openid-connect-implicit-1_0.ja.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="en"><head><title>Draft: OpenID Connect
    Implicit Client Implementer's Guide 1.0 - draft 20</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="OpenID Connect
    Implicit Client Implementer's Guide 1.0 - draft 20">
<meta name="generator" content="xml2rfc v1.37pre1 (http://xml.resource.org/)">
<style type='text/css'><!--
        body {
                font-family: verdana, charcoal, helvetica, arial, sans-serif;
                font-size: small; color: #000; background-color: #FFF;
                margin: 2em;
        }
        h1, h2, h3, h4, h5, h6 {
                font-family: helvetica, monaco, "MS Sans Serif", arial, sans-serif;
                font-weight: bold; font-style: normal;
        }
        h1 { color: #900; background-color: transparent; text-align: right; }
        h3 { color: #333; background-color: transparent; }

        td.RFCbug {
                font-size: x-small; text-decoration: none;
                width: 30px; height: 30px; padding-top: 2px;
                text-align: justify; vertical-align: middle;
                background-color: #000;
        }
        td.RFCbug span.RFC {
                font-family: monaco, charcoal, geneva, "MS Sans Serif", helvetica, verdana, sans-serif;
                font-weight: bold; color: #666;
        }
        td.RFCbug span.hotText {
                font-family: charcoal, monaco, geneva, "MS Sans Serif", helvetica, verdana, sans-serif;
                font-weight: normal; text-align: center; color: #FFF;
        }

        table.TOCbug { width: 30px; height: 15px; }
        td.TOCbug {
                text-align: center; width: 30px; height: 15px;
                color: #FFF; background-color: #900;
        }
        td.TOCbug a {
                font-family: monaco, charcoal, geneva, "MS Sans Serif", helvetica, sans-serif;
                font-weight: bold; font-size: x-small; text-decoration: none;
                color: #FFF; background-color: transparent;
        }

        td.header {
                font-family: arial, helvetica, sans-serif; font-size: x-small;
                vertical-align: top; width: 33%;
                color: #FFF; background-color: #666;
        }
        td.author { font-weight: bold; font-size: x-small; margin-left: 4em; }
        td.author-text { font-size: x-small; }

        /* info code from SantaKlauss at http://www.madaboutstyle.com/tooltip2.html */
        a.info {
                /* This is the key. */
                position: relative;
                z-index: 24;
                text-decoration: none;
        }
        a.info:hover {
                z-index: 25;
                color: #FFF; background-color: #900;
        }
        a.info span { display: none; }
        a.info:hover span.info {
                /* The span will display just on :hover state. */
                display: block;
                position: absolute;
                font-size: smaller;
                top: 2em; left: -5em; width: 15em;
                padding: 2px; border: 1px solid #333;
                color: #900; background-color: #EEE;
                text-align: left;
        }

        a { font-weight: bold; }
        a:link    { color: #900; background-color: transparent; }
        a:visited { color: #633; background-color: transparent; }
        a:active  { color: #633; background-color: transparent; }

        p { margin-left: 2em; margin-right: 2em; }
        p.copyright { font-size: x-small; }
        p.toc { font-size: small; font-weight: bold; margin-left: 3em; }
        table.toc { margin: 0 0 0 3em; padding: 0; border: 0; vertical-align: text-top; }
        td.toc { font-size: small; font-weight: bold; vertical-align: text-top; }

        ol.text { margin-left: 2em; margin-right: 2em; }
        ul.text { margin-left: 2em; margin-right: 2em; }
        li      { margin-left: 3em; }

        /* RFC-2629 <spanx>s and <artwork>s. */
        em     { font-style: italic; }
        strong { font-weight: bold; }
        dfn    { font-weight: bold; font-style: normal; }
        cite   { font-weight: normal; font-style: normal; }
        tt     { color: #036; }
        tt, pre, pre dfn, pre em, pre cite, pre span {
                font-family: "Courier New", Courier, monospace; font-size: small;
        }
        pre {
                text-align: left; padding: 4px;
                color: #000; background-color: #CCC;
        }
        pre dfn  { color: #900; }
        pre em   { color: #66F; background-color: #FFC; font-weight: normal; }
        pre .key { color: #33C; font-weight: bold; }
        pre .id  { color: #900; }
        pre .str { color: #000; background-color: #CFF; }
        pre .val { color: #066; }
        pre .rep { color: #909; }
        pre .oth { color: #000; background-color: #FCF; }
        pre .err { background-color: #FCC; }

        /* RFC-2629 <texttable>s. */
        table.all, table.full, table.headers, table.none {
                font-size: small; text-align: center; border-width: 2px;
                vertical-align: top; border-collapse: collapse;
        }
        table.all, table.full { border-style: solid; border-color: black; }
        table.headers, table.none { border-style: none; }
        th {
                font-weight: bold; border-color: black;
                border-width: 2px 2px 3px 2px;
        }
        table.all th, table.full th { border-style: solid; }
        table.headers th { border-style: none none solid none; }
        table.none th { border-style: none; }
        table.all td {
                border-style: solid; border-color: #333;
                border-width: 1px 2px;
        }
        table.full td, table.headers td, table.none td { border-style: none; }

        hr { height: 1px; }
        hr.insert {
                width: 80%; border-style: none; border-width: 0;
                color: #CCC; background-color: #CCC;
        }
--></style>
</head>
<body>
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<table summary="layout" width="66%" border="0" cellpadding="0" cellspacing="0"><tr><td><table summary="layout" width="100%" border="0" cellpadding="2" cellspacing="1">
<tr><td class="header">Draft</td><td class="header">N. Sakimura</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">NRI</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">J. Bradley</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">Ping Identity</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">M. Jones</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">Microsoft</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">B. de Medeiros</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">Google</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">C. Mortimore</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">Salesforce</td></tr>
<tr><td class="header">&nbsp;</td><td class="header">August 3, 2015</td></tr>
</table></td></tr></table>
<h1><br />OpenID Connect
    Implicit Client Implementer's Guide 1.0 - draft 20</h1>

<h3>Abstract</h3>

<p>
        OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである.
        このプロトコルは, Client が Authorization Server の認証結果に基づいて End-User のアイデンティティを検証することを可能にする.
        また同時に End-User の必要最低限のプロフィール情報を, 相互運用可能かつ RESTful な形で取得することも可能にする.

</p>
<p>
        本ドキュメント OpenID Connect Implicit Client Implementer's Guide 1.0 は,
        OpenID Connect Core 1.0 仕様のサブセットであり,
        OAuth 2.0 Implicit Flowを利用して Webベースの Relying Party
        を実装する際に読みやすいように構成されている.
        本ドキュメントは Core 仕様と重複したコンテンツを含んでいるが, それは実装者が本仕様を読むだけで OAuth Implicit Flow を利用した Relying Party を実装できるよう意図したものである.

</p>
<p>
        OpenID Provider および Web ベース以外のアプリケーションの実装者は, Core 仕様を参照のこと.

</p><a name="toc"></a><br /><hr />
<h3>Table of Contents</h3>
<p class="toc">
<a href="#Introduction">1.</a>&nbsp;
Introduction<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#rnc">1.1.</a>&nbsp;
Requirements Notation and Conventions<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Terminology">1.2.</a>&nbsp;
Terminology<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Overview">1.3.</a>&nbsp;
Overview<br />
<a href="#ProtocolElements">2.</a>&nbsp;
Protocol Elements<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitFlow">2.1.</a>&nbsp;
Implicit Flow<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#AuthenticationRequest">2.1.1.</a>&nbsp;
Client Prepares Authentication Request<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#RequestParameters">2.1.1.1.</a>&nbsp;
Request Parameters<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitRequest">2.1.2.</a>&nbsp;
Client Sends Request to Authorization Server<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Authenticates">2.1.3.</a>&nbsp;
Authorization Server Authenticates End-User<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Consent">2.1.4.</a>&nbsp;
Authorization Server Obtains End-User Consent/Authorization<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitResponse">2.1.5.</a>&nbsp;
Authorization Server Sends End-User Back to Client<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitOK">2.1.5.1.</a>&nbsp;
End-User Grants Authorization<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitAuthzError">2.1.5.2.</a>&nbsp;
End-User Denies Authorization or Invalid Request<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ImplicitCallback">2.1.5.3.</a>&nbsp;
Redirect URI Fragment Handling<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#IDToken">2.2.</a>&nbsp;
ID Token<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#IDTokenValidation">2.2.1.</a>&nbsp;
ID Token Validation<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#AccessTokenValidation">2.2.2.</a>&nbsp;
Access Token Validation<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#UserInfo">2.3.</a>&nbsp;
UserInfo Endpoint<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#UserInfoRequest">2.3.1.</a>&nbsp;
UserInfo Request<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#UserInfoResponse">2.3.2.</a>&nbsp;
Successful UserInfo Response<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#UserInfoErrorResponse">2.3.3.</a>&nbsp;
UserInfo Error Response<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Scopes">2.4.</a>&nbsp;
Scope Values<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#StandardClaims">2.5.</a>&nbsp;
Standard Claims<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#AddressClaim">2.5.1.</a>&nbsp;
Address Claim<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ClaimsLanguagesAndScripts">2.5.2.</a>&nbsp;
Claims Languages and Scripts<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#ClaimStability">2.5.3.</a>&nbsp;
Claim Stability and Uniqueness<br />
<a href="#SelfIssued">3.</a>&nbsp;
Self-Issued OpenID Provider<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#SelfIssuedDiscovery">3.1.</a>&nbsp;
Self-Issued OpenID Provider Discovery<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#SelfIssuedRegistration">3.2.</a>&nbsp;
Self-Issued OpenID Provider Registration<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="#RegistrationParameter">3.2.1.</a>&nbsp;
Providing Information with the "registration" Request Parameter<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#SelfIssuedRequest">3.3.</a>&nbsp;
Self-Issued OpenID Provider Request<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#SelfIssuedResponse">3.4.</a>&nbsp;
Self-Issued OpenID Provider Response<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#SelfIssuedValidation">3.5.</a>&nbsp;
Self-Issued ID Token Validation<br />
<a href="#Serializations">4.</a>&nbsp;
Serializations<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#QuerySerialization">4.1.</a>&nbsp;
Query String Serialization<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#FormSerialization">4.2.</a>&nbsp;
Form Serialization<br />
<a href="#StringOps">5.</a>&nbsp;
String Operations<br />
<a href="#TLS">6.</a>&nbsp;
TLS Version<br />
<a href="#ImplementationConsiderations">7.</a>&nbsp;
Implementation Considerations<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#DiscoReg">7.1.</a>&nbsp;
Discovery and Registration<br />
<a href="#Security">8.</a>&nbsp;
Security Considerations<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#TLSRequirements">8.1.</a>&nbsp;
TLS Requirements<br />
<a href="#Privacy">9.</a>&nbsp;
Privacy Considerations<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#PII">9.1.</a>&nbsp;
Personally Identifiable Information<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#AccessMonitoring">9.2.</a>&nbsp;
Data Access Monitoring<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#Correlation">9.3.</a>&nbsp;
Correlation<br />
<a href="#IANA">10.</a>&nbsp;
IANA Considerations<br />
<a href="#rfc.references1">11.</a>&nbsp;
References<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#rfc.references1">11.1.</a>&nbsp;
Normative References<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#rfc.references2">11.2.</a>&nbsp;
Informative References<br />
&nbsp;&nbsp;&nbsp;&nbsp;<a href="#rfc.references3">11.3.</a>&nbsp;
翻訳プロジェクト<br />
<a href="#Acknowledgements">Appendix&nbsp;A.</a>&nbsp;
Acknowledgements<br />
<a href="#Notices">Appendix&nbsp;B.</a>&nbsp;
Notices<br />
<a href="#History">Appendix&nbsp;C.</a>&nbsp;
Document History<br />
<a href="#Translator">Appendix&nbsp;D.</a>&nbsp;
翻訳者<br />
<a href="#rfc.authors">&#167;</a>&nbsp;
Authors' Addresses<br />
</p>
<br clear="all" />

<a name="Introduction"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.1"></a><h3>1.&nbsp;
Introduction</h3>

<p>
        本ドキュメント OpenID Connect Implicit Client Implementer's Guide 1.0 は,
        <a class='info' href='#OpenID.Core'>OpenID Connect Core 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;OpenID Connect Core 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Core] 仕様のサブセットであり,
        OAuth 2.0 <a class='info' href='#RFC6749'>[RFC6749]<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> Implicit Flowを利用して Webベースの Relying Party
        を実装する際に読みやすいように構成されている.
        本ドキュメントは Core 仕様と重複したコンテンツを含んでいるが, それは実装者が本ドキュメントを読むだけで OAuth Implicit Flow を利用した Relying Party を実装できるよう意図したものである.
        本実装者ガイドと OpenID Connect Core 仕様の間に齟齬がある場合は, Core 仕様を優先する.

</p>
<p>
        OAuth <tt>authorization_code</tt> grant typeを利用する
        Webベース Relying Partyを実装する場合には,
        <a class='info' href='#OpenID.Basic'>OpenID Connect Basic Client Implementer's Guide 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;OpenID Connect Basic Client Implementer's Guide 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Basic]
        を参照のこと.
        OpenID Provider および Web ベース以外のアプリケーションの実装者は, Core 仕様を参照のこと.
        本ガイドは OpenID Provider および Web ベース以外のアプリケーションに関する Implementation Considerations および Security Considerations を省略している.

</p>
<p>
        OpenID Connect のベースとなる <a class='info' href='#RFC6749'>OAuth 2.0 Authorization Framework<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] と <a class='info' href='#RFC6750'>OAuth 2.0 Bearer Token Usage<span> (</span><span class='info'>Jones, M. and D. Hardt, &ldquo;The OAuth 2.0 Authorization Framework: Bearer Token Usage,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6750] は, 3rd-party アプリケーションが HTTP リソースへの限定的アクセス権を取得および行使するための全般的フレームワークを提供している.
        これらはリソースアクセスのための Access Token を取得および行使する方法は定義するが, アイデンティティ情報を提供するための標準的手段は定義しない.
        とりわけ, OAuth 2.0 のプロファイリングを行わずに End-User の認証に必要な情報を提供することは不可能である.
        本ドキュメント読者は上記2つの仕様を理解していることが期待される.

</p>
<p>
        OpenID Connect は OAuth 2.0 認可プロセスを拡張し, 認証目的で利用できるようにする.
        本拡張を利用する場合, Client は <tt>openid</tt> scope を指定して Authorization Request を送信する.
        本拡張を利用した Authorization Request は, Authentication Request と呼ばれる.

</p>
<p>
        認証結果は ID Token (<a class='info' href='#IDToken'>Section&nbsp;2.2<span> (</span><span class='info'>ID Token</span><span>)</span></a> 参照) と呼ばれる <a class='info' href='#JWT'>JSON Web Token (JWT)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Token (JWT),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWT] として返される.
        OpenID Connect をサポートする OAuth 2.0 Authentication Server は, OpenID Provider (OP) とも呼ばれる.
        OpenID Connect を利用する OAuth 2.0 Client は Relying Party (RP) とも呼ばれる.

</p>
<p>
        本ドキュメントでは, Relying Party は Authorization Endpoint, Token Endpoint 等を含む OpenID Provider の設定情報を既に得ているものとする.
        これらの情報は通常 <a class='info' href='#OpenID.Discovery'>OpenID Connect Discovery 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., and E. Jay, &ldquo;OpenID Connect Discovery 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Discovery] にある Discovery を通じて得られるが, その他の手段で得られることもある.

</p>
<p>
        また同様に, Relying Party は OpenID Provider 利用に必要なクレデンシャルを取得し, OP 利用に必要な情報を登録しているものとする.
        これの処理は通常 <a class='info' href='#OpenID.Registration'>OpenID Connect Dynamic Client Registration 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., and M. Jones, &ldquo;OpenID Connect Dynamic Client Registration 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Registration] にある Dynamic Registration を通じて行われるが, その他の手段で行われることもある.

</p>
<a name="rnc"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.1.1"></a><h3>1.1.&nbsp;
Requirements Notation and Conventions</h3>

<p>本ドキュメント中の "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" の意味するところは, <a class='info' href='#RFC2119'>[RFC2119]<span> (</span><span class='info'>Bradner, S., &ldquo;Key words for use in RFCs to Indicate Requirement Levels,&rdquo; March&nbsp;1997.</span><span>)</span></a> の定める通りである.
</p>
<p>
          本ドキュメントの .txt バージョンでは, 表記そのままで利用される値についてはクオートで囲んでいる.
          このような値をプロトコルメッセージ中で用いる場合, クオートを含めてはならない (MUST NOT).
          HTML バージョンではクオートで囲う代わりに <tt>this fixed-width font</tt> を用いる.

</p>
<p>
          <a class='info' href='#JWS'>JSON Web Signature (JWS)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Signature (JWS),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWS] を用いる場合, シリアライゼーションには JWS Compact Serialization を用いる.
          JWS JSON Serialization は利用しない.

</p>
<p>
          本ドキュメント中の RFC 2119 に定義されるキーワードが OpenID Provider の挙動に言及する場合, それはあくまで Client 実装者が OpenID Provider の挙動を理解しやすいように用いられているに過ぎない.

</p>
<a name="Terminology"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.1.2"></a><h3>1.2.&nbsp;
Terminology</h3>

<p>
          本ドキュメントでは,
          <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] で定義された "Access Token", "Authorization Code",
          "Authorization Endpoint", "Authorization Grant", "Authorization Server",
          "Client", "Client Identifier", "Client Secret",
          "Protected Resource", "Redirection URI", "Refresh Token",
          "Resource Owner", "Resource Server", "Response Type", および "Token Endpoint"
          <a class='info' href='#JWT'>JSON Web Token (JWT)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Token (JWT),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWT] で定義された "Claim Name", "Claim Value", "JSON Web Token (JWT)" および "JWT Claims Set",
          <a class='info' href='#JWS'>JSON Web Signature (JWS)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Signature (JWS),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWS] で定義された "Header Parameter" および "JOSE Header",
          <a class='info' href='#RFC7230'>RFC 7230<span> (</span><span class='info'>Fielding, R., Ed. and J. Reschke, Ed., &ldquo;Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing,&rdquo; June&nbsp;2014.</span><span>)</span></a> [RFC7230] で定義された "User Agent" という用語を用いる.

</p>
<p>
          本ドキュメントはその他に以下の用語を用いる.

          </p>
<blockquote class="text"><dl>
<dt>Authentication</dt>
<dd>

              提示された Identity と実際の Entity が紐づいているという十分な確信を得るためのプロセス.

</dd>
<dt>Authentication Request</dt>
<dd>

              OpenID Connect が定める拡張パラメータおよびスコープを利用して, Authorization Server に End-User の認証を要求する OAuth 2.0 Authorization Request.
              このとき Authorization Server は OpenID Connect Provider, Client は OpenID Connect Relying Party となる.

