OpenID Connect Summit Transfer of Information
- 1. Identity Conference #10 OpenID Connect Tech Summit Transfer of Information November 4, 2011 Google, Inc | Roppongi Hills Mori Tower, Tokyo, JAPAN
- 2. @kthrtty idcon#10はじまるよー。 Tatsuya Katsuhara 入口のGoogle Earthフライトシュミレータやりたい! 所属:野村総合研究所 Digital Identityに関するビジネス企画および、ソリュー ションの企画・営業・開発・保守・運用 某メデゖゕのID連携/会員管理システム周り 某通信事業者のOpenID/Oauth対応ネタ 某省庁関連 調査・パロットプロジェクト 某生活財メーカーWebのOAuth2.0認可サーバ化 Notice Idcon参加は7回目 @nov さんを中心に多くの方と協力して OAuth 2.0 最新版邦訳 @ GitHub やってます!
- 5. Today’s topics • Summary of OpenID Connect Summit – Spec update and result of Interop – Google Account Chooser • Street Identity
- 6. Connect Summit Day 1 Day 2 12:00-12:20 – Welcome 10:00-10:20 - Welcome Don Thibeau, Executive Director, The OpenID Don Thibeau, Executive Director, The OpenID Foundation Foundation 10:20-11:00 - Feedback Review OpenID Connect Mike 12:20-1:00 – Overview and Update of OpenID Jones, Microsoft Connect and OAuth 2.0, Mike Jones, Microsoft, and Allen Tom, Directors, The OpenID Foundation Director of Identity Partnerships 11:00-11:40 - Overview and Update of Account Chooser. Scott David, K&L Gates, Basheer Tome, Independent & Eric 1:00-3:00 – OpenID Connect Spec development Sachs, Google (Working Group Review led by Allen Tom and Mike 11:40-12:20 – Migrating Users to Identity Providers Jones) From Email/Password Logins”. Eric Sachs, Google, –Timing goals for ratification Product Manager –Core protocol 1:00-1:40 – Microsoft as an RP and IDP, Speaker (TBD) –Dynamic RP registration and IDP discovery 1:40-2:20 – Way Beyond Single Sign On, Greg Keegstra, –Claims Janrain –Session Management 2:20-3:00 – The Value Proposition for OpenID Connect & –Artifact Binding Account Chooser in the Enterprise, Pam Dingle, Ping –US Government OpenID Connect profile Identity 3:20-4:00 – Open time for Technical Interop, Allen 3:20-4:00 – Open Identity and Online Adoption, A Tom & Mike Jones discussion on trends in the adoption of social login among 4:00-4:40 – OpenID Connect: Building Test online businesses. Patrick Salyer, Gigya Infrastructure, Roland Hedberg 4:00-4:40 – OpenID Connect & UMA Synergies, OpenID 4:40-5:00 – Wrap-up, Don Thibeau, Executive Director, Connect and User-Managed Access (UMA) solve interestingly The OpenID Foundation complementary problems. This session will explore use cases and proposals for combining them. Macie Machulak 4:40-5:00 - Wrap up Don Thibeau, Executive Director, The OpenID Foundation
- 7. OpenID Connect in 5minuites David Recordon Tony Nadalin Eric Sachs Mike Johnes Pamela Dingle Andy Wu OpenID Connect Allen Tom John Bradley Nat Sakimura Chuck Mortimore Don Thibeau
- 8. OpenID Connect in 5minuites • OAuth 2.0はクラゕントがユーザの代 理(UserAgent)として保護リソースにゕ クセスする標準的な方法を規定する。 • OpenID ConnectはOAuth2をベースに、 「認証結果・コンテキスト情報・属性情 報」を流通させる標準的なAPI群を規定す る。
- 9. OpenID Connect in 5minuites OAuth2 Connect 認可EP CheckID EP OAuth2 OAuth2 Connect Connect トークンEP 保護リソース IDトークン返却 UserInfo EP https://www.pingidentity.com/blogs/pingtalk/index.cfm/2011/8/15/OpenID-Connect-New-and-Groovy
