認証プロトコルの高レベルのアーキテクチャを以下に示します。アクセストークンは、IDPまたはクライアントアプリケーションの承認サーバーによって生成されます。 TDV Serverへのログインに使用されます。 TDV Serverは、トークン内の署名を使用して信頼性を検証し、認証サーバーと通信して、情報が欠落している/正しくない場合にトークンを拒否します。検証されると、トークンは保護されたリソースにプッシュダウンされ、トークンで運ばれるクレームに基づいてデータセットを取得します。

 

OAuth2で使用される認証トークンは、「ベアラートークン」と呼ばれます。ベアラートークンは、コンシューマーとサービスプロバイダー間のIDを証明するために使用されます。ベアラートークンは識別子であり、OAuth2をサポートするエンドポイントに対して行われるリクエストのhttpヘッダーにあります。

Bearerトークンは特定の形式で表されます-

トークンの各部分はJSON形式です。

ベアラートークンのヘッダーは通常、使用されるエンコードアルゴリズムとトークンのタイプで構成されます。

トークンのペイロード部分には、プリンシパル（ユーザー）に関するクレームが含まれています。クレームは、名前と値のペアのセットです。一部のクレームは標準（発行者、対象者、件名など）であり、一部は顧客ごとに異なります。

これは、クライアントシークレットを含むトークンの署名であり、選択したアルゴリズムに基づいて署名するさまざまな方法です。シグニチャは、アクセストークンのヘッダーおよびペイロード情報の信頼性を保証します。

OAuth2ドメイン、クレーム、および特権を構成および管理するには、管理者には2つの権限が必要です。[すべてのユーザーの読み取りと変更]と[ツールへのアクセス]です。