</dd>
<dt>Claim</dt>
<dd>

              Entity に関する情報の部分集合.

</dd>
<dt>Claims Provider</dt>
<dd>

              Entity の Claim を返すサーバー.

</dd>
<dt>End-User</dt>
<dd>

              一連のフローに参加する人間.

</dd>
<dt>Entity</dt>
<dd>

              あるコンテキストの中で識別される, 他と独立した個.
              End-User は Entity の一例.

</dd>
<dt>ID Token</dt>
<dd>

              Authentication イベントに関する Claim を含む <a class='info' href='#JWT'>JSON Web Token (JWT)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Token (JWT),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWT].
              その他の Claim を含むこともある (MAY).

</dd>
<dt>Identifier</dt>
<dd>

              あるコンテキスト中で Entity をユニークに特徴づける値.

</dd>
<dt>Issuer</dt>
<dd>

              Claim を発行する Entity.

</dd>
<dt>Issuer Identifier</dt>
<dd>

              検証可能な Issuer の識別子.
              Issuer Identifier は, 大文字小文字を区別する URL である.
              この URL は <tt>https</tt> スキーム, ホスト, そして任意でポート番号およびパス要素からなり, クエリーとフラグメント要素は含まない.

</dd>
<dt>OpenID Provider (OP)</dt>
<dd>

              End-User を Authenticate できる OAuth 2.0 Authorization Server.
              End-User の Authentication イベントに関する Claim を Relying Party に提供する.

</dd>
<dt>Pairwise Pseudonymous Identifier (PPID)</dt>
<dd>

              ある Relying Party に対してのみ, ある Entity の識別子として提供される値.
              他の Relying Party には, 当該 PPID を当該 Entity と関連づけることはできない.

</dd>
<dt>Personally Identifiable Information (PII)</dt>
<dd>

              特定の人物に紐づき, 実際の人物の識別に用いることができる情報.
              もしくは特定の人物に直接および間接的にリンクされる可能性のある情報.

</dd>
<dt>Relying Party (RP)</dt>
<dd>

              OpenID Provider に End-User Authentication と Claim を要求する OAuth 2.0 Client.

</dd>
<dt>Self-Issued OpenID Provider</dt>
<dd>

              私有の self-hosted な OpenID Providerであり, 自己署名つきの ID Token を発行するもの.

</dd>
<dt>Subject Identifier</dt>
<dd>

              Issuer にとって局地的にユニークで再利用されることのない End-User 識別子.
              この値は Client に利用されることを想定する.

</dd>
<dt>UserInfo Endpoint</dt>
<dd>

              Protected Resource のひとつ.
              Access Token を提示する Client に対して, Authorization Grant に従って End-User に関する情報を提供する.

</dd>
<dt>Validation</dt>
<dd>

              あるものごとの健全性および正当性を確立するためのプロセス.

</dd>
<dt>Verification</dt>
<dd>

              ある事実や値の正確さを検査もしくは証明するためのプロセス.

</dd>
<dt>Voluntary Claim</dt>
<dd>

              Client が End-User が要求するあるタスクを実行する際に, 有用ではあるが Essential ではないとを Client が指定した Claim.

</dd>
</dl></blockquote><p>

</p>
<p>
          IMPORTANT NOTE TO READERS:
          上記の用語定義は本ドキュメントが定めるところであり, 本ドキュメントの実装においてはこれらの定義に従うこと.
          "Issuer Identifier" をはじめとして, 本ドキュメントで大文字表記されている用語はすべて上記の定義に従う.
          本ドキュメント読者は必ずこれらの用語定義に従うこと.

</p>
<a name="Overview"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.1.3"></a><h3>1.3.&nbsp;
Overview</h3>

<p>
          OpenID Connect プロトコルは, おおまかに言って以下のステップに従う.

</p>
<p>
          </p>
<ol class="text">
<li>
              RP (Client) が OpenID Provider (OP) にリクエストを送る.

</li>
<li>
              OP は End-User を認証し, 認可を受ける.

</li>
<li>
              OP は ID Token および (通常は) Access Token を返す.

</li>
<li>
              RP は Access Token を添えて UserInfo Endpoint にリクエストを送る.

</li>
<li>
              UserInfo Endpoint は End-User の Claim を返す.

</li>
</ol><p>

</p>
<p>
            これら一連のステップを以下に図示する.


</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
+--------+                                   +--------+
|        |                                   |        |
|        |---------(1) AuthN Request--------&gt;|        |
|        |                                   |        |
|        |  +--------+                       |        |
|        |  |        |                       |        |
|        |  |  End-  |&lt;--(2) AuthN &amp; AuthZ--&gt;|        |
|        |  |  User  |                       |        |
|   RP   |  |        |                       |   OP   |
|        |  +--------+                       |        |
|        |                                   |        |
|        |&lt;--------(3) AuthN Response--------|        |
|        |                                   |        |
|        |---------(4) UserInfo Request-----&gt;|        |
|        |                                   |        |
|        |&lt;--------(5) UserInfo Response-----|        |
|        |                                   |        |
+--------+                                   +--------+
</pre></div>
<a name="ProtocolElements"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2"></a><h3>2.&nbsp;
Protocol Elements</h3>

<p>
        Authentication Request は Authorization Code Flow, Implicit Flow および Hybrid Flow のいずれかのフローに従う.
        Authorization Code Flow は, Authorization Server と Client 自身との間でセキュアに Client Secret を管理できる Client 向けのフローである.
        それが不可能な Client は Implicit Flow を用いる.
        しかしながら, Client Secret をセキュアに保持できないにも関わらず, Refresh Token 取得のためにしばしば Native アプリケーションやその他の Client が Authorization Code flow を利用することもある.
        Hybrid Flow は Authorization Code Flow と Implicit Flow をあわせたものであり, Client が Authorization Server から直接 ID Token およびオプションで Access Token を受け取ることでレイテンシ低下を防ぎつつも, 後から Client が Token Endpoint にアクセスして各種トークン (特に Refresh Token) を取得できるようにするものである.

</p>
<p>
        このドキュメントは Implicit Flow を利用する Client に対して必要十分な情報のみを提供する.

</p>
<a name="ImplicitFlow"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1"></a><h3>2.1.&nbsp;
Implicit Flow</h3>

<p>Implicit Flow は以下のステップからなる.
</p>
<p>
          </p>
<ol class="text">
<li>
              Client は必要なリクエストパラメータを含んだ Authentication Request を構築する.

</li>
<li>
              Client は Authorization Server にリクエストを送信する.

</li>
<li>
              Authorization Server は End-User を認証する.

</li>
<li>
              Authorization Server は End-User の Consent/Authorization を取得する.

</li>
<li>
              Authorization Server は End-User を ID Token, およびもし要求されていれば Access Token とともに, Client に戻す.

</li>
<li>
              Client はそれらのトークンを検証し, End-User の Subject Identifier を取得する.

</li>
</ol><p>

</p>
<a name="AuthenticationRequest"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.1"></a><h3>2.1.1.&nbsp;
Client Prepares Authentication Request</h3>

<p>
            RP が End-User を Authenticate したい, もしくは End-User が既に Authenticated であるかどうか知りたい場合, Client は Authorization Endpoint に Authorization Request を送る.

</p>
<p>
            Authorization Endpoint との間の通信は TLS を利用しなければならない (MUST).
            TLS の詳細については <a class='info' href='#TLSRequirements'>Section&nbsp;8.1<span> (</span><span class='info'>TLS Requirements</span><span>)</span></a> を参照のこと.

</p>
<p>
            Client は <a class='info' href='#RFC7231'>RFC 7231<span> (</span><span class='info'>Fielding, R., Ed. and J. Reschke, Ed., &ldquo;Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content,&rdquo; June&nbsp;2014.</span><span>)</span></a> [RFC7231] に定義される HTTP <tt>GET</tt> もしくは HTTP <tt>POST</tt> を利用できる (MAY).

</p>
<p>
            HTTP <tt>GET</tt> を利用する場合, パラメータは <a class='info' href='#QuerySerialization'>Section&nbsp;4.1<span> (</span><span class='info'>Query String Serialization</span><span>)</span></a> にある Query String Serialization を用いてシリアライズされる.
            HTTP <tt>POST</tt> を利用する場合, パラメータは <a class='info' href='#W3C.REC-html401-19991224'>[W3C.REC&#8209;html401&#8209;19991224]<span> (</span><span class='info'>Raggett, D., Hors, A., and I. Jacobs, &ldquo;HTML 4.01 Specification,&rdquo; December&nbsp;1999.</span><span>)</span></a> にある <tt>application/x-www-form-urlencoded</tt> フォーマットを用いてエンティティボディ中に含まれる.

</p>
<p>
              以下は Authentication Request URL の一例である.
              (改行は掲載上の都合による)

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  https://server.example.com/authorize?
    response_type=id_token%20token
    &amp;client_id=s6BhdRkqt3
    &amp;redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
    &amp;scope=openid%20profile
    &amp;state=af0ifjsldkj
    &amp;nonce=n-0S6_WzA2Mj
</pre></div>
<a name="RequestParameters"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.1.1"></a><h3>2.1.1.1.&nbsp;
Request Parameters</h3>

<p>
              OpenID Connect は以下の OAuth 2.0 リクエストパラメータを利用する.

</p>
<p>
              </p>
<blockquote class="text"><dl>
<dt>response_type</dt>
<dd>

                  REQUIRED.
                  値は <tt>id_token</tt> および <tt>token</tt> を空白で区切ったリストである.
                  これにより, Authorization Endpoint から Access Token および ID Token の両方が返される.
                  詳細は <a class='info' href='#OAuth.Responses'>OAuth 2.0 Multiple Response Type Encoding Practices<span> (</span><span class='info'>de Medeiros, B., Ed., Scurtescu, M., Tarjan, P., and M. Jones, &ldquo;OAuth 2.0 Multiple Response Type Encoding Practices,&rdquo; February&nbsp;2014.</span><span>)</span></a> [OAuth.Responses] 参照.

</dd>
<dt>client_id</dt>
<dd>

                  REQUIRED.
                  Authorization Server における OAuth 2.0 Client Identifier の値.

</dd>
<dt>scope</dt>
<dd>

                  REQUIRED.
                  OpenID Connect リクエストは scope に <tt>openid</tt> を含まねばならない (MUST).
                  OPTIONAL な scope としては,
                  <tt>profile</tt>,
                  <tt>email</tt>,
                  <tt>address</tt>,
                  <tt>phone</tt>,
                  および <tt>offline_access</tt> が定義されている.
                  それぞれの scope 値についての詳細は <a class='info' href='#Scopes'>Section&nbsp;2.4<span> (</span><span class='info'>Scope Values</span><span>)</span></a> を参照のこと.

</dd>
<dt>redirect_uri</dt>
<dd>

                  REQUIRED.
                  レスポンスが返される Redirection URI.
                  この URI は, Client が OpenID Provider に対して事前に登録済みの Redirection URI のいずれかと完全一致しなければならない (MUST).
                  マッチングルールは <a class='info' href='#RFC3986'>[RFC3986]<span> (</span><span class='info'>Berners-Lee, T., Fielding, R., and L. Masinter, &ldquo;Uniform Resource Identifier (URI): Generic Syntax,&rdquo; January&nbsp;2005.</span><span>)</span></a> (Simple String Comparison) の Section 6.2.1 に従うこと.
                  Redirection URI は <tt>http</tt> スキーマを使用してはならない (MUST NOT).
                  ただし, Client がネイティブアプリケーションである場合は,
                  <tt>http:</tt> スキーマをホスト部
                  <tt>localhost</tt> と組み合わせて使うことができる (MAY).

</dd>
<dt>state</dt>
<dd>

                  RECOMMENDED.
                  リクエストとコールバックの間で維持されるランダムな値.
                  一般的に Cross-Site Request Forgery (CSRF, XSRF) 対策の目的で利用される, ブラウザ Cookie と紐づく暗号論的にセキュアな値を取る.

</dd>
</dl></blockquote><p>

</p>
<p>
              本ドキュメントは上記に加えて以下のリクエストパラメータを定義する.

</p>
<p>
              </p>
<blockquote class="text"><dl>
<dt>nonce</dt>
<dd>

                  REQUIRED.
                  Client セッションと ID Token を紐づける文字列であり, リプレイアタック対策に用いられる.
                  この値は Authentication Request で指定され, そのままの値で ID Token に含まれる.
                  <tt>nonce</tt> 値には, 推測不可能なように十分なエントロピーを持たせること (MUST).
                  この条件を満たすには, 暗号論的にセキュアな乱数を HTML5 ローカルストレージに保存し, その暗号論的ハッシュ値を <tt>nonce</tt> として利用するといった方法が考えられる.
                  この場合, ID Token に含まれて返される <tt>nonce</tt> 値をローカルストレージに保存した値のハッシュ値と比較することで, 第三者によるリプレイアタックを検知することができる.

</dd>
<dt>display</dt>
<dd>

                  OPTIONAL.
                  Authorization Server が認証および同意のためのユーザーインタフェースを End-User にどのように表示するかを指定するための ASCII　<a class='info' href='#RFC20'>[RFC20]<span> (</span><span class='info'>Cerf, V., &ldquo;ASCII format for Network Interchange,&rdquo; October&nbsp;1969.</span><span>)</span></a> 値.
                  以下の値が定義されている.



<blockquote class="text"><dl>
<dt>page</dt>
<dd>

                      Authorization Server は認証および同意 UI を User Agent の全画面に表示すべきである (SHOULD).
                      display パラメータが指定されていない場合, この値がデフォルトとなる.

</dd>
<dt>popup</dt>
<dd>

                      Authorization Server は認証および同意 UI を User Agent のポップアップウィンドウに表示すべきである (SHOULD).
                      User Agent のポップアップウィンドウはログインダイアログに適切なサイズで, 親ウィンドウ全体を覆うことのないようにすべきである.

</dd>
<dt>touch</dt>
<dd>

                      Authorization Server は認証および同意 UI をタッチインタフェースを持つデバイスに適した形で表示すべきである (SHOULD).

</dd>
<dt>wap</dt>
<dd>

                      Authorization Server は認証および同意 UI を "feature phone" に適した形で表示すべきである (SHOULD).

</dd>
</dl></blockquote>

                  Authorization Server は User Agent の機能を検知して適切な表示を行うようにしても良い (MAY).


</dd>
<dt>prompt</dt>
<dd>

                  OPTIONAL.
                  Authorization Server が End-User に再認証および同意を再度要求するかどうか指定するための, スペース区切りの ASCII 文字列のリスト.
                  以下の値が定義されている.



<blockquote class="text"><dl>
<dt>none</dt>
<dd>

                      Authorization Server はいかなる認証および同意 UI をも表示してはならない (MUST NOT).
                      End-User が認証済でない場合, Client が要求する Claim 取得に十分な事前同意を取得済でない場合, またはリクエストを処理するために必要な何らかの条件を満たさない場合には, エラーが返される.
                      典型的なエラーコードは <tt>login_required</tt>, <tt>interaction_required</tt> である.
                      この prompt 値は現在の認証状態, 同意状況を確認する為にも利用できる.

</dd>
<dt>login</dt>
<dd>

                      Authorization Server は End-User を再認証するべきである (SHOULD).
                      再認証が不可能な場合はエラーを返す (MUST).
                      典型的なエラーコードは <tt>login_required</tt> である.

</dd>
<dt>consent</dt>
<dd>

                      Authorization Server は Client にレスポンスを返す前に End-User に同意を要求するべきである (SHOULD).
                      同意要求が不可能な場合はエラーを返す (MUST).
                      典型的なエラーコードは <tt>consent_required</tt> である.

</dd>
<dt>select_account</dt>
<dd>

                      Authorization Server は End-User にアカウント選択を促すべきである (SHOULD).
                      この prompt 値は, End-User が Authorization Server 上に複数アカウントを持っているとき, 現在のセッションに紐づくアカウントの中から一つを選択することを可能にする.
                      End-User によるアカウント選択が不可能な場合はエラーを返す (MUST).
                      典型的なエラーコードは <tt>account_selection_required</tt> である.

</dd>
</dl></blockquote>

                  <tt>prompt</tt> パラメータは Client に対して, End-User のセッションがアクティブであることを確認したり, End-User にリクエストに対する注意を促すことを可能にする.
                  <tt>none</tt> がその他の値とともに用いられる場合はエラーとなる.


</dd>
<dt>max_age</dt>
<dd>

                  OPTIONAL.
                  Authentication Age の最大値.
                  End-User が OP によって明示的に認証されてからの経過時間の最大許容値 (秒).
                  もし経過時間がこの値より大きい場合, OP は End-User を明示的に再認証しなければならない (MUST).
                  <tt>max_age</tt> が指定された場合, 発行される ID Token は <tt>auth_time</tt> Claim を含まねばならない (MUST).

</dd>
<dt>ui_locales</dt>
<dd>

                  OPTIONAL.
                  End-User の選好する UI の表示言語および文字種.
                  スペース区切りの <a class='info' href='#RFC5646'>BCP47<span> (</span><span class='info'>Phillips, A., Ed. and M. Davis, Ed., &ldquo;Tags for Identifying Languages,&rdquo; September&nbsp;2009.</span><span>)</span></a> [RFC5646] 言語タグ値のリストとして表現され, 順序は選好順となる.
                  例えば "fr-CA fr en" という値が指定された場合, カナダで用いられるフランス語が第一選好となり, 次いで地域指定のないフランス語, そして英語と続く.
                  要求されたロケールがサポートされていない場合でも, OpenID Provider はエラーとするべきではない (SHOULD NOT).

</dd>
<dt>claims_locales</dt>
<dd>

                  OPTIONAL.
                  End-User の選好する Claim の表示言語および文字種.
                  スペース区切りの <a class='info' href='#RFC5646'>BCP47<span> (</span><span class='info'>Phillips, A., Ed. and M. Davis, Ed., &ldquo;Tags for Identifying Languages,&rdquo; September&nbsp;2009.</span><span>)</span></a> [RFC5646] 言語タグ値のリストとして表現され, 順序は選好順となる.
                  要求されたロケールがサポートされていない場合でも, OpenID Provider はエラーとするべきではない (SHOULD NOT).

</dd>
<dt>id_token_hint</dt>
<dd>

                  OPTIONAL.
                  Authorization Server が以前発行した ID Token.
                  Client が認証した End-User の現在もしくは過去のセッションに関するヒントとして利用される.
                  もしこの ID Token に紐づく End-User が認証済, もしくはこのリクエスト中で認証された場合, Authorization Server はポジティブレスポンスを返す.
                  さもなければ, Authorization Server はエラーを返す (SHOULD).
                  <tt>prompt=none</tt> を利用する場合は, 可能であれば <tt>id_token_hint</tt> を指定するべきであり (SHOULD), さもなければ <tt>invalid_request</tt> を返しても良い (MAY).
                  ただしサーバーはその場合可能な限りサクセスレスポンスを返すこと.
                  <tt>id_token_hint</tt> 利用時は, ID Token の audience に Authorization Server 自身が含まれている必要はない.