- 10. OpenID Connect in 5minuites • Basic Client Profile • Discovery – OAuth 2.0 / Implicit Grant – Endpoint Discovery – UserInfo Endpoint – Web Finger(Email) • Standard • Dynamic Client Registration – OAuth 2.0 / Implicit Grant, • Session Management Authorization Code • Base Specification – UserInfo Endpoint – OAuth2.0 • Messages – JSON Web family – Abstract Messaging • JSON Web Token – Complex Claims Model • JSON Web Signature • Claims Aggrigation • JSON Web Encryption • Distributed Claims • JSON Web Key • Encrypted Claims – Simple Web Discovery
- 11. OpenID Connect in 5minuites
- 12. Result of Interop • Almost all implementations are complied with “OpenID Implemented Connect Standard”. • and doesn’t include – JSON Web Encryption – Dynamic Client Registration – Discovery – Session Management – Complex Claim Model • Claims Aggrigation • Distributed Claims • Encrypted Claims
- 13. Result of Interop NRI Nov’s IdP Ryo’s IdP Edmond’s Google RP\IdP Tokyo’s @nov @ritou IdP IdP IdP Nov’s RP o o o o o Ryo’s RP o o o o o NRI o o o o o Tokyo’s RP Edmond’s o o o o o RP JanRain - - - - o RP
- 15. Stay tuned for further updates! • OpenID Connect – Introduction@OpenID Foundation (http://goo.gl/wXiB8) • OAuth 2.0 – Spec@IETF (http://goo.gl/L6IjM) – OpenID Foundation Japan翻訳WG (http://goo.gl/PycId) – 過去のIdcon、SocialWeb Conferenceの資料 • Json Web Family – Spec@IETF (http://goo.gl/6ttJY) – Spec@selef-issued.info (http://goo.gl/wJOPV)
- 16. Merging best practice(NASCAR) Account chooser by Eric Sachs@Google https://docs.google.com/present/view?skipauth=true&id=ajkhp5hpp3tt_103f25dn5hf
- 18. NASCAR problem? • 外部IDでログンできるという価値観は、ここ数年で急 速に浸透してきた。 • で、ログンするための外部IDを、どのようにユーザに 選択させるのだろうか。 • IdPの数だけロゴ並べる?キリがないよ?使いづらい よ? • どうしよう!考えよう!
- 19. Finding an optimal solution • OpenID (ボタン押す?IdP名入力する?) • Webfinger (メールゕドレスからIdP発見) • InCommon (SAMLのDiscovery Service) • InfoCard (IDカードを選択するメタフゔー) • Operating System (多様なログン画面) • 著名なWebサト (Yahoo,…, Google)
- 20. OpenID
- 21. Webfinger
- 23. InCommon
- 24. Yahoo!
- 25. Windows
- 26. Mac OS
- 27. ChromeOS…?
- 28. Solved…!?
- 29. Check it out! • Google Identity Toolkit – Account Chooser • http://accountchooser.com – Account Chooser Demonstration • https://account-chooser.appspot.com/
- 30. Street Identity by Maciej Machulak@UMA, Google(Intern)
- 32. Street Identity Today Post Office 4. 住所宛にコード(PIN)を 郵送(住所確認) 5. コード(PIN)の受け取り $$$ Stanford Home Hospital 7. 診療記録の提供 診療 記録 6. コード(PIN)の入力 3. 診療記録の申請 (入力:名前/住所) 1. 異国で受診 2. 本国に帰宅
- 33. Street Identity Tomorrow $$$ Attribute 0. 事前にIdPとAPを紐付け 8. 住所情報 Provider 7. 住所要求 w/ token Identity 6. token返却 Provider Stanford Home Hospital 4. token要求 5. 認証と同意 診療 記録 9. 診療記録の提供 3. 診療記録の申請 (IdPの指定) 1. 異国で受診 2. 本国に帰宅
- 36. これが揃えばかなり良い • パスワードに頼った認証からの脱却 – 高ユーザビリテゖ、NIST SP800-63 LoA2な多要素認証 • キャリゕによる対タンパ性のある認証 – さようなら、個体識別番号 – Introduction of Bridging IMS and Internet Identity • http://goo.gl/FHC7v • OAuthベースのUser Managed Access(UMA) – 認可サーバと保護リソースの分離 – 情報セキュリテゖ技術動向調査(2010 年上期)UMA • http://goo.gl/Q4IxH • Trust Framework(Open Identity eXchange) – 米国NSTICの要
- 37. 仕様策定中らしいのでますます盛り上がる予定 ATTRIBUTE EXCHANGE SUMMIT @ WASHINGTON, D.C. (NOV 9-10)
- 38. 最後に感想 • カンフゔレンスの開始時に参加者全員が自己紹介。 • Interactive(Interrupt, interrupt and interrupt) – ンタラクテゖブな会議。 – スラド短くて、割り込み多い。 – 国柄?土地柄?人柄? • @_natさん大変そう – 意外に適当(その場で作っていく)&ムチャぶり – それぞれ(各社)思惑うずまいてる?(かもね)