2.4.3.6. Client Initiated Backchannel Authentication Grant

Client Initiated Backchannel Authentication Grant は、OAuth 2.0 の認証コード付与のように、ユーザーのブラウザーを介してリダイレクトせずに、OpenID プロバイダーと直接通信することで認証フローを開始するクライアントによって使用されます。

クライアントは、クライアントによる認証要求を識別する auth_req_id を Red Hat Single Sign-On に要求します。Red Hat Single Sign-On は auth_req_id を作成します。

この auth_req_id を受信した後、このクライアントは、ユーザーが認証されるまで、auth_req_id と引き換えに、Red Hat Single Sign-On からアクセストークン、更新トークン、および ID トークンを取得するために Red Hat Single Sign-On を繰り返しポーリングする必要があります。

クライアントが ping モードを使用する場合は、トークンエンドポイントを繰り返しポーリングする必要はありませんが、Red Hat Single Sign-On から指定された Client Notification Endpoint に送信される通知を待つことができます。Client Notification Endpoint は、Red Hat Single Sign-On 管理コンソールで設定できます。Client Notification Endpoint のコントラクトの詳細は、CIBA 仕様を参照してください。

詳細は、OpenID Connect Client Initiated Backchannel Authentication Flow specification を参照してください。

また、本書の Backchannel Authentication Endpoint およびサーバー管理ガイドの Client Initiated Backchannel Authentication Grant セクションなど、Red Hat Single Sign-On ドキュメントの別の部分についても参照してください。FAPI CIBA コンプライアンスの詳細は、本書の FAPI セクションを参照してください。