</dd>
<dt>login_hint</dt>
<dd>

                  OPTIONAL.
                  Authorization Server に対する End-User ログイン識別子のヒントとして利用される.
                  RP が End-User に Email アドレス (もしくはその他の識別子) を要求し, それを Authorization Server にヒントとして送信することでヒントとする.
                  Discovery に利用された値をヒントの値として利用することを推奨する (RECOMMENDED).
                  この値は <tt>phone_number</tt> Claim に指定されるフォーマットに従った電話番号でもよい (MAY).
                  このパラメータを利用するか否かは OP の判断にゆだねる.

</dd>
<dt>acr_values</dt>
<dd>

                  OPTIONAL.
                  Authentication Context Class Reference リクエスト値.
                  Authorization Server が認証リクエストを処理する際に要求される <tt>acr</tt> の値をスペース区切りで示した文字列.
                  認証処理が満たした Authentication Context Class は, <a class='info' href='#IDToken'>Section&nbsp;2.2<span> (</span><span class='info'>ID Token</span><span>)</span></a> に示す <tt>acr</tt> Claim Value として返される.
                  <tt>acr</tt> Claim はこのパラメータを用いることで Voluntary Claim としてリクエストされることになる.

</dd>
<dt>registration</dt>
<dd>

                  OPTIONAL.
                  Client が自身の情報を Self-Issued OP に提供するために使用される.
                  なお, 通常 Client は自身の情報を Dynamic Client Registration (<a class='info' href='#RegistrationParameter'>Section&nbsp;3.2.1<span> (</span><span class='info'>Providing Information with the &quot;registration&quot; Request Parameter</span><span>)</span></a> 参照) を通じて OP に提供する.

</dd>
</dl></blockquote><p>

</p>
<a name="ImplicitRequest"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.2"></a><h3>2.1.2.&nbsp;
Client Sends Request to Authorization Server</h3>

<p>
            Client は Authorization Endpoint に HTTPS で Authentication Request を送信する.

</p>
<p>
              以下の例では Client が User Agent に HTTP 302 リダイレクトレスポンスを返し, User Agent に対して Authorization Endpoint に Authentication Request を送るよう指示している. (改行は掲載上の都合による)



</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  HTTP/1.1 302 Found
  Location: https://server.example.com/authorize?
    response_type=id_token%20token
    &amp;client_id=s6BhdRkqt3
    &amp;redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
    &amp;scope=openid%20profile
    &amp;state=af0ifjsldkj
    &amp;nonce=n-0S6_WzA2Mj
</pre></div>
<p>
              User Agent は上記の Client からの HTTP 302 リダイレクトレスポンスに従い, Authorization Server に以下のようなリクエストを送る. (改行は掲載上の都合による)


</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  GET /authorize?
    response_type=id_token%20token
    &amp;client_id=s6BhdRkqt3
    &amp;redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
    &amp;scope=openid%20profile
    &amp;state=af0ifjsldkj
    &amp;nonce=n-0S6_WzA2Mj HTTP/1.1
  Host: server.example.com
</pre></div>
<a name="Authenticates"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.3"></a><h3>2.1.3.&nbsp;
Authorization Server Authenticates End-User</h3>

<p>
            Authorization Server は, リクエストパラメータ値に基づき, End-User をログインさせたり既にログイン済みであることを検証する.
            End-User とのインタラクションが HTTP で行われる場合は, <a class='info' href='#TLSRequirements'>Section&nbsp;8.1<span> (</span><span class='info'>TLS Requirements</span><span>)</span></a> に基づきTLS を用いること (MUST).
            認証手段の詳細については, 本ドキュメントの定めるところではない.

</p>
<a name="Consent"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.4"></a><h3>2.1.4.&nbsp;
Authorization Server Obtains End-User Consent/Authorization</h3>

<p>
            Authorization Server は要求された Claim に対する認可結果を得る.
            認可取得には, End-User が何に同意をしようとしているのかを明示する同意ダイアログを用いることもあれば, その他の何らかの手段 (事前の管理者による同意等) を用いることもあろう.

</p>
<p>
            <tt>openid</tt> scope 値は, その OAuth 2.0 リクエストが OpenID Connect リクエストであることを宣言する.
            その他の scope 値の利用は任意である (OPTIONAL).

</p>
<a name="ImplicitResponse"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.5"></a><h3>2.1.5.&nbsp;
Authorization Server Sends End-User Back to Client</h3>

<p>
            認可結果が得られると, Authorization Server はサクセスレスポンスまたはエラーレスポンスを返す.

</p>
<a name="ImplicitOK"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.5.1"></a><h3>2.1.5.1.&nbsp;
End-User Grants Authorization</h3>

<p>
              End-User がアクセス権要求を承認した場合, Authorization Server は Access Token を発行し, <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] の Section 4.2.2 および <a class='info' href='#OAuth.Responses'>OAuth 2.0 Multiple Response Type Encoding Practices<span> (</span><span class='info'>de Medeiros, B., Ed., Scurtescu, M., Tarjan, P., and M. Jones, &ldquo;OAuth 2.0 Multiple Response Type Encoding Practices,&rdquo; February&nbsp;2014.</span><span>)</span></a> [OAuth.Responses] に従い, 以下のパラメータを Redirection URI のフラグメント部に <tt>application/x-www-form-urlencoded</tt> フォーマットで付与して Client に渡す.

</p>
<p>
              Implicit Flow では, <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] の Section 4.2.2 に従い, レスポンスの全体が Redirection URI のフラグメント部に返される.

</p>
<p>
              </p>
<blockquote class="text"><dl>
<dt>access_token</dt>
<dd>

                  REQUIRED.
                  UserInfo Endpoint アクセスのための Access Token.

</dd>
<dt>token_type</dt>
<dd>

                  REQUIRED.
                  OAuth 2.0 Token Type 値.
                  このサブセットを使う Clint について, この値は <a class='info' href='#RFC6750'>OAuth 2.0 Bearer Token Usage<span> (</span><span class='info'>Jones, M. and D. Hardt, &ldquo;The OAuth 2.0 Authorization Framework: Bearer Token Usage,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6750]
                  に従い, <tt>Bearer</tt> でなければならない (MUST).

</dd>
<dt>id_token</dt>
<dd>

                  REQUIRED.
                  ID Token.

</dd>
<dt>state</dt>
<dd>

                  OAuth 2.0 state 値.
                  Authorization Request に <tt>state</tt> パラメータが含まれていた場合は必須 (REQUIRED).
                  Clients は <tt>state</tt> 値が Authorization Request に含めた値と同一であることを検証しなければならない (MUST).

</dd>
<dt>expires_in</dt>
<dd>

                  OPTIONAL.
                  レスポンス生成時点から Access Token の期限切れまでの時間を秒で表したもの.

</dd>
</dl></blockquote><p>

</p>
<p>
              Client はこの Access Token を用いて Resource Server 上の保護されたリソースにアクセスが可能である.

</p>
<p>
                以下に例を示す. (改行は掲載上の都合による)

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  HTTP/1.1 302 Found
  Location: https://client.example.org/cb#
    access_token=SlAV32hkKG
    &amp;token_type=bearer
    &amp;id_token=eyJ0 ... NiJ9.eyJ1c ... I6IjIifX0.DeWt4Qu ... ZXso
    &amp;expires_in=3600
    &amp;state=af0ifjsldkj
</pre></div>
<a name="ImplicitAuthzError"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.5.2"></a><h3>2.1.5.2.&nbsp;
End-User Denies Authorization or Invalid Request</h3>

<p>
              End-User が認可を拒否したり, End-User の認証に失敗した場合, Authorization Server は <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] Section 4.2.2.1 に従ってエラーの Authorization Response を返さなければならない (MUST).
              (RFC 6749 に関係のないエラーは, 適切な HTTP ステータスコードを用いて User Agent に返すこと)

</p>
<a name="ImplicitCallback"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.1.5.3"></a><h3>2.1.5.3.&nbsp;
Redirect URI Fragment Handling</h3>

<p>
              レスポンスのパラメータは Redirection URI フラグメントで渡されるため,
              Client はフラグメントエンコードされた値を User Agent でパースして
              Client の処理ロジックに送る必要がある.
              暗号 API に直接アクセス可能な User Agent では,
              例えばすべての Client コードを JavaScript で書くことにより,
              処理を User Agent 内で完結することができる.

</p>
<p>
              しかし, Client 処理が User Agent 内で完結しない場合には,
              パラメータを Web Server Client へポストして検証する方法がある.

</p>
<p>
              以下は Client が <tt>redirect_uri</tt> で提供する JavaScript ファイルの例である.
              このファイルは Authorization Server からのリダイレクトによって読み込まれる.
              フラグメント部分はパースされ, <tt>POST</tt> によって送信される先の URI で検証とユーザー情報の受信が行われる.

</p>
<p>
                以下に Redirect URI レスポンスの例を示す.

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  GET /cb HTTP/1.1
  Host: client.example.org

  HTTP/1.1 200 OK
  Content-Type: text/html

  &lt;script type="text/javascript"&gt;

  // First, parse the query string
  var params = {}, postBody = location.hash.substring(1),
      regex = /([^&amp;=]+)=([^&amp;]*)/g, m;
  while (m = regex.exec(postBody)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }

  // And send the token over to the server
  var req = new XMLHttpRequest();
  // using POST so query isn't logged
  req.open('POST', 'https://' + window.location.host +
                   '/catch_response', true);
  req.setRequestHeader('Content-Type',
                       'application/x-www-form-urlencoded');

  req.onreadystatechange = function (e) {
    if (req.readyState == 4) {
      if (req.status == 200) {
  // If the response from the POST is 200 OK, perform a redirect
        window.location = 'https://'
          + window.location.host + '/redirect_after_login'
      }
  // if the OAuth response is invalid, generate an error message
      else if (req.status == 400) {
        alert('There was an error processing the token')
      } else {
        alert('Something other than 200 was returned')
      }
    }
  };
  req.send(postBody);
</pre></div>
<a name="IDToken"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.2"></a><h3>2.2.&nbsp;
ID Token</h3>

<p>
          ID Token は, ある Client を利用するというコンテキスト中での, Authorization Server による End-User 認証に関する Claim を含んだセキュリティトークンである.
          潜在的にはその他の Claim を含む可能性もある.
          ID Token は <a class='info' href='#JWT'>JSON Web Token (JWT)<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Token (JWT),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWT] である.

</p>
<p>
          ID Token には以下の Claim が含まれる.

</p>
<p>
          </p>
<blockquote class="text"><dl>
<dt>iss</dt>
<dd>

              REQUIRED.
              レスポンスを返した Issuer の Issuer Identifier.
              <tt>iss</tt> 値は, <tt>https</tt> スキーマで始まる大文字小文字を区別する URL であり, スキーマ, ホスト, そして任意でポート番号とパスを含む. クエリーとフラグメントは含まない.

</dd>
<dt>sub</dt>
<dd>

              REQUIRED.
              Subject Identifier.
              Client に利用される前提で, Issuer のローカルでユニークであり再利用されない End-User の識別子.
              (例: <tt>24400320</tt> や <tt>AItOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4</tt> 等)
              この値は ASCII で255文字を超えてはならない (MUST NOT).
              <tt>sub</tt> 値は大文字小文字を区別する.

</dd>
<dt>aud</dt>
<dd>

              REQUIRED.
              ID Token の想定されるオーディエンス (Audience).
              この値は Relying Party の OAuth 2.0 <tt>client_id</tt> を含まなければならない (MUST).
              他のオーディエンスの識別子を含んでもよい (MAY).
              一般的には <tt>aud</tt> は大文字小文字を区別した文字列の配列であるが, オーディエンスが単体の場合は <tt>aud</tt> 値を大文字小文字を区別した単一文字列としてもよい (MAY).

</dd>
<dt>exp</dt>
<dd>

              REQUIRED.
              ID Token の有効期限.
              この有効期限以降に該当 ID Token を受け入れたり処理してはならない (MUST NOT).
              ある ID Token が有効期限内であるためには, この値が示す時刻より現在時刻が前でなければならない (MUST).
              実装者は, 通常数分以内で, 時計のズレを考慮して多少の猶予期間を設けてもよい (MAY).
              この値は UTC 1970-01-01T00:00:00Z から該当時刻までの秒数を示す JSON <a class='info' href='#RFC7159'>[RFC7159]<span> (</span><span class='info'>Bray, T., Ed., &ldquo;The JavaScript Object Notation (JSON) Data Interchange Format,&rdquo; March&nbsp;2014.</span><span>)</span></a> 数値である.
              詳細は <a class='info' href='#RFC3339'>RFC 3339<span> (</span><span class='info'>Klyne, G. and C. Newman, &ldquo;Date and Time on the Internet: Timestamps,&rdquo; July&nbsp;2002.</span><span>)</span></a> [RFC3339] を参照のこと.

</dd>
<dt>iat</dt>
<dd>

              REQUIRED.
              JWT 発行時刻.
              この値は UTC 1970-01-01T00:00:00Z から該当時刻までの秒数を示す JSON 数値である.

</dd>
<dt>auth_time</dt>
<dd>

              End-User の認証が発生した時刻.
              この値は UTC 1970-01-01T00:00:00Z から該当時刻までの秒数を示す JSON 数値である.
              リクエストに <tt>max_age</tt> が含まれていた場合, この Claim は必須である (REQUIRED).
              その他の場合は任意 (OPTIONAL).

</dd>
<dt>nonce</dt>
<dd>

              OPTIONAL.
              Client セッションと ID Token を紐づける文字列値.
              リプレイアタック防止のために用いられる.
              Authentication Request で指定されたままの値を ID Token に含める.
              Client は Authentication Request に含めた <tt>nonce</tt> 値が ID Token に含まれる <tt>nonce</tt> Claim Value と一致することを検証しなければならない (MUST).
              Authentication Request に nonce が含まれていた場合, Authorization Server は ID Token にそのままの値で <tt>nonce</tt> Claim を含めねばならない (MUST).
              <tt>nonce</tt> は大文字小文字を区別する文字列である.

</dd>
<dt>at_hash</dt>
<dd>

              REQUIRED.
              Access Token のハッシュ値.
              Implicit Flow 内で ID Token が <tt>access_token</tt> とともに発行された場合 (この項で説明しているOpenID Connectのサブセットではこのケースに該当する), この Claim は必須である (REQUIRED).
              この値は, <tt>access_token</tt> の ASCII バイト列のハッシュ値の左半分を Basd64URL エンコードしたものであり, ハッシュアルゴリズムは ID Token の JOSE Header にある <tt>alg</tt> Header Parameter で用いられるハッシュアルゴリズムと同じものを用いる.
              例えば <tt>alg</tt> が <tt>RS256</tt> であれば, <tt>access_token</tt> の SHA-256 ハッシュ値を計算し, その左半分の128ビットを Base64URL エンコードする.
              <tt>at_hash</tt> は大文字小文字を区別する文字列である.

</dd>
<dt>acr</dt>
<dd>

              OPTIONAL.
              Authentication Context Class Reference.
              実施された認証処理が満たす Authentication Context Class を表す Authentication Context Class Reference 値を示す文字列.
              "0" という値は End-User 認証が <a class='info' href='#ISO29115'>ISO/IEC 29115<span> (</span><span class='info'>International Organization for Standardization, &ldquo;ISO/IEC 29115:2013 --           Information technology - Security techniques - Entity authentication           assurance framework,&rdquo; March&nbsp;2013.</span><span>)</span></a> [ISO29115] の定める level 1 を満たさないことを意味する.
              長期間有効なブラウザクッキーを用いた認証などが, "level 0" の例として挙げられる.
              金銭にかかわるリソースへのアクセス認可要求時には, level 0 の認証を受け入れるべきではない (SHOULD NOT).
              <tt>acr</tt> 値には, 絶対 URL か <a class='info' href='#RFC6711'>RFC 6711<span> (</span><span class='info'>Johansson, L., &ldquo;An IANA Registry for Level of Assurance (LoA) Profiles,&rdquo; August&nbsp;2012.</span><span>)</span></a> [RFC6711] に登録された値を用いるべきである (SHOULD).
              <a class='info' href='#RFC6711'>RFC 6711<span> (</span><span class='info'>Johansson, L., &ldquo;An IANA Registry for Level of Assurance (LoA) Profiles,&rdquo; August&nbsp;2012.</span><span>)</span></a> [RFC6711] 登録済の値を用いる場合, <a class='info' href='#RFC6711'>RFC 6711<span> (</span><span class='info'>Johansson, L., &ldquo;An IANA Registry for Level of Assurance (LoA) Profiles,&rdquo; August&nbsp;2012.</span><span>)</span></a> [RFC6711] と異なる意味でそれを用いてはならない (MUST NOT).
              この値の意味するところはコンテキストによって異なる可能性があるため, この Claim を利用する場合は, 関係者間で値の意味するところについて合意しておくこと.
              <tt>acr</tt> は大文字小文字を区別する文字列である.

</dd>
<dt>amr</dt>
<dd>

              OPTIONAL.
              Authentication Methods References.
              認証時に用いられた認証方式を示す識別子文字列の JSON 配列.
              例として, パスワードと OTP 認証が両方行われたことを示すといったケースが考えられる.
              <tt>amr</tt> Claim にどのような値を用いるかは本ドキュメントの定めるところではない.
              この値の意味するところはコンテキストによって異なる可能性があるため, この Claim を利用する場合は, 関係者間で値の意味するところについて合意しておくこと.
              <tt>amr</tt> は大文字小文字を区別する文字列である.

</dd>
<dt>azp</dt>
<dd>

              OPTIONAL.
              ID Token 発行対象である認可された関係者 (authorized party).
              この Claim が存在する場合, その値は受け取り手の OAuth 2.0 Client ID でなければならない.
              この Claim は, ID Token のオーディエンス値が単一文字列であり, かつその値が <tt>azp</tt> の値と異なる場合にのみ必要となる.
              オーディエンスと <tt>azp</tt> 値が同値である場合にも, この Claim を含んでもよい (MAY).
              <tt>azp</tt> は大文字小文字を区別する文字列である.

</dd>
<dt>sub_jwk</dt>
<dd>

              <a class='info' href='#SelfIssued'>Section&nbsp;3<span> (</span><span class='info'>Self-Issued OpenID Provider</span><span>)</span></a> で定義されるとおり, Self-Issued OpenID Provider から発行された ID Token の署名検証に使われる公開鍵.
              鍵は <a class='info' href='#JWK'>[JWK]<span> (</span><span class='info'>Jones, M., &ldquo;JSON Web Key (JWK),&rdquo; May&nbsp;2015.</span><span>)</span></a> フォーマットのベア鍵である (X.509 証明書ではない).
              <tt>sub_jwk</tt> Claim の使用は,
              OP が Self-Issued OP の場合は必須 (REQUIRED) であり,
              そうでない場合は推奨されない (NOT RECOMMENDED).
              <tt>sub_jwk</tt> 値は JSON オブジェクトである.

