報を受け渡し。Google、Microsoft、Auth0などが対応する主要プロバイダ。SAMLに代わるモダンな認証プロトコルとして普及

【おーぷんあいでぃーこねくと】

OpenID Connect とは？

💡 「誰であるか」をWebで安全に証明する仕組み

📌 このページのポイント

OAuth 2.0（認可）にID層（認証）を追加したプロトコル
IDトークン（JWT形式）でユーザー情報を受け渡し
Google、Microsoft、Auth0などが対応する主要プロバイダ
SAMLに代わるモダンな認証プロトコルとして普及

OpenID Connect のレイヤー構造イメージ

ひよこ

OAuthとOpenID Connectの違いは？

ペンギン先生

OAuth 2.0は「認可」のプロトコルで「このアプリにGoogleフォトへのアクセスを許可する」のような権限委譲を行う。OpenID Connectは「認証」のプロトコルで「この人はGoogle アカウントのユーザーXです」というアイデンティティ情報を提供する。OAuthが「鍵」、OIDCが「身分証明書」だよ

ひよこ

IDトークンって何？

ペンギン先生

JWT（JSON Web Token）形式のトークンで、ユーザーのID、メールアドレス、名前、認証日時などの情報が含まれているよ。デジタル署名付きだから改ざんを検知できる。アプリ側はIDトークンを検証することで、ユーザーが本人であることを確認するんだ

ひよこ

SAMLとの違いは？

ペンギン先生

SAMLはXMLベースで重厚な企業向けプロトコル（2002年〜）。OpenID ConnectはJSON/JWTベースで軽量なモダンプロトコル（2014年〜）。新規開発ならOpenID Connect一択。ただし既存の企業システム（Active Directory等）との連携ではSAMLがまだ現役だよ

ひよこ

実装する際の注意点は？

ペンギン先生

①stateパラメータでCSRF攻撃を防止、②nonceパラメータでリプレイ攻撃を防止、③IDトークンの署名を必ず検証、④リダイレクト URIの厳密な一致チェック。自前で実装するよりAuth0やFirebase Authenticationなどの認証サービスを使うのが安全で楽だよ

まとめ：ざっくりこれだけ覚えればOK！

「OpenID Connect」って出てきたら「OAuth 2.0ベースのモダンな認証プロトコル」と思えればだいたいOK！

📖 おまけ：英語の意味

「OpenID Connect (OIDC)」＝オープンID接続

💬 OpenID Foundation が策定。OAuth 2.0に「誰？」を答える機能を足したものだよ

← 用語集にもどる