6.10.2. Native アプリケーション (C#)

.NET(C#) による OpenID Connect 認証の実装方法を記載します。

大きく分けて、以下の4つの処理を実装します。

  • OpenID Connect 認証結果を受け取るためのリスナーを作成
  • OpenID Connect 認証開始 REST API の実行
  • OpenID Connect 認証完了時の処理
  • BaaS サーバへのログイン

リスナー登録

OpenID Connect 認証結果を受け取るための HTTP リスナー(1種のローカルWebサーバ)を作成します。

string redirectUri = "http://localhost:8080/receiveToken/";

// HTTPリスナー作成
HttpListener listener = new HttpListener();
listener.Prefixes.Clear();
listener.Prefixes.Add(redirectUri);

// リスナー開始
listener.Start();

OpenID Connect の認証が完了すると、指定したリダイレクトURL に対して認証サーバからHTTPリダイレクトで認証結果が転送されますので、 これを HTTP リスナーで受け取れるようにします。

リダイレクトURLは "http://localhost:" で開始する必要があります。 ポート番号やパスは任意です。

OpenID Connect認証開始

ブラウザを起動して OpenID Connect 認証開始の REST API を実行します。

REST API の URI は、以下のとおりです。

{endpointUri}/1/{tenantId}/auth/oidc/start?op={op}&redirect={redirectUri}&scope={scope}&createUser={true|false}&sessionToken={sessionToken}
  • op、redirectUri は必須です。
  • op は連携する OpenID Connectプロバイダを指定します。設定可能な値は以下の通りです。
    • google: Google
    • adfs: ADFS (Windows Server 2016)
    • other: OpenAM
  • redirectUri には、上述したリダイレクトURLを指定してください。
  • OIDC認証ユーザを作成する場合は、createUser=true を指定してください。
  • 作成済ユーザとのアカウントリンク設定をする場合は、sessionToken にリンクさせたいユーザのセッショントークンを指定してください。
  • scope はオプションです。取得したい属性情報(OpenID Connectスコープ)を指定します。必ず "openid" が含まれている必要があります。

redirectUri, scope については、いずれもURIエンコードが必要な点に注意してください。

以下にサンプルコードを示します。

string encodeUri = System.Web.HttpUtility.UrlEncode(redirectUri);

string scope = "{Scope値}"
string encodeScope = string.IsNullOrEmpty(scope) ? "" : System.Web.HttpUtility.UrlEncode(scope);

// ブラウザを起動して REST API 実行
string path = <EndpointUrl> + "/1/" + <tenantId> + "/auth/oidc/start" + "?redirect=" + encodeUri + "&op=" + <op> + "&createUser=true";
path = encodeScope.Length == 0 ? path : path + "&scope=" + encodeScope;
System.Diagnostics.Process.Start(path);

OpenID Connect認証完了時の処理

OpenID Connect 認証が完了すると、指定したリダイレクト URI にリダイレクトされます。 リダイレクト URI は以下のようにワンタイムトークンがクエリパラメータに格納された形になります。

リダイレクト URI からワンタイムトークンを取り出します。 以下にサンプルコードを示します。

// リクエスト待ち
HttpListenerContext context = listener.GetContext();

// リクエスト取得
HttpListenerRequest req = context.Request;

// リクエスト文字列取得
string reqStr = req.RawUrl;

// ワンタイムトークン取得
string onetimeToken = req.QueryString.Get("token");

BaaS サーバへのログイン

ワンタイムトークンを指定してログインします。

サーバからセッショントークンが払いだされ、以降は本セッショントークンで認証が行われます。 以下にサンプルコードを示します。

// ログイン用のパラメータ作成
var param = new NbUser.LoginParam() { Token = onetimeToken };

// ログイン
var user = await NbUser.LoginAsync(param, service);