</dd>
</dl></blockquote><p>

</p>
<p>
          ID Token はその他の Claim を含んでもよい (MAY).
          解釈不可能な Claim は全て無視すること (MUST).

</p>
<p>
          ID Token は <a class='info' href='#JWS'>JWS<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Signature (JWS),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWS] を使って署名されなければならない (MUST).
          Client は ID Token を <a class='info' href='#IDTokenValidation'>Section&nbsp;2.2.1<span> (</span><span class='info'>ID Token Validation</span><span>)</span></a> に従って検証しなければならない (MUST).

</p>
<p>
          ID Token は JWS および JWE の
          <tt>x5u</tt>,
          <tt>x5c</tt>,
          <tt>jku</tt>,
          <tt>jwk</tt>
          ヘッダーフィールドを含むべきではない (SHOULD NOT).
          これらの代わりに事前の Discovery および Registration において, ID Token に用いる鍵を得ること.

</p>
<p>
            以下は Base64URL デコードされた ID Token に含まれる Claims (the JWT Claims Set) の例である.

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  {
   "iss": "https://server.example.com",
   "sub": "24400320",
   "aud": "s6BhdRkqt3",
   "nonce": "n-0S6_WzA2Mj",
   "exp": 1311281970,
   "iat": 1311280970,
   "at_hash": "MTIzNDU2Nzg5MDEyMzQ1Ng"
  }
</pre></div>
<a name="IDTokenValidation"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.2.1"></a><h3>2.2.1.&nbsp;
ID Token Validation</h3>

<p>
            本ドキュメントの定めるバリデーションが1つでも失敗した場合, バリデーションが失敗した情報を必要とする処理を全て中止し (MUST), バリデーションが失敗した情報を利用してはならない (MUST NOT).

</p>
<p>
            Client は Authorization Response に含まれる ID Token を以下のようにバリデートしなければならない (MUST).

</p>
<p>
            </p>
<ol class="text">
<li>
                OpenID Provider の Issuer Identifier (これは通常 Discovery によって得られる) が <tt>iss</tt> (issuer) Claim と一致しなければならない (MUST).

</li>
<li>
                <tt>aud</tt> Claim が, <tt>iss</tt> Claim に紐づく Issuer に登録されている Client 自身の <tt>client_id</tt> を含まなければならない (MUST).
                ID Token のオーディエンスに Client が含まれていなかったり, Client にとって信頼できない主体がオーディエンスに含まれている場合, その ID Token を拒絶しなければならない (MUST).

</li>
<li>
                ID Token が複数のオーディエンスを含む場合, Client は <tt>azp</tt> Claim が存在することを検証すべきである (SHOULD).

</li>
<li>
                <tt>azp</tt> Claim が存在する場合, Client はそれが自身の <tt>client_id</tt> と一致することを検証すべきである (SHOULD).

</li>
<li>
                Client は ID Token の署名を, JOSE Header 中の <tt>alg</tt> Header Parameter で指定されたアルゴリズムを使い, <a class='info' href='#JWS'>JWS<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Signature (JWS),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWS] に従って検証しなければならない (MUST).
                Client は Issuer によって提供された鍵を使わなければならない (MUST).

</li>
<li>
                <tt>alg</tt> の値は <tt>RS256</tt> であるべきである (SHOULD).
                他の署名アルゴリズムを用いたトークン検証については
                <a class='info' href='#OpenID.Core'>OpenID Connect Core 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;OpenID Connect Core 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Core]
                に記述されている.

</li>
<li>
                現在時刻が <tt>exp</tt> Claim より前でなければならない (MUST).
                (時計のズレを考慮した多少の猶予は許容される)

</li>
<li>
                <tt>iat</tt> Claim が現在時刻からあまりにかけ離れている場合は, そのトークンを拒絶してもよい.
                これにより nonce の保存期間を制限することができる.
                適切な閾値は, Client ごとにことなる.

</li>
<li>
                <tt>nonce</tt>
                Claim の値が Authentication Request にて送られたものと一致することを確認しなければならない (MUST).
                Client は <tt>nonce</tt> の値をリプレイアタック対策のためにチェックすべきである (SHOULD).
                リプレイアタック検知方法の詳細は Client によって異なる.

</li>
<li>
                <tt>acr</tt> Claim が要求されたならば, Client は主張された Claim の値が適切かどうかをチェックすべきである (SHOULD).
                <tt>acr</tt> Claim の値と意味は本ドキュメントの対象外である.

</li>
<li>
                <tt>max_age</tt> が要求されたならば,
                Client は <tt>auth_time</tt> Claim の値をチェックし, もし最新のユーザー認証からあまりに長い時間が経過したと判定されたときは再認証を要求すべきである (SHOULD).

</li>
</ol><p>

</p>
<a name="AccessTokenValidation"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.2.2"></a><h3>2.2.2.&nbsp;
Access Token Validation</h3>

<p>
            Implicit Flow で ID Token とともに 発行された Access Token を検証するには,
            Client は以下を検証するべきである (SHOULD).

</p>
<p>
            </p>
<ol class="text">
<li>
                <tt>access_token</tt> の ASCII オクテット列のハッシュ値を求める.
                このとき用いるハッシュアルゴリズムは ID Token の JOSE Header にある <tt>alg</tt> Header Parameter に対応する <a class='info' href='#JWA'>JWA<span> (</span><span class='info'>Jones, M., &ldquo;JSON Web Algorithms (JWA),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWA] で定められたものである.
                例えば <tt>alg</tt> が <tt>RS256</tt> であれば, ハッシュアルゴリズムは SHA-256である.

</li>
<li>
                ハッシュ値の左半分を Base64URL エンコードする.

</li>
<li>
                ID Token に <tt>at_hash</tt> が存在する場合は,
                その値は, 直前のステップで求めた値と一致しなければならない (MUST).

</li>
</ol><p>

</p>
<a name="UserInfo"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.3"></a><h3>2.3.&nbsp;
UserInfo Endpoint</h3>

<p>
          UserInfo Endpoint は, 認証された End-User に関する Claim を返す OAuth 2.0 Protected Resource である.
          UserInfo Endpoint は <tt>https</tt> スキーマの URL であり, ポート番号, パス, クエリーを含むことができる (MAY).
          Claim は JSON オブジェクトとして返される.

</p>
<p>
          UserInfo Endpoint にアクセスする際には TLS は必須である (MUST).
          TLS 利用についての詳細は <a class='info' href='#TLSRequirements'>Section&nbsp;8.1<span> (</span><span class='info'>TLS Requirements</span><span>)</span></a> 参照.

</p>
<a name="UserInfoRequest"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.3.1"></a><h3>2.3.1.&nbsp;
UserInfo Request</h3>

<p>
            Client は, OpenID Connect Authentication で得られた Access Token を使って, UserInfo Endpoint に End-User の Claim をリクエストする.
            UserInfo Endpoint は <a class='info' href='#RFC6750'>OAuth 2.0 Bearer Token Usage<span> (</span><span class='info'>Jones, M. and D. Hardt, &ldquo;The OAuth 2.0 Authorization Framework: Bearer Token Usage,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6750] に従った <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] Protected Resource である.
            このリクエストは HTTP <tt>GET</tt> で行われるべきであり (SHOULD), Access Token は <tt>Authorization</tt> ヘッダー経由で渡されるべきである (SHOULD).

</p>
<p>
              以下に UserInfo Request の例を示す.

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  GET /userinfo HTTP/1.1
  Host: server.example.com
  Authorization: Bearer SlAV32hkKG
</pre></div>
<a name="UserInfoResponse"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.3.2"></a><h3>2.3.2.&nbsp;
Successful UserInfo Response</h3>

<p>
            UserInfo Claim は JSON オブジェクトのメンバーとして返される (MUST).
            レスポンスボディは UTF-8 <a class='info' href='#RFC3629'>[RFC3629]<span> (</span><span class='info'>Yergeau, F., &ldquo;UTF-8, a transformation format of ISO 10646,&rdquo; November&nbsp;2003.</span><span>)</span></a> エンコードされる (SHOULD).
            <a class='info' href='#StandardClaims'>Section&nbsp;2.5<span> (</span><span class='info'>Standard Claims</span><span>)</span></a> に定義されている Claim に加え, そこに明記されていない Claim も返却可能である.

</p>
<p>
            Claim が返されない場合, Claim Name は JSON オブジェクトから除かれるべきであり (SHOULD), 値を null や空文字列にした状態で該当 Claim を含めるべきではない (SHOULD NOT).

</p>
<p>
            UserInfo Response には, 必ず <tt>sub</tt> Claim を含むこと (MUST).

</p>
<p>
            注) トークン置換攻撃を考慮すると, UserInfo Response が必ずしも ID Token の <tt>sub</tt> Claim が示す End-User のものであるとは保証できない.
            そのため UserInfo Response に含まれる <tt>sub</tt> Claim が ID Token のそれと一致することを検証しなければならない (MUST).
            もし2つが一致しない場合, UserInfo Response を利用してはならない (MUST NOT).

</p>
<p>
            Client はレスポンスを返した OP が意図した通りの OP であることを, <a class='info' href='#RFC6125'>RFC 6125<span> (</span><span class='info'>Saint-Andre, P. and J. Hodges, &ldquo;Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS),&rdquo; March&nbsp;2011.</span><span>)</span></a> [RFC6125] に従い TLS サーバー証明書チェックを通じて検証しなければならない (MUST).

</p>
<a name="UserInfoErrorResponse"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.3.3"></a><h3>2.3.3.&nbsp;
UserInfo Error Response</h3>

<p>
            もし何らかのエラーが起こった場合, UserInfo Endpoint は  <a class='info' href='#RFC6750'>OAuth 2.0 Bearer Token Usage<span> (</span><span class='info'>Jones, M. and D. Hardt, &ldquo;The OAuth 2.0 Authorization Framework: Bearer Token Usage,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6750] SEction 3 に示す Error Response を返す.

</p>
<a name="Scopes"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.4"></a><h3>2.4.&nbsp;
Scope Values</h3>

<p>
          OpenID Connect Client は <a class='info' href='#RFC6749'>OAuth 2.0<span> (</span><span class='info'>Hardt, D., Ed., &ldquo;The OAuth 2.0 Authorization Framework,&rdquo; October&nbsp;2012.</span><span>)</span></a> [RFC6749] Section 3.3 に従い, Access Token に要求されるアクセス権限を <tt>scope</tt> 値を通じて指定する.
          Access Tokens に紐づく scope は, そのトークンを使って OAuth 2.0 で保護されたエンドポイントにアクセスした際にどのようなリソースが得られるかを規定する.
          OpenID Connect では, scope は Claim Value として取得可能な情報セットを指定する為に利用できる.
          本ドキュメントでは OpenID Connect で用いられる scope についてのみ述べる.

</p>
<p>
          OpenID Connect は, ここで述べる scope 値以外の値を定義および利用することを制限しない.
          また実装が理解できない scope 値は無視されるべきである (SHOULD).

</p>
<p>
          Authorization Server は, 以下の scope によって要求される Claim を Voluntary Claim として扱う.

</p>
<p>
          OpenID Connect は以下の <tt>scope</tt> 値を定義する.

</p>
<p>
          </p>
<blockquote class="text"><dl>
<dt>openid</dt>
<dd>

              REQUIRED.
              Client が Authorization Server に OpenID Connect リクエストを投げていることを示す.
              <tt>openid</tt> scope 値が存在しない場合の挙動は定義しない.

</dd>
<dt>profile</dt>
<dd>

              OPTIONAL.
              この scope 値は, 以下に示す End-User のデフォルトプロフィール Claim へのアクセス要求に用いる.


              <tt>name</tt>,
              <tt>family_name</tt>,
              <tt>given_name</tt>,
              <tt>middle_name</tt>,
              <tt>nickname</tt>,
              <tt>preferred_username</tt>,
              <tt>profile</tt>,
              <tt>picture</tt>,
              <tt>website</tt>,
              <tt>gender</tt>,
              <tt>birthdate</tt>,
              <tt>zoneinfo</tt>,
              <tt>locale</tt>, and
              <tt>updated_at</tt>.

</dd>
<dt>email</dt>
<dd>

              OPTIONAL.
              <tt>email</tt> および <tt>email_verified</tt> Claim へのアクセス要求に用いる.

</dd>
<dt>address</dt>
<dd>

              OPTIONAL.
              <tt>address</tt> Claim へのアクセス要求に用いる.

</dd>
<dt>phone</dt>
<dd>

              OPTIONAL.
              <tt>phone_number</tt> および <tt>phone_number_verified</tt> Claim へのアクセス要求に用いる.

</dd>
<dt>offline_access</dt>
<dd>

              この scope 値は OpenID Connect Implicit Client Implementer's Guide 1.0 では使用してはならない (MUST NOT).
              Basic Client での使用については <a class='info' href='#OpenID.Basic'>OpenID Connect Basic Client Implementer's Guide 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;OpenID Connect Basic Client Implementer's Guide 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Basic] を参照のこと.

</dd>
</dl></blockquote><p>

</p>
<p>
          複数の scope 値は, スペース区切りの大文字小文字を区別した ASCII scope 値のリストによって指定することができる (MAY).

</p>
<p>
          <tt>profile</tt>,
          <tt>email</tt>,
          <tt>address</tt>, および
          <tt>phone</tt> scope 値により要求される Claim は, <a class='info' href='#UserInfoResponse'>Section&nbsp;2.3.2<span> (</span><span class='info'>Successful UserInfo Response</span><span>)</span></a> にある通り UserInfo Endpoint から返される.

</p>
<p>
          End-User が OpenID Provider に対して RP に要求された情報の一部もしくは全ての提供を拒否することもある.
          End-User に要求する情報を最小化するために, RP は UserInfo Endpoint で提供される情報の一部のみをリクエストすることもできる.

</p>
<p>

<p>
              以下に <tt>scope</tt> リクエスト例を示す.

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  scope=openid profile email phone
</pre></div>


<a name="StandardClaims"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.5"></a><h3>2.5.&nbsp;
Standard Claims</h3>

<p>
          OpenID Connect では以下に示す標準 Claim セットを定義する.
          これらは通常の OP からは UserInfo Response として,
          Self-Issued OP からは ID Token の中に返される.

</p><br /><hr class="insert" />
<a name="ClaimTable"></a>
<table class="full" align="center" border="0" cellpadding="2" cellspacing="2">
<col align="left"><col align="left"><col align="left">
<tr><th align="left">Member</th><th align="left">Type</th><th align="left">Description</th></tr>
<tr>
<td align="left">sub</td>
<td align="left">string</td>
<td align="left">
            Subject - Issuer における End-User の識別子.
          </td>
</tr>
<tr>
<td align="left">name</td>
<td align="left">string</td>
<td align="left">
            End-User の表示用フルネーム.
            肩書きや称号 (suffix) 等が含まれることもある.
            氏名等の表示順は End-User の locale や選好に従う.
          </td>
</tr>
<tr>
<td align="left">given_name</td>
<td align="left">string</td>
<td align="left">
            End-User の名 (given name / first name).
            複数の given name を持つ文化圏もあることに注意.
            全ての given name が含まれる可能性があり, その場合はスペース区切りで表記される.
          </td>
</tr>
<tr>
<td align="left">family_name</td>
<td align="left">string</td>
<td align="left">
            End-User の姓 (surname / last name).
            複数の family name を持つ文化圏や family name を持たない文化圏もあることに注意.
            全ての family name が含まれる可能性があり, その場合はスペース区切りで表記される.
          </td>
</tr>
<tr>
<td align="left">middle_name</td>
<td align="left">string</td>
<td align="left">
            End-User の middle name.
            複数の middle name を持つ文化圏もあることに注意.
            全ての middle name が含まれる可能性があり, その場合はスペース区切りで表記される.
            また middle name を使用しない文化圏もある.
          </td>
</tr>
<tr>
<td align="left">nickname</td>
<td align="left">string</td>
<td align="left">
            End-User のニックネーム.
            これは <tt>given_name</tt> と同じこともあれば異なることもある.
            例えば, <tt>nickname</tt> が <tt>Mike</tt>, <tt>given_name</tt> が <tt>Michael</tt> として返されることがある.
          </td>
</tr>
<tr>
<td align="left">preferred_username</td>
<td align="left">string</td>
<td align="left">
            <tt>janedoe</tt> や <tt>j.doe</tt> といった, End-User の選好する簡略名.
            これは <tt>@</tt> や <tt>/</tt> や空白文字といった特殊文字を含むあらゆる valid な JSON 文字列でありうる (MAY).
            <a class='info' href='#ClaimStability'>Section&nbsp;2.5.3<span> (</span><span class='info'>Claim Stability and Uniqueness</span><span>)</span></a> にあるように, RP は この値がユニークであるという前提で扱ってはならない (MUST NOT).
          </td>
</tr>
<tr>
<td align="left">profile</td>
<td align="left">string</td>
<td align="left">
            End-User のプロフィールページの URL.
            この Web ページに掲載されるコンテンツはこの End-User に関するものであろう (SHOULD).
          </td>
</tr>
<tr>
<td align="left">picture</td>
<td align="left">string</td>
<td align="left">
            End-User のプロフィール画像の URL.
            この URL は画像ファイル (PNG, JPEG, GIF 画像ファイル等) を参照すること (MUST).
            またこの画像は End-User が撮影した任意の写真ではなく, End-User に言及する際に適切な画像とするべきである (SHOULD).
          </td>
</tr>
<tr>
<td align="left">website</td>
<td align="left">string</td>
<td align="left">
            End-User の Web ページやブログの URL.
            この Web ページは End-User 自身や End-User が所属する組織が発信する情報を含むべきである (SHOULD).
          </td>
</tr>
<tr>
<td align="left">email</td>
<td align="left">string</td>
<td align="left">
            End-User の選好する Email アドレス.
            <a class='info' href='#RFC5322'>RFC 5322<span> (</span><span class='info'>Resnick, P., Ed., &ldquo;Internet Message Format,&rdquo; October&nbsp;2008.</span><span>)</span></a> [RFC5322] の addr-spec シンタックスに従うこと.
            <a class='info' href='#ClaimStability'>Section&nbsp;2.5.3<span> (</span><span class='info'>Claim Stability and Uniqueness</span><span>)</span></a> にあるように, RP は この値がユニークであるという前提で扱ってはならない (MUST NOT).
          </td>
</tr>
<tr>
<td align="left">email_verified</td>
<td align="left">boolean</td>
<td align="left">
            End-User の Email アドレスが検証済であれば true, さもなければ false.
            Claim Value が <tt>true</tt> の場合, これは OP が検証を行った時点において該当 Email アドレスが End-User のコントロール下にあるという確認処理を行ったことを示す.
            Email アドレスの検証の詳細についてはコンテキストに依存し, 関係者間でのトラストフレームワークや契約上の同意事項等などによって異なる.
          </td>
</tr>
<tr>
<td align="left">gender</td>
<td align="left">string</td>
<td align="left">
            End-User の性別.
            本ドキュメントでは <tt>female</tt>, <tt>male</tt> を定義する.
            定義済の値に適切なものがない場合, その他の値を利用してもよい (MAY).
          </td>
</tr>
<tr>
<td align="left">birthdate</td>
<td align="left">string</td>
<td align="left">
            End-User の誕生日.
            <a class='info' href='#ISO8601-2004'>ISO 8601:2004<span> (</span><span class='info'>International Organization for             Standardization, &ldquo;ISO 8601:2004. Data elements and interchange formats - Information interchange -           Representation of dates and times,&rdquo; 2004.</span><span>)</span></a> [ISO8601&#8209;2004] <tt>YYYY-MM-DD</tt> 形式で表現される.
            生年を <tt>0000</tt> とすることで生年を省略することもできる (MAY).
            生年のみを提示する場合は <tt>YYYY</tt> 形式としても良い.
            プラットフォームの日付関連の関数の実装によって, 生年のみを提供した場合の月日の扱いは様々であるため, 実装者はこの点を考慮にいれて日付を処理すべきである.
          </td>
</tr>
<tr>
<td align="left">zoneinfo</td>
<td align="left">string</td>
<td align="left">
            End-User のタイムゾーンを示す <a class='info' href='#zoneinfo'>[zoneinfo]<span> (</span><span class='info'>Public Domain, &ldquo;The tz database,&rdquo; June&nbsp;2011.</span><span>)</span></a> に登録された文字列.
            (<tt>Europe/Paris</tt>, <tt>America/Los_Angeles</tt> 等)
          </td>
</tr>
<tr>
<td align="left">locale</td>
<td align="left">string</td>
<td align="left">
            End-User の locale.
            <a class='info' href='#RFC5646'>BCP47<span> (</span><span class='info'>Phillips, A., Ed. and M. Davis, Ed., &ldquo;Tags for Identifying Languages,&rdquo; September&nbsp;2009.</span><span>)</span></a> [RFC5646] 言語タグ表現.
            これは通常 <a class='info' href='#ISO639-1'>ISO 639-1 Alpha-2<span> (</span><span class='info'>International Organization for             Standardization, &ldquo;ISO 639-1:2002. Codes for the representation of names of           languages -- Part 1: Alpha-2 code,&rdquo; 2002.</span><span>)</span></a> [ISO639&#8209;1] 言語コードを小文字表記, <a class='info' href='#ISO3166-1'>ISO 3166-1 Alpha-2<span> (</span><span class='info'>International Organization for             Standardization, &ldquo;ISO 3166-1:1997. Codes for the representation of names of           countries and their subdivisions -- Part 1: Country codes,&rdquo; 1997.</span><span>)</span></a> [ISO3166&#8209;1] 国コードを大文字表記し, ダッシュでつなげたものである.
            (<tt>en-US</tt>, <tt>fr-CA</tt> 等)
            実装によってはダッシュの代わりにアンダースコアを区切り文字に用いる場合もあるため, 互換性の観点からは注意すること.
            (<tt>en_US</tt> 等)
            Relying Party はダッシュ区切りに加えてアンダースコア区切りのシンタックスを受け入れてもよい (MAY).
          </td>
</tr>
<tr>
<td align="left">phone_number</td>
<td align="left">string</td>
<td align="left">
            End-User の選好する電話番号.
            この Claim のフォーマットとしては <a class='info' href='#E.164'>E.164<span> (</span><span class='info'>International Telecommunication Union, &ldquo;E.164: The international public telecommunication numbering plan,&rdquo; 2010.</span><span>)</span></a> [E.164] を推奨する (RECOMMENDED).
            (<tt>+1 (425) 555-1212</tt>, <tt>+56 (2) 687 2400</tt> 等)
            電話番号が拡張を含む場合, その拡張は <a class='info' href='#RFC3966'>RFC 3966<span> (</span><span class='info'>Schulzrinne, H., &ldquo;The tel URI for Telephone Numbers,&rdquo; December&nbsp;2004.</span><span>)</span></a> [RFC3966] 拡張シンタックスで表記することを推奨する (RECOMMENDED).
            (<tt>+1 (604) 555-1234;ext=5678</tt> 等)
          </td>
</tr>
<tr>
<td align="left">phone_number_verified</td>
<td align="left">boolean</td>
<td align="left">
            End-User の電話番号が検証済であれば ture, さもなければ false.
            Claim Value が <tt>true</tt> の場合, これは OP が検証を行った時点において該当電話番号が End-User のコントロール下にあるという確認処理を行ったことを示す.
            電話番号の検証の詳細についてはコンテキストに依存し, 関係者間でのトラストフレームワークや契約上の同意事項等などによって異なる.
            また true の場合, <tt>phone_number</tt> Claim は E.164 形式でなければならず (MUST), すべての拡張は RFC 3966 形式でなければならない (MUST).
          </td>
</tr>
<tr>
<td align="left">address</td>
<td align="left">JSON object</td>
<td align="left">
            End-User の選好する郵送先住所.
            <tt>address</tt> メンバーは <a class='info' href='#AddressClaim'>Section&nbsp;2.5.1<span> (</span><span class='info'>Address Claim</span><span>)</span></a> に定義されたメンバーを含む JSON <a class='info' href='#RFC4627'>[RFC4627]<span> (</span><span class='info'>Crockford, D., &ldquo;The application/json Media Type for JavaScript Object Notation (JSON),&rdquo; July&nbsp;2006.</span><span>)</span></a> 構造である.
          </td>
</tr>
<tr>
<td align="left">updated_at</td>
<td align="left">number</td>
<td align="left">
            End-User に関する情報の最終更新日時.
            この値は UTC 1970-01-01T00:00:00Z から該当時刻までの秒数を示す JSON 数値である.
          </td>
</tr>
</table>
<br clear="all" />
<table border="0" cellpadding="0" cellspacing="2" align="center"><tr><td align="center"><font face="monaco, MS Sans Serif" size="1"><b>&nbsp;Table 1: Reserved Member Definitions&nbsp;</b></font><br /></td></tr></table><hr class="insert" />

<p>
            以下に例を示す.

</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  {
   "sub": "248289761001",
   "name": "Jane Doe",
   "given_name": "Jane",
   "family_name": "Doe",
   "preferred_username": "j.doe",
   "email": "janedoe@example.com",
   "picture": "http://example.com/janedoe/me.jpg"
  }
</pre></div>
<p>
          Registration <a class='info' href='#OpenID.Registration'>[OpenID.Registration]<span> (</span><span class='info'>Sakimura, N., Bradley, J., and M. Jones, &ldquo;OpenID Connect Dynamic Client Registration 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> において特に他フォーマットを指定されない限り, UserInfo Endpoint では Claim を JSON 形式で返し (MUST), Content-Type ヘッダーを用いてフォーマットを示すこと (MUST).
          以下に許可されたコンテンツタイプを示す.

</p><table class="all" align="center" border="0" cellpadding="2" cellspacing="2">
<col align="left"><col align="left">
<tr><th align="left">Content-Type</th><th align="left">Format Returned</th></tr>
<tr>
<td align="left">application/json</td>
<td align="left">plain text JSON object</td>
</tr>
<tr>
<td align="left">application/jwt</td>
<td align="left">JSON Web Token (JWT)</td>
</tr>
</table>
<br clear="all" />

<a name="AddressClaim"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.5.1"></a><h3>2.5.1.&nbsp;
Address Claim</h3>

<p>
            Address Claim は物理的な郵送先住所である.
            End-User の登録済情報とプライバシー設定に基づいて, <tt>address</tt> の一部のみを返却することもある (MAY).
            例えば <tt>country</tt> と <tt>region</tt> を返し, それ以外の詳細なアドレス情報を省略するなどが考えられる.

</p>
<p>
            住所全体を整形済サブフィールドに1文字列として入れてもよいし (MAY), 他のサブフィールドに個別の要素として各住所要素を指定するだけでもよいし (MAY), 両方を含めてもよい (MAY).
            もし両方を含める場合, 整形済住所は住所の各要素の連結方法を示すものとし, 両方が同じアドレスを示すこと (SHOULD).

</p>
<p>
            </p>
<blockquote class="text"><dl>
<dt>formatted</dt>
<dd>

                Full mailing address,
                formatted for display or use on a mailing label.
                This field MAY contain multiple lines, separated by newlines.
                Newlines can be represented either as
                a carriage return/line feed pair ("\r\n") or as
                a single line feed character ("\n").

</dd>
<dt>street_address</dt>
<dd>

                Full street address component,
                which MAY include house number, street name,
                Post Office Box, and multi-line extended street
                address information.
                This field MAY contain multiple lines, separated by newlines.
                Newlines can be represented either as
                a carriage return/line feed pair ("\r\n") or as
                a single line feed character ("\n").

</dd>
<dt>locality</dt>
<dd>

                City or locality component.

</dd>
<dt>region</dt>
<dd>

                State, province,
                prefecture, or region component.

</dd>
<dt>postal_code</dt>
<dd>

                Zip code or
              postal code component.
</dd>
<dt>country</dt>
<dd>

                Country name component.

</dd>
</dl></blockquote><p>

</p>
<a name="ClaimsLanguagesAndScripts"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.5.2"></a><h3>2.5.2.&nbsp;
Claims Languages and Scripts</h3>

<p>
            Human-readable な Claim Value およびそれらへの参照は, 複数言語および複数文字種で表現することができる (MAY).
            言語および文字種の指定には <a class='info' href='#RFC5646'>BCP47<span> (</span><span class='info'>Phillips, A., Ed. and M. Davis, Ed., &ldquo;Tags for Identifying Languages,&rdquo; September&nbsp;2009.</span><span>)</span></a> [RFC5646] 言語タグを <tt>#</tt> を区切り文字としてメンバー名に付与する.
            例えば <tt>family_name#ja-Kana-JP</tt> は日本語のカタカナ表記の Family Name を示す.
            カタカナ表記の氏名は, 漢字表記 (<tt>family_name#ja-Hani-JP</tt>) の氏名の発音を示したりインデックス目的等で用いられることが多い.
            他にも <tt>website</tt> が言語指定のない Web サイト, <tt>website#de</tt> がドイツ語の Web サイトを参照していることを示すといった例も挙げられる.

</p>
<p>
            Claim Name は大文字小文字を区別するため, Claim Name 内の言語タグは <a class='info' href='#IANA.Language'>IANA Language Subtag Registry<span> (</span><span class='info'>IANA, &ldquo;Language Subtag Registry,&rdquo; .</span><span>)</span></a> [IANA.Language] に登録されたままの表記とすることを強く推奨する (RECOMMENDED).
            一般的に言語名は小文字, 地域名は大文字, 文字種は大文字小文字混合で表記されることが多い.
            しかしながら BCP47 言語タグ値は大文字小文字を区別しないため, 実装は言語タグを大文字小文字区別なく処理できるべきである (SHOULD).

</p>
<p>
            BCP47 で推奨されるように, Claim の言語タグ値は必要な時にのみ指定すべきである (SHOULD).
            例えばほとんどの場合 <tt>fr-CA</tt> や <tt>fr-FR</tt> でなく <tt>fr</tt> で十分である.
            可能であれば OP は要求された Claim locale と自身が持つ Claim のマッチングを試みるべきである (SHOULD).
            例えば Client が <tt>de</tt> (ドイツ語) の Claim を要求してきており, OP が <tt>de-CH</tt> (スイスのドイツ語) 表記の Claim は持つが地域指定無しの一般的ドイツ語表記の Claim を持たない場合, OP はスイスのドイツ語の値を返すのが適切である.
            (Client をできるかぎりシンプルに保つため, ここでは言語タグのマッチングが内包する複雑性をわざと OP に寄せている)

</p>
<p>
            リクエスト中の <tt>claims_locales</tt> を使って, 返却される Claim の好ましい言語および文字種を指定することができる.

</p>
<p>
            OP が <tt>claims_locales</tt> やその他の手段により End-User と Client が単一言語および文字種表記の Claim を要求していると特定した場合, 該当言語および文字種表記の Claim を返却する際には言語タグを付けずに返すことを推奨する (RECOMMENDED).
            また Client は言語タグ付きの Claim を処理可能なよう実装することを推奨する (RECOMMENDED).

</p>
<a name="ClaimStability"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.2.5.3"></a><h3>2.5.3.&nbsp;
Claim Stability and Uniqueness</h3>

<p>
            <tt>sub</tt> (subject) と <tt>iss</tt> (issuer) Claim のペアは, RP が End-User の不変な識別子として信頼できる唯一の Claim である.
            <a class='info' href='#IDToken'>Section&nbsp;2.2<span> (</span><span class='info'>ID Token</span><span>)</span></a> で述べたように, <tt>sub</tt> は Issuer が End-User に割り振るローカルでユニークかつ再利用されない識別子でなければならない (MUST).
            以上のことから, <tt>iss</tt> Claim と <tt>sub</tt> Claim のペアが, 唯一の保証された End-User の識別子となる.

</p>
<p>
            その他の Claim に関しては, 時間経過や複数ユーザー間での不変性等は保証されず, Issuer は独自の制約やポリシーを適用してよい.
            例えば Issuer は時系列上の異なるポイントにおいて, 同一の <tt>email</tt> Claim Value を異なるユーザーのために再利用してもよい (MAY).
            よって <tt>email</tt> アドレスは時間経過によって異なる End-User に紐づく可能性がある (MAY).
            以上のことより, <tt>email</tt>, <tt>phone_number</tt>, <tt>preferred_username</tt> などの Claim を End-User のユニークな識別子として利用してはならない (MUST NOT).

</p>
<a name="SelfIssued"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3"></a><h3>3.&nbsp;
Self-Issued OpenID Provider</h3>

<p>
        OpenID Connect は Self-Issued OpenID プロバイダー (私有の self-hosted な OpenID Provider であり, 自己署名つきの ID Token を発行するもの) をサポートしている.
        Self-Issued OP は
        <tt>https://self-issued.me</tt> という特別な Issuer 識別子を使用する.

</p>
<a name="SelfIssuedDiscovery"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.1"></a><h3>3.1.&nbsp;
Self-Issued OpenID Provider Discovery</h3>

<p>
          ディスカバリプロセスで入力された識別子が self-issued.me ドメインを含んでいた場合, ダイナミックディスカバリは実行されない.
          その代わりに以下の静的な設定値が使用される.

</p>
<p>
          </p>
<div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  {
   "authorization_endpoint":
     "openid:",
   "issuer":
     "https://self-issued.me",
   "scopes_supported":
     ["openid", "profile", "email", "address", "phone"],
   "response_types_supported":
     ["id_token"],
   "subject_types_supported":
     ["pairwise"],
   "id_token_signing_alg_values_supported":
     ["RS256"],
   "request_object_signing_alg_values_supported":
     ["none", "RS256"]
   }
</pre></div><p>


</p>
<p>
          注記: OpenID ファウンデーションは
          <tt>https://self-issued.me/</tt>
          という OpenID プロバイダーサイトを提供することを計画している.
          その場合は WebFinger サービスも提供され, ディスカバリを実行すると上記の静的なディスカバリ情報を返すため, RP は Self-Issued OP のディスカバリのために特別な処理を行う必要はない.
          このサイトは実験的に提供される予定である.
          プロダクション環境を実装する際は, OpenID ファウンデーションが当該サイトをプロダクション用途を想定して提供するまでその環境に依存すべきではない.

</p>
<a name="SelfIssuedRegistration"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.2"></a><h3>3.2.&nbsp;
Self-Issued OpenID Provider Registration</h3>

<p>
          Self-Issued OP を使う際は登録は必要ない.
          Client は登録しなくても OP に登録したかのように振る舞い, 以下の Client Registration Response を得る.

</p>
<p>
          </p>
<blockquote class="text"><dl>
<dt>client_id</dt>
<dd>

              Client の <tt>redirect_uri</tt> 値.

</dd>
<dt>client_secret_expires_at</dt>
<dd>

              0

</dd>
</dl></blockquote><p>

</p>
<p>
          注記: OpenID ファウンデーションは
          <tt>https://self-issued.me/registration/1.0/</tt>
          という (ステートレスな) エンドポイントを提供することを計画しており, そのエンドポイントは上記レスポンスを返すため, RP は Self-Issued OP の登録のために特別な処理を行う必要はない.
          このサイトは実験的に提供される予定である.
          プロダクション環境を実装する際は, OpenID ファウンデーションが当該サイトをプロダクション用途を想定して提供するまでその環境に依存すべきではない.

</p>
<a name="RegistrationParameter"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.2.1"></a><h3>3.2.1.&nbsp;
Providing Information with the "registration" Request Parameter</h3>

<p>
            OpenID Connect は Client が Self-Issued OpenID プロバイダーに追加の登録情報を提供することが出来るようにするために以下の認可リクエストパラメータを定義している.


            </p>
<blockquote class="text"><dl>
<dt>registration</dt>
<dd>

                任意 (OPTIONAL).
                このパラメータは通常, Dynamic Client Registration の間に Client が自身の情報を Self-Issued OP に提供する際に利用される.
                この値は
                <a class='info' href='#OpenID.Registration'>OpenID Connect Dynamic Client Registration 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., and M. Jones, &ldquo;OpenID Connect Dynamic Client Registration 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Registration]
                仕様の Section 2.1 で定義されている Client メタデータの値を含む JSON オブジェクトである.
                <tt>registration</tt> パラメータは OP が Self-Issued OP ではないときは利用すべきではない (SHOULD NOT).

</dd>
</dl></blockquote><p>

</p>
<p>
            この情報の中で Self-Issued OP により必須 (REQUIRED) なものはなく, このパラメータの利用は任意 (OPTIONAL) である.

</p>
<p>
            <tt>registration</tt> パラメータの値は OAuth 2.0 リクエストの中で UTF-8 エンコードされた JSON として表わされる.
            (OAuth パラメータとして渡される際, form-urlencoded される).

</p>
<p>
            Self-Issued OP へのリクエストの中で典型的に利用する登録パラメータは以下である.
            <tt>policy_uri</tt>,
            <tt>tos_uri</tt>, and
            <tt>logo_uri</tt>.
            Client が一つ以上の Redirection URI を使用する際, それらを登録するために
            <tt>redirect_uris</tt>
            パラメータを利用する.

</p>
<a name="SelfIssuedRequest"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.3"></a><h3>3.3.&nbsp;
Self-Issued OpenID Provider Request</h3>

<p>Client は Authorization Endpoint へ以下のパラメータを付けて Authentication Request を送信する.
</p>
<p></p>
<blockquote class="text"><dl>
<dt>response_type</dt>
<dd>

            必須 (REQUIRED). 固定の文字列 <tt>id_token</tt>.

</dd>
<dt>client_id</dt>
<dd>

            必須 (REQUIRED).
            Client の Client ID, この場合は Client の
            <tt>redirect_uri</tt> の値を含む.
            Client の
            <tt>redirect_uri</tt> URI の値は Client ID として送信されるので,
            <tt>redirect_uri</tt> パラメータをリクエストの中に含む必要はない (NOT REQUIRED).

</dd>
<dt>scope</dt>
<dd>

            必須 (REQUIRED).
            <a class='info' href='#RequestParameters'>Section&nbsp;2.1.1.1<span> (</span><span class='info'>Request Parameters</span><span>)</span></a> で定義されている <tt>scope</tt> パラメータの値.

</dd>
<dt>id_token_hint</dt>
<dd>

            任意 (OPTIONAL).
            <a class='info' href='#RequestParameters'>Section&nbsp;2.1.1.1<span> (</span><span class='info'>Request Parameters</span><span>)</span></a> で定義されている <tt>id_token_hint</tt> パラメータの値.

</dd>
<dt>registration</dt>
<dd>

            任意 (OPTIONAL).
            このパラメータは, 通常 Dynamic Client Registration (<a class='info' href='#RegistrationParameter'>Section&nbsp;3.2.1<span> (</span><span class='info'>Providing Information with the &quot;registration&quot; Request Parameter</span><span>)</span></a> 参照) を通じて提供される Client 自身に関する情報を, Client が Self-Issued OP に提供する際に利用される.

</dd>
</dl></blockquote><p>

</p>
<p>
          他のパラメータも送ってもよい (MAY).
          すべての Claim は ID Token の中で返されることに留意すること.

</p>
<p>全体 URL 長は ASCII で 2048 文字を超えてはならない (MUST NOT).
</p>
<p>
            以下は, User Agent が Self-Issued OpenID プロバイダーに対して Authentication Request を生成するためのトリガーとなる, Client による HTTP 302 リダイレクトレスポンスの参考例である.
            (改行は掲載上の都合による)


</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  HTTP/1.1 302 Found
  Location: openid://
    ?response_type=id_token
    &amp;client_id=https%3A%2F%2Fclient.example.org%2Fcb
    &amp;scope=openid%20profile
    &amp;state=af0ifjsldkj
    &amp;nonce=n-0S6_WzA2Mj
    &amp;registration=%7B%22logo_uri%22%3A%22https%3A%2F%2F
      client.example.org%2Flogo.png%22%7D
</pre></div>
<a name="SelfIssuedResponse"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.4"></a><h3>3.4.&nbsp;
Self-Issued OpenID Provider Response</h3>

<p>Self-Issued OpenID プロバイダーのレスポンスは, 通常の Implicit フローのレスポンスに以下の改変をしたものと同じである. Implicit フローのレスポンスなので, レスポンスパラメータは URL フラグメントコンポーネントの中で返される.

</p>
<p>
          </p>
<ol class="text">
<li>
              <tt>iss</tt> (issuer) Claim の値が
              <tt>https://self-issued.me</tt> である.

</li>
<li>
              <tt>sub_jwk</tt> Claim が存在し, その値が ID Token の署名を検証するための公開鍵となっている.

</li>
<li>
              <tt>sub</tt> (subject) Claim の値は
              <tt>sub_jwk</tt> Claim に含まれる鍵の Thumbprint の Base64URL エンコード値である.
              この Thumbprint は, JWK のメンバーのうち REQUIRED なもののみをそのメンバー名の辞書順にソートし, 空白や改行なしで結合した UTF-8 表現のオクテットを生成し, その SHA-256 ハッシュを計算することで求める.
              <tt>kty</tt> の値が
              <tt>RSA</tt> である時, キーの値は
              <tt>n</tt> と,
              <tt>e</tt> が順に結合されたものである.
              <tt>kty</tt> の値が
              <tt>EC</tt> である時, キーの値は
              <tt>crv</tt> と,
              <tt>x</tt> と,
              <tt>y</tt> が順に結合されたものである.
              これは JWK Thumbprint <a class='info' href='#JWK.Thumbprint'>[JWK.Thumbprint]<span> (</span><span class='info'>Jones, M. and N. Sakimura, &ldquo;JSON Web Key (JWK) Thumbprint,&rdquo; July&nbsp;2015.</span><span>)</span></a> に定義されている.

</li>
<li>
              UserInfo エンドポイントへアクセスするための Access Token は返されないため,
              すべての Claim は ID Token の中で返されなければならない (MUST).

</li>
</ol><p>

</p>
<a name="SelfIssuedValidation"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.3.5"></a><h3>3.5.&nbsp;
Self-Issued ID Token Validation</h3>

<p>
          返された ID Token の検証を行うため, Client は以下のことを実施しなくてはならない (MUST).

</p>
<p>
          </p>
<ol class="text">
<li>
              Client は, <tt>iss</tt> (issuer) Claim の値が <tt>https://self-issued.me</tt> であることを検証しなければならない (MUST).
              もし <tt>iss</tt> が別の値を含んでいた場合,
              その ID Token は Self-Issued ではないので,
              <a class='info' href='#IDTokenValidation'>Section&nbsp;2.2.1<span> (</span><span class='info'>ID Token Validation</span><span>)</span></a>
              に沿って検証されなければならない (MUST).

</li>
<li>
              Client は, Client が認証リクエストで送信した <tt>redirect_uri</tt> の値が, <tt>aud</tt> Claim にオーディエンスとして含まれていることを検証しなければならない (MUST).

</li>
<li>
              Client は, JOSE Header の <tt>alg</tt> Header Parameter に指定されたアルゴリズムを使い <a class='info' href='#JWS'>JWS<span> (</span><span class='info'>Jones, M., Bradley, J., and N. Sakimura, &ldquo;JSON Web Signature (JWS),&rdquo; May&nbsp;2015.</span><span>)</span></a> [JWS] に沿って ID Token の署名を検証しなければならない (MUST).
              その際, <tt>sub_jwk</tt> Claim の中の鍵を使用する;
              鍵は JWK フォーマットの鍵である (X.509 証明書ではない).

</li>
<li>
              <tt>alg</tt> の値はデフォルトとしては <tt>RS256</tt> であるべきである (SHOULD).
              この値は <tt>ES256</tt> であってもよい (MAY).

</li>
<li>
              Client は <tt>sub</tt> Claim が <tt>sub_jwk</tt> Claim に含まれる鍵の Thumbprint の Base64URL エンコード値であることを検証しなければならない (MUST).
              <a class='info' href='#SelfIssuedResponse'>Section&nbsp;3.4<span> (</span><span class='info'>Self-Issued OpenID Provider Response</span><span>)</span></a> 参照.

</li>
<li>
              現在時刻が <tt>exp</tt> Claim より前でなければならない (MUST).
              (時計のズレを考慮した多少の猶予は許容される)

</li>
<li>
              <tt>iat</tt> Claim が現在時刻からあまりにかけ離れている場合は, そのトークンを拒絶してもよい.
              これにより nonce の保存期間を制限することができる.
              適切な閾値は, Client ごとにことなる.

</li>
<li>
              nonce が Authentication Request で送られた場合,
              <tt>nonce</tt> Claim が存在し,
              その値は Authentication Request で送られたものと同じ値であることを検証されなくてはならない (MUST).
              Client はリプレイアタックを防ぐため <tt>nonce</tt> の値を検証すべきである (SHOULD).
              リプレイアタックを検知するための詳細は方法は Client ごとに固有である.

</li>
</ol><p>

</p>
<p>以下は Self-Issued ID Token を Base64URL デコードした参考例である.
          (改行は掲載上の都合による)
</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  {
   "iss": "https://self-issued.me",
   "sub": "wBy8QvHbPzUnL0x63h13QqvUYcOur1X0cbQpPVRqX5k",
   "aud": "https://client.example.org/cb",
   "nonce": "n-0S6_WzA2Mj",
   "exp": 1311281970,
   "iat": 1311280970,
   "sub_jwk": {
     "kty":"RSA",
     "n": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx
     4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMs
     tn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h4QyQ5v-65YGjQR0_FDW2
     QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbI
     SD08qNLyrdkt-bFTWhAI4vMQFh6WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqb
     w0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",
     "e":"AQAB"
    }
  }
</pre></div>
<a name="Serializations"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.4"></a><h3>4.&nbsp;
Serializations</h3>

<p>
        リクエストメッセージは以下のいずれかの方法でシリアライズできる (MAY).

        </p>
<ol class="text">
<li>Query String Serialization
</li>
<li>Form Serialization
</li>
</ol><p>

</p>
<a name="QuerySerialization"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.4.1"></a><h3>4.1.&nbsp;
Query String Serialization</h3>

<p>Query String Serialization を使ってパラメータをシリアライズするためには,
        Client は <a class='info' href='#W3C.REC-html401-19991224'>[W3C.REC&#8209;html401&#8209;19991224]<span> (</span><span class='info'>Raggett, D., Hors, A., and I. Jacobs, &ldquo;HTML 4.01 Specification,&rdquo; December&nbsp;1999.</span><span>)</span></a> で定義された
        <tt>application/x-www-form-urlencoded</tt> フォーマットを使いパラメータと値をクエリコンポーネントへ追加することで文字列を構成する.
        Query String Serialization は一般的に
        HTTP <tt>GET</tt> リクエストで使用される.
        同じシリアライズ手法は URL のフラグメントコンポーネントにパラメータを追加する際にも使用される.

</p>
<p>
            以下はシリアライズの参考例である.
            (改行は掲載上の都合による)


</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  GET /authorize?scope=openid
    &amp;response_type=id_token%20token
    &amp;client_id=s6BhdRkqt3
    &amp;redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb HTTP/1.1
  Host: server.example.com

</pre></div>
<a name="FormSerialization"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.4.2"></a><h3>4.2.&nbsp;
Form Serialization</h3>

<p>パラメータやその値は, HTTP リクエストのエンティティボディに <a class='info' href='#W3C.REC-html401-19991224'>[W3C.REC&#8209;html401&#8209;19991224]<span> (</span><span class='info'>Raggett, D., Hors, A., and I. Jacobs, &ldquo;HTML 4.01 Specification,&rdquo; December&nbsp;1999.</span><span>)</span></a> に定義されているように <tt>application/x-www-form-urlencoded</tt> フォーマットでパラメータ名とその値を追加することで Form Serialize される.
        Form Serialization は一般的には HTTP <tt>POST</tt> リクエストで利用される.
</p>
<p>
            以下はシリアライズの参考例である.
            (改行は掲載上の都合による)


</p><div style='display: table; width: 0; margin-left: 3em; margin-right: auto'><pre>
  POST /authorize HTTP/1.1
  Host: server.example.com
  Content-Type: application/x-www-form-urlencoded

  scope=openid
    &amp;response_type=id_token%20token
    &amp;client_id=s6BhdRkqt3
    &amp;redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
</pre></div>
<a name="StringOps"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.5"></a><h3>5.&nbsp;
String Operations</h3>

<p>
        いくつかの OpenID Connect メッセージを処理する際にはメッセージの中の値を既知の値を比較することが求められる.
        例えば, UserInfo エンドポイントから返された Claim Name は <tt>sub</tt> などの特定の Claim Name と比較される.
        よって Unicode <a class='info' href='#UNICODE'>[UNICODE]<span> (</span><span class='info'>The Unicode Consortium, &ldquo;The Unicode Standard,&rdquo; .</span><span>)</span></a> 文字列比較処理はセキュリティ上重要な意味を持つ.

</p>
<p>
        したがって, JSON 文字列を他の Unicode 文字列と比較する際は下記の通り実施しなければならない (MUST).

        </p>
<ol class="text">
<li>
            JSON に適用されたすべてのエスケープ処理を取り除き Unicode コードポイントの配列を生成する.

</li>
<li>
            Unicode Normalization <a class='info' href='#USA15'>[USA15]<span> (</span><span class='info'>Davis, M. and K. Whistler, &ldquo;Unicode Normalization Forms,&rdquo; 06&nbsp;2015.</span><span>)</span></a> を JSON 文字列, もしくは比較対象文字列に対していかなる時点であっても適用してはならない (MUST NOT).

</li>
<li>
            二つの文字列の比較は, Unicode コードポイント同士の等値比較として実施されなければならない (MUST).

</li>
</ol><p>

</p>
<p>
        いくつかの箇所において, 本ドキュメントはスペースで区切られた文字列のリストを使用している.
        そのようないかなる場合においても, この目的では ASCII のスペース文字 (0x20)
        のみを使用しなければならない (MUST).

</p>
<a name="TLS"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.6"></a><h3>6.&nbsp;
TLS Version</h3>

<p>
        本ドキュメントでは Transport Layer Security (TLS) が用いられるが, 実際に広く使われているかどうかや既知のセキュリティ脆弱性に依存して, TLS の適切なバージョンはその時々で異なりうる.
        本ドキュメント執筆時には, TLS バージョン 1.2 <a class='info' href='#RFC5246'>[RFC5246]<span> (</span><span class='info'>Dierks, T. and E. Rescorla, &ldquo;The Transport Layer Security (TLS) Protocol Version 1.2,&rdquo; August&nbsp;2008.</span><span>)</span></a>　が最新であるが, 実装が限定されており, すぐに各実装で利用可能とはいえないかもしれない.
        TLS バージョン 1.0 <a class='info' href='#RFC2246'>[RFC2246]<span> (</span><span class='info'>Dierks, T. and C. Allen, &ldquo;The TLS Protocol Version 1.0,&rdquo; January&nbsp;1999.</span><span>)</span></a> は現在もっとも広く利用されているバージョンで, 最も広範な相互運用性を提供するであろう.

</p>
<a name="ImplementationConsiderations"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.7"></a><h3>7.&nbsp;
Implementation Considerations</h3>

<p>
        本ドキュメントでは Relying Party が, OAuth Implicit Flow で利用する機能を定義する.
        Relying Parties は本ドキュメント内で "REQUIRED" であると記載されている, もしくは "MUST" 付きで説明されている機能を実装しなければならない (MUST).

</p>
<a name="DiscoReg"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.7.1"></a><h3>7.1.&nbsp;
Discovery and Registration</h3>

<p>
          OpenID Connect 環境によっては, あらかじめ設定された OpenID Provider や Relying Party を利用することができる.
          その場合, アイデンティティ情報やサービス情報の Discovery や Client の Dynamic Registration をサポートする必要はないかもしれない.

</p>
<p>
          しかしながら, 事前の信頼構築を前提とせず, Relying Party と OpenID Provider の間での事前予測不可能な形でのインタラクションをサポートする場合には, <a class='info' href='#OpenID.Discovery'>OpenID Connect Discovery 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., and E. Jay, &ldquo;OpenID Connect Discovery 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Discovery] と <a class='info' href='#OpenID.Registration'>OpenID Connect Dynamic Client Registration 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., and M. Jones, &ldquo;OpenID Connect Dynamic Client Registration 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Registration] によってこれを実現すべきである (SHOULD).

</p>
<a name="Security"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.8"></a><h3>8.&nbsp;
Security Considerations</h3>

<p>
        以下に挙げたもの以外のセキュリティ上の考慮点については,
        <a class='info' href='#OpenID.Core'>OpenID Connect Core 1.0<span> (</span><span class='info'>Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;OpenID Connect Core 1.0,&rdquo; August&nbsp;2015.</span><span>)</span></a> [OpenID.Core] 仕様を参照すること.

</p>
<a name="TLSRequirements"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.8.1"></a><h3>8.1.&nbsp;
TLS Requirements</h3>

<p>
          実装する際は TLS をサポートしなくてはならない (MUST).
          どのバージョンを実装するかは時期によって異なり, 実装時に広く使われているかと既知のセキュリティ上の脆弱性に依存する.
          本仕様を執筆している段階では TLS バージョン 1.2 <a class='info' href='#RFC5246'>[RFC5246]<span> (</span><span class='info'>Dierks, T. and E. Rescorla, &ldquo;The Transport Layer Security (TLS) Protocol Version 1.2,&rdquo; August&nbsp;2008.</span><span>)</span></a> が最新バージョンであるが, 実際に使われている例は非常に限られており, 実装に利用するツールキットが対応していない可能性もある.
          TLS version 1.0 <a class='info' href='#RFC2246'>[RFC2246]<span> (</span><span class='info'>Dierks, T. and C. Allen, &ldquo;The TLS Protocol Version 1.0,&rdquo; January&nbsp;1999.</span><span>)</span></a> が最も広く使われているバージョンであり, 最も高い相互運用性を提供している.

</p>
<p>
          情報の漏えいや改ざんを防ぐため, TLS を使った機密保護を, 機密性と完全性の保護を提供する暗号スイートを用いて適用しなくてはならない (MUST).

</p>
<p>
          TLS を使用する際は, <a class='info' href='#RFC6125'>RFC 6125<span> (</span><span class='info'>Saint-Andre, P. and J. Hodges, &ldquo;Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS),&rdquo; March&nbsp;2011.</span><span>)</span></a> [RFC6125] に従い TLS サーバ証明書を検証しなければならない (MUST).

</p>
<a name="Privacy"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.9"></a><h3>9.&nbsp;
Privacy Considerations</h3>

<a name="PII"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.9.1"></a><h3>9.1.&nbsp;
Personally Identifiable Information</h3>

<p>
          UserInfo Response は一般的には Personally Identifiable Information (PII) を含む.
          したがって, 特定の目的のための情報の開示に関する End-User の同意は, 関連する法律に従い, 認可時もしくは認可時に先立って取得されるべきである (SHOULD).
          利用目的は一般的には <tt>redirect_uris</tt> とともに登録される.

</p>
<p>
          必要な UserInfo データだけが Client 側に保管されるべきであり, Client は受信したデータを告知した利用目的と関連づけるべきである (SHOULD).

</p>
<a name="AccessMonitoring"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.9.2"></a><h3>9.2.&nbsp;
Data Access Monitoring</h3>

<p>
          Resource Server は End-User に対して, 誰が自分のデータにアクセスしたかを監視できよう, 自身の UserInfo へのアクセスログを閲覧可能にべきである (SHOULD).

</p>
<a name="Correlation"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.9.3"></a><h3>9.3.&nbsp;
Correlation</h3>

<p>
          Client 間での名寄せの可能性からエンドユーザを保護するため, Pairwise Pseudonymous Identifier (PPID) を <tt>sub</tt> (subject) として使用することを検討すべきである (SHOULD).

</p>
<a name="IANA"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.10"></a><h3>10.&nbsp;
IANA Considerations</h3>

<p>This document makes no requests of IANA.
</p>
<a name="rfc.references"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.11"></a><h3>11.&nbsp;
References</h3>

<a name="rfc.references1"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<h3>11.1.&nbsp;Normative References</h3>
<table width="99%" border="0">
<tr><td class="author-text" valign="top"><a name="E.164">[E.164]</a></td>
<td class="author-text">International Telecommunication Union, &ldquo;<a href="http://www.itu.int/rec/T-REC-E.164-201011-I/en">E.164: The international public telecommunication numbering plan</a>,&rdquo; 2010.</td></tr>
<tr><td class="author-text" valign="top"><a name="IANA.Language">[IANA.Language]</a></td>
<td class="author-text">IANA, &ldquo;<a href="http://www.iana.org/assignments/language-subtag-registry">Language Subtag Registry</a>.&rdquo;</td></tr>
<tr><td class="author-text" valign="top"><a name="ISO29115">[ISO29115]</a></td>
<td class="author-text">International Organization for Standardization, &ldquo;<a href="http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=45138">ISO/IEC 29115:2013 --
          Information technology - Security techniques - Entity authentication
          assurance framework</a>,&rdquo; ISO/IEC&nbsp;29115, March&nbsp;2013.</td></tr>
<tr><td class="author-text" valign="top"><a name="ISO3166-1">[ISO3166-1]</a></td>
<td class="author-text">International Organization for
            Standardization, &ldquo;<a href="http://www.w3.org/WAI/ER/IG/ert/iso639.htm">ISO 3166-1:1997. Codes for the representation of names of
          countries and their subdivisions -- Part 1: Country codes</a>,&rdquo; 1997.</td></tr>
<tr><td class="author-text" valign="top"><a name="ISO639-1">[ISO639-1]</a></td>
<td class="author-text">International Organization for
            Standardization, &ldquo;<a href="http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=22109">ISO 639-1:2002. Codes for the representation of names of
          languages -- Part 1: Alpha-2 code</a>,&rdquo; 2002.</td></tr>
<tr><td class="author-text" valign="top"><a name="ISO8601-2004">[ISO8601-2004]</a></td>
<td class="author-text">International Organization for
            Standardization, &ldquo;<a href="http://www.iso.org/iso/catalogue_detail?csnumber=40874">ISO 8601:2004. Data elements and interchange formats - Information interchange -
          Representation of dates and times</a>,&rdquo; 2004.</td></tr>
<tr><td class="author-text" valign="top"><a name="JWA">[JWA]</a></td>
<td class="author-text">Jones, M., &ldquo;<a href="http://tools.ietf.org/html/rfc7518">JSON Web Algorithms (JWA)</a>,&rdquo; RFC&nbsp;7518, DOI&nbsp;10.17487/RFC7518, May&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="JWK">[JWK]</a></td>
<td class="author-text">Jones, M., &ldquo;<a href="http://tools.ietf.org/html/rfc7517">JSON Web Key (JWK)</a>,&rdquo; RFC&nbsp;7517, DOI&nbsp;10.17487/RFC7517, May&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="JWS">[JWS]</a></td>
<td class="author-text">Jones, M., Bradley, J., and N. Sakimura, &ldquo;<a href="http://tools.ietf.org/html/rfc7515">JSON Web Signature (JWS)</a>,&rdquo; RFC&nbsp;7515, DOI&nbsp;10.17487/RFC7515, May&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="JWT">[JWT]</a></td>
<td class="author-text">Jones, M., Bradley, J., and N. Sakimura, &ldquo;<a href="http://tools.ietf.org/html/rfc7519">JSON Web Token (JWT)</a>,&rdquo; RFC&nbsp;7519, DOI&nbsp;10.17487/RFC7519, May&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="OAuth.Responses">[OAuth.Responses]</a></td>
<td class="author-text">de Medeiros, B., Ed., Scurtescu, M., Tarjan, P., and M. Jones, &ldquo;<a href="http://openid.net/specs/oauth-v2-multiple-response-types-1_0.html">OAuth 2.0 Multiple Response Type Encoding Practices</a>,&rdquo; February&nbsp;2014.</td></tr>
<tr><td class="author-text" valign="top"><a name="OpenID.Core">[OpenID.Core]</a></td>
<td class="author-text">Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;<a href="http://openid.net/specs/openid-connect-core-1_0.html">OpenID Connect Core 1.0</a>,&rdquo; August&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="OpenID.Discovery">[OpenID.Discovery]</a></td>
<td class="author-text">Sakimura, N., Bradley, J., Jones, M., and E. Jay, &ldquo;<a href="http://openid.net/specs/openid-connect-discovery-1_0.html">OpenID Connect Discovery 1.0</a>,&rdquo; August&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="OpenID.Registration">[OpenID.Registration]</a></td>
<td class="author-text">Sakimura, N., Bradley, J., and M. Jones, &ldquo;<a href="http://openid.net/specs/openid-connect-registration-1_0.html">OpenID Connect Dynamic Client Registration 1.0</a>,&rdquo; August&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC20">[RFC20]</a></td>
<td class="author-text">Cerf, V., &ldquo;<a href="http://www.rfc-editor.org/info/rfc20">ASCII format for Network Interchange</a>,&rdquo; STD&nbsp;80, RFC&nbsp;20, DOI&nbsp;10.17487/RFC0020, October&nbsp;1969.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC2119">[RFC2119]</a></td>
<td class="author-text">Bradner, S., &ldquo;<a href="http://www.rfc-editor.org/info/rfc2119">Key words for use in RFCs to Indicate Requirement Levels</a>,&rdquo; BCP&nbsp;14, RFC&nbsp;2119, DOI&nbsp;10.17487/RFC2119, March&nbsp;1997.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC2246">[RFC2246]</a></td>
<td class="author-text">Dierks, T. and C. Allen, &ldquo;<a href="http://www.rfc-editor.org/info/rfc2246">The TLS Protocol Version 1.0</a>,&rdquo; RFC&nbsp;2246, DOI&nbsp;10.17487/RFC2246, January&nbsp;1999.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC3339">[RFC3339]</a></td>
<td class="author-text">Klyne, G. and C. Newman, &ldquo;<a href="http://www.rfc-editor.org/info/rfc3339">Date and Time on the Internet: Timestamps</a>,&rdquo; RFC&nbsp;3339, DOI&nbsp;10.17487/RFC3339, July&nbsp;2002.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC3629">[RFC3629]</a></td>
<td class="author-text">Yergeau, F., &ldquo;<a href="http://www.rfc-editor.org/info/rfc3629">UTF-8, a transformation format of ISO 10646</a>,&rdquo; STD&nbsp;63, RFC&nbsp;3629, DOI&nbsp;10.17487/RFC3629, November&nbsp;2003.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC3966">[RFC3966]</a></td>
<td class="author-text">Schulzrinne, H., &ldquo;<a href="http://www.rfc-editor.org/info/rfc3966">The tel URI for Telephone Numbers</a>,&rdquo; RFC&nbsp;3966, DOI&nbsp;10.17487/RFC3966, December&nbsp;2004.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC3986">[RFC3986]</a></td>
<td class="author-text">Berners-Lee, T., Fielding, R., and L. Masinter, &ldquo;<a href="http://www.rfc-editor.org/info/rfc3986">Uniform Resource Identifier (URI): Generic Syntax</a>,&rdquo; STD&nbsp;66, RFC&nbsp;3986, DOI&nbsp;10.17487/RFC3986, January&nbsp;2005.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC4627">[RFC4627]</a></td>
<td class="author-text">Crockford, D., &ldquo;<a href="http://www.rfc-editor.org/info/rfc4627">The application/json Media Type for JavaScript Object Notation (JSON)</a>,&rdquo; RFC&nbsp;4627, DOI&nbsp;10.17487/RFC4627, July&nbsp;2006.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC5246">[RFC5246]</a></td>
<td class="author-text">Dierks, T. and E. Rescorla, &ldquo;<a href="http://www.rfc-editor.org/info/rfc5246">The Transport Layer Security (TLS) Protocol Version 1.2</a>,&rdquo; RFC&nbsp;5246, DOI&nbsp;10.17487/RFC5246, August&nbsp;2008.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC5322">[RFC5322]</a></td>
<td class="author-text">Resnick, P., Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc5322">Internet Message Format</a>,&rdquo; RFC&nbsp;5322, DOI&nbsp;10.17487/RFC5322, October&nbsp;2008.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC5646">[RFC5646]</a></td>
<td class="author-text">Phillips, A., Ed. and M. Davis, Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc5646">Tags for Identifying Languages</a>,&rdquo; BCP&nbsp;47, RFC&nbsp;5646, DOI&nbsp;10.17487/RFC5646, September&nbsp;2009.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC6125">[RFC6125]</a></td>
<td class="author-text">Saint-Andre, P. and J. Hodges, &ldquo;<a href="http://www.rfc-editor.org/info/rfc6125">Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)</a>,&rdquo; RFC&nbsp;6125, DOI&nbsp;10.17487/RFC6125, March&nbsp;2011.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC6711">[RFC6711]</a></td>
<td class="author-text">Johansson, L., &ldquo;<a href="http://www.rfc-editor.org/info/rfc6711">An IANA Registry for Level of Assurance (LoA) Profiles</a>,&rdquo; RFC&nbsp;6711, DOI&nbsp;10.17487/RFC6711, August&nbsp;2012.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC6749">[RFC6749]</a></td>
<td class="author-text">Hardt, D., Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc6749">The OAuth 2.0 Authorization Framework</a>,&rdquo; RFC&nbsp;6749, DOI&nbsp;10.17487/RFC6749, October&nbsp;2012.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC6750">[RFC6750]</a></td>
<td class="author-text">Jones, M. and D. Hardt, &ldquo;<a href="http://www.rfc-editor.org/info/rfc6750">The OAuth 2.0 Authorization Framework: Bearer Token Usage</a>,&rdquo; RFC&nbsp;6750, DOI&nbsp;10.17487/RFC6750, October&nbsp;2012.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC7159">[RFC7159]</a></td>
<td class="author-text">Bray, T., Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc7159">The JavaScript Object Notation (JSON) Data Interchange Format</a>,&rdquo; RFC&nbsp;7159, DOI&nbsp;10.17487/RFC7159, March&nbsp;2014.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC7230">[RFC7230]</a></td>
<td class="author-text">Fielding, R., Ed. and J. Reschke, Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc7230">Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing</a>,&rdquo; RFC&nbsp;7230, DOI&nbsp;10.17487/RFC7230, June&nbsp;2014.</td></tr>
<tr><td class="author-text" valign="top"><a name="RFC7231">[RFC7231]</a></td>
<td class="author-text">Fielding, R., Ed. and J. Reschke, Ed., &ldquo;<a href="http://www.rfc-editor.org/info/rfc7231">Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</a>,&rdquo; RFC&nbsp;7231, DOI&nbsp;10.17487/RFC7231, June&nbsp;2014.</td></tr>
<tr><td class="author-text" valign="top"><a name="UNICODE">[UNICODE]</a></td>
<td class="author-text">The Unicode Consortium, &ldquo;<a href="http://www.unicode.org/versions/latest/">The Unicode Standard</a>.&rdquo;</td></tr>
<tr><td class="author-text" valign="top"><a name="USA15">[USA15]</a></td>
<td class="author-text"><a href="mailto:markdavis@google.com">Davis, M.</a> and <a href="mailto:ken@unicode.org">K. Whistler</a>, &ldquo;<a href="http://www.unicode.org/reports/tr15/">Unicode Normalization Forms</a>,&rdquo; Unicode Standard Annex&nbsp;15, 06&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="W3C.REC-html401-19991224">[W3C.REC-html401-19991224]</a></td>
<td class="author-text">Raggett, D., Hors, A., and I. Jacobs, &ldquo;<a href="http://www.w3.org/TR/1999/REC-html401-19991224">HTML 4.01 Specification</a>,&rdquo; World Wide Web Consortium Recommendation&nbsp;REC-html401-19991224, December&nbsp;1999 (<a href="http://www.w3.org/TR/1999/REC-html401-19991224">HTML</a>).</td></tr>
<tr><td class="author-text" valign="top"><a name="zoneinfo">[zoneinfo]</a></td>
<td class="author-text">Public Domain, &ldquo;<a href="http://www.twinsun.com/tz/tz-link.htm">The tz database</a>,&rdquo; June&nbsp;2011.</td></tr>
</table>

<a name="rfc.references2"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<h3>11.2.&nbsp;Informative References</h3>
<table width="99%" border="0">
<tr><td class="author-text" valign="top"><a name="JWK.Thumbprint">[JWK.Thumbprint]</a></td>
<td class="author-text"><a href="mailto:mbj@microsoft.com">Jones, M.</a> and <a href="mailto:n-sakimura@nri.co.jp">N. Sakimura</a>, &ldquo;<a href="http://tools.ietf.org/html/draft-ietf-jose-jwk-thumbprint-08">JSON Web Key (JWK) Thumbprint</a>,&rdquo; draft-ietf-jose-jwk-thumbprint (work in progress), July&nbsp;2015.</td></tr>
<tr><td class="author-text" valign="top"><a name="OpenID.Basic">[OpenID.Basic]</a></td>
<td class="author-text">Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, &ldquo;<a href="http://openid.net/specs/openid-connect-basic-1_0.html">OpenID Connect Basic Client Implementer's Guide 1.0</a>,&rdquo; August&nbsp;2015.</td></tr>
</table>

<a name="rfc.references3"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<h3>11.3.&nbsp;翻訳プロジェクト</h3>
<table width="99%" border="0">
<tr><td class="author-text" valign="top"><a name="oidfj">[oidfj]</a></td>
<td class="author-text">OpenIDファウンデーションジャパン, &ldquo;<a href="http://www.openid.or.jp/">OpenIDファウンデーションジャパン</a>.&rdquo;</td></tr>
<tr><td class="author-text" valign="top"><a name="oidfj-github">[oidfj-github]</a></td>
<td class="author-text">OpenIDファウンデーションジャパン, &ldquo;<a href="https://github.com/openid-foundation-japan">Githubレポジトリー</a>.&rdquo;</td></tr>
<tr><td class="author-text" valign="top"><a name="oidfj-trans">[oidfj-trans]</a></td>
<td class="author-text">OpenIDファウンデーションジャパン, &ldquo;<a href="http://openid-foundation-japan.github.com/">翻訳・教育ワーキンググループ</a>.&rdquo;</td></tr>
</table>

<a name="Acknowledgements"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.A"></a><h3>Appendix A.&nbsp;
Acknowledgements</h3>

<p>
        The OpenID Community would like to thank the following people for
        their contributions to this document:

</p>
<p>
        </p>
<blockquote class="text">
<p>Naveen Agarwal (naa@google.com), Google
</p>
<p>Casper Biering (cb@peercraft.com), Peercraft
</p>
<p>John Bradley (ve7jtb@ve7jtb.com), Ping Identity
</p>
<p>Tim Bray (tbray@textuality.com), Google
</p>
<p>Johnny Bufu (jbufu@janrain.com), Janrain
</p>
<p>Breno de Medeiros (breno@google.com), Google
</p>
<p>Pamela Dingle (pdingle@pingidentity.com), Ping Identity
</p>
<p>George Fletcher (george.fletcher@corp.aol.com), AOL
</p>
<p>Roland Hedberg (roland.hedberg@adm.umu.se), University of Umea
</p>
<p>Ryo Ito (ryo.ito@mixi.co.jp), mixi, Inc.
</p>
<p>Edmund Jay (ejay@mgi1.com), Illumila
</p>
<p>Michael B. Jones (mbj@microsoft.com), Microsoft
</p>
<p>Torsten Lodderstedt (t.lodderstedt@telekom.de), Deutsche Telekom
</p>
<p>Nov Matake (nov@matake.jp), Independent
</p>
<p>Chuck Mortimore (cmortimore@salesforce.com), Salesforce
</p>
<p>Anthony Nadalin (tonynad@microsoft.com), Microsoft
</p>
<p>Hideki Nara (hdknr@ic-tact.co.jp), Tact Communications
</p>
<p>Axel Nennker (axel.nennker@telekom.de), Deutsche Telekom
</p>
<p>David Recordon (dr@fb.com), Facebook
</p>
<p>Justin Richer (jricher@mitre.org), MITRE
</p>
<p>Nat Sakimura (n-sakimura@nri.co.jp), Nomura Research Institute, Ltd.
</p>
<p>Luke Shepard (lshepard@fb.com), Facebook
</p>
<p>Andreas &Aring;kre Solberg (andreas.solberg@uninett.no), UNINET
</p>
<p>Paul Tarjan (pt@fb.com), Facebook
</p>
</blockquote><p>

</p>
<a name="Notices"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.B"></a><h3>Appendix B.&nbsp;
Notices</h3>

<p>Copyright (c) 2015 The OpenID Foundation.
</p>
<p>
        The OpenID Foundation (OIDF) grants to any Contributor, developer,
        implementer, or other interested party a non-exclusive, royalty free,
        worldwide copyright license to reproduce, prepare derivative works from,
        distribute, perform and display, this Implementers Draft or
        Final Specification solely for the purposes of (i) developing
        specifications, and (ii) implementing Implementers Drafts and
        Final Specifications based on such documents, provided that attribution
        be made to the OIDF as the source of the material, but that such attribution
        does not indicate an endorsement by the OIDF.

</p>
<p>
        The technology described in this specification was
        made available from contributions from various sources,
        including members of the OpenID Foundation and others.
        Although the OpenID Foundation has taken steps to help ensure
        that the technology is available for distribution, it takes
        no position regarding the validity or scope of any intellectual
        property or other rights that might be claimed to pertain to
        the implementation or use of the technology described in
        this specification or the extent to which any license under
        such rights might or might not be available; neither does it
        represent that it has made any independent effort to identify
        any such rights.  The OpenID Foundation and the contributors
        to this specification make no (and hereby expressly disclaim any)
        warranties (express, implied, or otherwise), including implied
        warranties of merchantability, non-infringement, fitness for
        a particular purpose, or title, related to this specification,
        and the entire risk as to implementing this specification is
        assumed by the implementer.  The OpenID Intellectual
        Property Rights policy requires contributors to offer
        a patent promise not to assert certain patent claims against
        other contributors and against implementers.  The OpenID Foundation invites
        any interested party to bring to its attention any copyrights,
        patents, patent applications, or other proprietary rights
        that may cover technology that may be required to practice
        this specification.

</p>
<a name="History"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.C"></a><h3>Appendix C.&nbsp;
Document History</h3>

<p>[[ To be removed from the final document ]]
</p>
<p>
        -20
        </p>
<ul class="text">
<li>
            Referenced completed RFCs.

</li>
<li>
            Added missing URLs in references.

</li>
<li>
            Corrected a typo in the spelling of self-issued.me.

</li>
<li>
            Tracked terminology changes made in the referenced IETF specs since errata set 1.

</li>
<li>
            Updated the RFC 2616 references to RFC 7230 or RFC 7231, as appropriate.

</li>
</ul><p>

</p>
<p>
        -19
        </p>
<ul class="text">
<li>
            Referenced specification versions incorporating errata set 1.

</li>
</ul><p>

</p>
<p>
        -18
        </p>
<ul class="text">
<li>
            Fixed #947 - Added "kty":"EC" case back to Self-Issued OpenID Provider Response.

</li>
<li>
            Fixed #954 - Added "NOT RECOMMENDED" to the list of RFC 2119 terms.

</li>
</ul><p>

</p>
<p>
        -17
        </p>
<ul class="text">
<li>
            Changed the JWK Thumbprint reference from being normative to informative.

</li>
<li>
            Updated dates for specs containing errata updates.

</li>
<li>
            Updated references to pre-final IETF specs.

</li>
<li>
            Replaced uses of the terms JWS Header, JWE Header, and JWT Header with
            the JOSE Header term that replaced them in the JOSE and JWT specifications.

</li>
</ul><p>

</p>
<p>
        -16
        </p>
<ul class="text">
<li>
            Fixed #926 - Typo in Self-Issued ID Token Validation.

</li>
<li>
            Fixed #920 - Attack identified against self-issued "sub" values.

</li>
<li>
            Changed uses of "this specification" to "this document".

</li>
</ul><p>

</p>
<p>
        -15
        </p>
<ul class="text">
<li>
            Updated dates for final OpenID Connect specifications.

</li>
</ul><p>

</p>
<p>
        -14
        </p>
<ul class="text">
<li>
            Fixed #896 - Replaced the term Authorization Request with
            Authentication Request, where applicable.

</li>
<li>
            Incorporated terms defined by the JWT specification.

</li>
<li>
            Applied proofreading corrections by Michael B. Jones.

</li>
</ul><p>

</p>
<p>
        -13
        </p>
<ul class="text">
<li>
            Updated the <tt>response_type</tt> language.

</li>
<li>
            Fixed #878 - Generalized description of errors that can be returned
            when <tt>id_token_hint"</tt> is used.

</li>
<li>
            Provided more context in the introduction.

</li>
<li>
            Expanded the Authentication Request example to show both
            the 302 redirect response by the Client and the resulting
            HTTP GET request sent by the User Agent.

</li>
</ul><p>

</p>
<p>
        -12
        </p>
<ul class="text">
<li>
            Tracked editorial changes applied to OpenID Connect Core.

</li>
<li>
            Fixed #862 - Clarified <tt>azp</tt> definition.

</li>
<li>
            Fixed #878 - Defined negative response for "id_token_hint".

</li>
<li>
            Updated the description of the plans to host the site
            <tt>https://self-issued.me/</tt>,
            per tasks #879 and #880.

</li>
<li>
            Replaced uses of the OpenID Connect Messages and OpenID Connect Standard
            specifications with OpenID Connect Core.

</li>
<li>
            Fixed #884 - Changed the descriptions of Basic and Implicit from being profiles
            to being implementer's guides containing subsets of OpenID Connect Core.

</li>
</ul><p>

</p>
<p>
        -11
        </p>
<ul class="text">
<li>
            Fixed #847 - Corrected type of <tt>updated_at</tt>
            to number.

</li>
<li>
            Stated that <tt>redirect_uri</tt> matches must be exact,
            with matching performed as described in
            Section 6.2.1 of RFC 3986 (Simple String Comparison).

</li>
<li>
            Fixed #854 - Clarified that the <tt>acr_values</tt> values
            are in order of preference and that <tt>acr_values</tt>
            requests the <tt>acr</tt> Claim as a Voluntary Claim.

</li>
<li>
            Fixed #858 - Incorporated elements of the Issuer Identifier definition
            into the <tt>iss</tt> Claim description.

</li>
<li>
            Fixed #859 - Added IMPORTANT NOTE TO READERS about the terminology
            definitions being a normative part of the specification.

</li>
</ul><p>

</p>
<p>-10
        </p>
<ul class="text">
<li>
            Stated that sufficient entropy must be present in
            <tt>nonce</tt> values to prevent
            attackers from guessing values.

</li>
<li>
            Stated that the Authorization Server need not be listed as an
            audience of the ID Token when it is used as an
            <tt>id_token_hint</tt> value.

</li>
<li>
            Restricted the meaning of the <tt>azp</tt>
            (authorized party) Claim to simply be the single party
            to which the ID Token was issued.

</li>
<li>
            Changed from using the term "byte" to either "octet" or "character".

</li>
<li>
            Stated that the JWS Compact Serialization is always used
            for JWS data structures.

</li>
</ul><p>

</p>
<p>-09
        </p>
<ul class="text">
<li>
            Fixed #825 - Replaced <tt>updated_time</tt>, which used the
            RFC 3339 textual time format, with <tt>updated_at</tt>,
            using the numeric time format used by <tt>iat</tt>, etc.

</li>
<li>
            Fixed #829 - Stated that additional scope values can be defined and used
            and that scope values that are not understood should be ignored.

</li>
<li>
            Fixed #831 - Stated that JWS and JWE header parameters used to communicate
            key values and key references should not be used in ID Tokens, since these
            are communicated in advance using Discovery and Registration parameters.

</li>
<li>
            Fixed #712 and #830 - Clarified the <tt>azp</tt>
            description and made <tt>azp</tt> multi-valued,
            like <tt>aud</tt>.

</li>
</ul><p>

</p>
<p>-08
        </p>
<ul class="text">
<li>
            Fixed #802 - Clarified recommendations and responsibilities for
            producing and consuming Claims with and without language tags.

</li>
<li>
            Fixed #797 - Clarified the intended semantics of e-mail verification
            and that the precise verification rules are context-specific.

</li>
<li>
            Fixed #806 - Added <tt>phone_number_verified</tt> Claim.

</li>
<li>
            Fixed #800 - Specified that phone number extensions are to be
            represented using RFC 3966 extension syntax.

</li>
<li>
            Fixed #795 - Specified that e-mail addresses must conform to the
            RFC 5322 addr-spec syntax.

</li>
<li>
            Fixed #808 - Specified that phone numbers may be used as
            <tt>login_hint</tt> values.

</li>
<li>
            Fixed #801 - Removed <tt>schema</tt> and <tt>id</tt>
            parameters to UserInfo Endpoint.
            Also fixed related issue #791 - Removed <tt>invalid_schema</tt> error.

</li>
<li>
            Fixed #793, #796, and #799 - Allow name Claims to contain multiple space-separated names.

</li>
<li>
            Fixed #794 - Required <tt>picture</tt>
            to refer to an image file that is a picture of the End-User.

</li>
<li>
            Fixed #811 - Specify that language tag components should be spelled using
            the character cases registered in the IANA Language Subtag Registry.

</li>
<li>
            Fixed #812 - Clarified that language tag values used need not be
            unnecessarily specific.

</li>
<li>
            Fixed #816 - Changed "must understand" language to "MUST be ignored if not understood".

</li>
</ul><p>

</p>
<p>-07
        </p>
<ul class="text">
<li>
            Fixed #711 - Awkward phrase "The following Claims are REQUIRED and OPTIONAL".

</li>
<li>
            Fixed #712 - "azp" definition clarification.

</li>
<li>
            Fixed #713 - Explicitly require "sub" claim to be returned from UserInfo endpoint.

</li>
<li>
            Fixed #716 - Client/server 2119 blurriness.

</li>
<li>
            Fixed #722 - Text on "id_token_hint" needs to be clarified.

</li>
<li>
            Fixed #718 - Text on re-encrypting should be clearer.

</li>
<li>
            Fixed #732 - Capitalize name of "Bearer" authentication scheme.

</li>
<li>
            Fixed #738 - Behavior when "openid" scope is omitted.

</li>
<li>
            Added Security Considerations section about TLS version requirements and usage.

</li>
<li>
            Removed language about clients that do not support TLS.
            Also removed language about supporting other transport-layer
            mechanisms with equivalent security to TLS.

</li>
<li>
            State that when any validations fail, any operations requiring
            the information that failed to correctly validate MUST be aborted and
            the information that failed to validate MUST NOT be used.

</li>
<li>
            Added <tt>id_token_hint</tt> parameter to Implicit, since
            it SHOULD be present when <tt>prompt=none</tt> is used.

</li>
<li>
            Removed vestigial encryption text that had been copied over from Standard,
            since encryption is not part of the Implicit profile.

</li>
<li>
            Fixed #742 - Added new <tt>ui_locales</tt> parameter.

</li>
<li>
            Fixed #743 - Added <tt>claims_locales</tt> parameter.

</li>
<li>
            Fixed #744 - Added <tt>max_age</tt> parameter.

</li>
<li>
            Fixed #765 - Added new <tt>acr_values</tt> parameter.

</li>
<li>
            Fixed #597 - Changed representation of omitted year in <tt>birthdate</tt>
            from <tt>9999</tt> to <tt>0000</tt>.

</li>
<li>
            Fixed #739 - Added registration parameter and members of registration object.

</li>
<li>
            Deleted top-level <tt>policy_url</tt> parameter from the
            Self-Issued case, since it is already a
            <tt>registration</tt> parameter member.

</li>
<li>
            Fixed #778 - Added <tt>registration</tt> parameter
            to Self-Issued request example.

</li>
<li>
            Fixed #782 - Changed uses of "_url" in identifiers to "_uri".

</li>
<li>
            Consolidated the
            <tt>x509_encryption_uri</tt> and
            <tt>jwk_encryption_uri</tt> parameters into
            a combined <tt>jwk_uri</tt> parameter (per other changes related to #703).

</li>
<li>
            Fixed #786 - Changed the name of <tt>jwk_uri</tt>
            to <tt>jwks_uri</tt>.

</li>
<li>
            Clarified when the <tt>http</tt> scheme can and can not
            be used in <tt>redirect_uri</tt> values.

</li>
<li>
            Stated that the <tt>azp</tt> Claim
            is only needed when the party requesting the ID Token
            is different than the audience of the ID Token.

</li>
<li>
            Use legal <tt>acr</tt> values in examples.

</li>
<li>
            Fixed #789 - Added <tt>amr</tt>
            (authentication methods references) Claim.

</li>
</ul><p>

</p>
<p>-06
        </p>
<ul class="text">
<li>
            Fixed #637 removed requirement for hash of at_token and code to be SHA2 in
            Section 2.1.2.1 and Section 5.2.

</li>
<li>Added Section 2.5 Access Token Validation.
</li>
<li>
            Fixed #620 - Update Section 2.2.5.1 to allow for other token types, but make bearer mandatory to support for implicit clients.

</li>
<li>Fixed #657 - Update Section 3.3 to say that the sub is sent as the kid if the id_token is encrypted in the request.
</li>
<li>
            Added Implementation Considerations section.

</li>
<li>
            Fixed #698 - Inconsistent use of articles.

</li>
<li>Updated Scopes description.
</li>
<li>Added auth_time definition to ID Token schema.
</li>
<li>
            Fixed #655 - Specify UTF-8 as encoding scheme whenever necessary.

</li>
<li>
            Renamed the <tt>user_jwk</tt> Claim to
            <tt>sub_jwk</tt>, paralleling the change from
            <tt>user_id</tt> to <tt>sub</tt>.

</li>
<li>
            Defined the <tt>sub_jwk</tt> claim.

</li>
<li>
            Clarified that the <tt>offline_access</tt> scope value
            MUST NOT be used with the Implicit Client Profile.

</li>
<li>
            To remove ambiguity in the self-issued <tt>sub</tt>
            computation, changed the text "the concatenation of the key values" to
            "the concatenation of the bytes of the UTF-8 representations of
            the base64url encoded key values".

</li>
<li>
            Tracked JWK parameter name changes alg -> kty, mod -> n, exp -> e.

</li>
</ul><p>

</p>
<p>-05
        </p>
<ul class="text">
<li>
            Fixed #687 - Inconsistency between <tt>user_id</tt>
            and <tt>prn</tt> claims.  The fix changed these names:
            user_id -> sub, user_id_types_supported -> subject_types_supported,
            user_id_type -> subject_type, and prn -> sub.

</li>
<li>
            Fixed #689 - Track JWT change that allows JWTs to have multiple audiences.

</li>
<li>
            Fixed #660 - Clarified that returning the <tt>sub</tt>
            value from the UserInfo endpoint is mandatory.

</li>
<li>
            Fixed #636 - ID Token authorized party claim.

</li>
<li>
            Fixed #689 - Add caution about multiple audiences.

</li>
<li>Fixed #694 - Add login_hint
</li>
</ul>

<p>-04
        </p>
<ul class="text">
<li>Make it clear that nonce is REQUIRED for implicit
</li>
<li>RE #607 add example decoded id_token for non self-issued.
</li>
<li>
            Fixed #614 - Discovery - 3.2 Distinguishing between signature and integrity parameters for HMAC algorithms.
            This fix tracks the parameter changes made to the JWE spec in draft-ietf-jose-json-web-encryption-06.
            It deletes the parameters {userinfo,id_token}_encrypted_response_int.
            It replaces the parameters {userinfo,id_token,request_object,token_endpoint}_algs_supported
            with {userinfo,id_token,request_object,token_endpoint}_signing_alg_values_supported
            and {userinfo,id_token,request_object,token_endpoint}_encryption_{alg,enc}_values_supported.

</li>
<li>Fixed #666 - JWS signature validation vs. verification.
</li>
<li>Fixed #682 - Change remaining uses of "birthday" to "birthdate".
</li>
<li>Referenced OAuth 2.0 RFCs -- RFC 6749 and RFC 6750.
</li>
</ul>

<p>-03
        </p>
<ul class="text">
<li>Defined means of using a self-issued OP
</li>
</ul>

<p>-02
        </p>
<ul class="text">
<li>Added <tt>preferred_username</tt> claim
        under <tt>profile</tt> scope
</li>
<li>Added ID Token section to describe required claims
</li>
<li>Added section on claim stability
</li>
</ul>

<p>-01
        </p>
<ul class="text">
<li>Removed <tt>claims_in_id_token</tt> scope value,
          per decision on June 15, 2012 special working group call
</li>
</ul>

<p>-00
        </p>
<ul class="text">
<li>Initial version, based upon Basic Client specification version -17
</li>
<li>Renamed from Basic Client to Implicit Client, per issue #567
</li>
<li>Changed <tt>verified</tt> to
          <tt>email_verified</tt>, per issue #564
</li>
<li>Removed Check ID Endpoint and added ID token signature verification text,
          per issue #570
</li>
<li>Changed client.example.com to client.example.org, per issue #251
</li>
<li>Added claims_in_id_token scope definition to Basic and Implicit,
          per issue #594
</li>
<li>Use standards track version of JSON Web Token spec
          (draft-ietf-oauth-json-web-token)
</li>
</ul><p>

</p>
<a name="Translator"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<a name="rfc.section.D"></a><h3>Appendix D.&nbsp;
翻訳者</h3>

<p>
        本仕様の翻訳は, <a class='info' href='#oidfj'>OpenIDファウンデーションジャパン<span> (</span><span class='info'>OpenIDファウンデーションジャパン, &ldquo;OpenIDファウンデーションジャパン,&rdquo; .</span><span>)</span></a> [oidfj] <a class='info' href='#oidfj-trans'>翻訳・教育ワーキンググループ<span> (</span><span class='info'>OpenIDファウンデーションジャパン, &ldquo;翻訳・教育ワーキンググループ,&rdquo; .</span><span>)</span></a> [oidfj&#8209;trans]を主体として, 有志のメンバーによって行われました.
        質問や修正依頼などについては, <a class='info' href='#oidfj-github'>Githubレポジトリー<span> (</span><span class='info'>OpenIDファウンデーションジャパン, &ldquo;Githubレポジトリー,&rdquo; .</span><span>)</span></a> [oidfj&#8209;github] にご連絡ください.

</p>
<p>
        </p>
<ul class="text">
<li>
            Kaoru Maeda (Lepidum Co. Ltd.)

</li>
<li>
            Naohiro Fujie (Itochu Techno Solutions)

</li>
</ul><p>

</p>
<a name="rfc.authors"></a><br /><hr />
<table summary="layout" cellpadding="0" cellspacing="2" class="TOCbug" align="right"><tr><td class="TOCbug"><a href="#toc">&nbsp;TOC&nbsp;</a></td></tr></table>
<h3>Authors' Addresses</h3>
<table width="99%" border="0" cellpadding="0" cellspacing="0">
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Nat Sakimura</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Nomura Research Institute, Ltd.</td></tr>
<tr><td class="author" align="right">Email:&nbsp;</td>
<td class="author-text"><a href="mailto:n-sakimura@nri.co.jp">n-sakimura@nri.co.jp</a></td></tr>
<tr><td class="author" align="right">URI:&nbsp;</td>
<td class="author-text"><a href="http://nat.sakimura.org/">http://nat.sakimura.org/</a></td></tr>
<tr cellpadding="3"><td>&nbsp;</td><td>&nbsp;</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">John Bradley</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Ping Identity</td></tr>
<tr><td class="author" align="right">Email:&nbsp;</td>
<td class="author-text"><a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a></td></tr>
<tr><td class="author" align="right">URI:&nbsp;</td>
<td class="author-text"><a href="http://www.thread-safe.com/">http://www.thread-safe.com/</a></td></tr>
<tr cellpadding="3"><td>&nbsp;</td><td>&nbsp;</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Michael B. Jones</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Microsoft</td></tr>
<tr><td class="author" align="right">Email:&nbsp;</td>
<td class="author-text"><a href="mailto:mbj@microsoft.com">mbj@microsoft.com</a></td></tr>
<tr><td class="author" align="right">URI:&nbsp;</td>
<td class="author-text"><a href="http://self-issued.info/">http://self-issued.info/</a></td></tr>
<tr cellpadding="3"><td>&nbsp;</td><td>&nbsp;</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Breno de Medeiros</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Google</td></tr>
<tr><td class="author" align="right">Email:&nbsp;</td>
<td class="author-text"><a href="mailto:breno@google.com">breno@google.com</a></td></tr>
<tr><td class="author" align="right">URI:&nbsp;</td>
<td class="author-text"><a href="http://stackoverflow.com/users/311376/breno">http://stackoverflow.com/users/311376/breno</a></td></tr>
<tr cellpadding="3"><td>&nbsp;</td><td>&nbsp;</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Chuck Mortimore</td></tr>
<tr><td class="author-text">&nbsp;</td>
<td class="author-text">Salesforce</td></tr>
<tr><td class="author" align="right">Email:&nbsp;</td>
<td class="author-text"><a href="mailto:cmortimore@salesforce.com">cmortimore@salesforce.com</a></td></tr>
<tr><td class="author" align="right">URI:&nbsp;</td>
<td class="author-text"><a href="https://twitter.com/cmort">https://twitter.com/cmort</a></td></tr>
</table>
<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-15411889-1', 'auto');
  ga('send', 'pageview');

</script>
</body></html>