More Related Content
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014 なぜOpenID Connectが必要となったのか、その歴史的背景 パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~ Azure Monitor Logで実現するモダンな管理手法 SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014 これからのネイティブアプリにおけるOpenID Connectの活用 What's hot (20)
Form認証で学ぶSpring Security入門 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 細かすぎて伝わらないかもしれない Azure Container Networking Deep Dive OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜 実装して理解するLINE LoginとOpenID Connect入門 エンタープライズITでのOpenID Connect利用ガイドライン Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について Javaはどのように動くのか~スライドでわかるJVMの仕組み DeNA の AWS アカウント管理とセキュリティ監査自動化 OpenID ConnectとAndroidアプリのログインサイクル Active Directory のおさらいをしましょう!~グループポリシー編~ Similar to YAPC::Tokyo 2013 ritou OpenID Connect (20)
OpenID-TechNight-11-LT-mixi 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向 20140307 tech nightvol11_lt_v1.0_public Web3時代のデジタルアイデンティティ (高橋健太 |株式会社日立製作所 研究開発グループ) OpenID ConnectとSCIMのエンタープライズ利用ガイドライン OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020 OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ... 安全な"○○でログイン"の作り方 @ NDS in Niigata #1 IoTビジネス共創ラボ 第15回勉強会 オープニング Azureクラウドのネイティブアプリ、IoTとエッジAIの管理ソリューション 『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説 既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】 IoT ビジネス共創ラボの趣旨説明、地方共創ラボ紹介_IoTビジネス共創ラボ 第10回 勉強会 Io tのお困りごとを解決「ニフティiotデザインセンター」_iotの実現をサポートするニフティの取り組み More from Ryo Ito (20)
idcon mini vol3 CovertRedirect Idcon 17th ritou OAuth 2.0 CSRF Protection なんとなくOAuth怖いって思ってるやつちょっと来い #idcon 15th ritou 2factor auth Open id connect claims idcon mini vol1 OID to OIDC idcon mini vol1 Account Chooser idcon mini Vol.1 UserManagedAccess_idcon13 The Latest Specs of OpenID Connect at #idcon 9 OAuth 2.0 MAC Authentication OAuth 2.0 Dance School #swj Summary of OAuth 2.0 draft 8 memo Introduction of OAuth 2.0 vol.1 YAPC::Tokyo 2013 ritou OpenID Connect
- 2. 自己紹介
● Ryo Ito (@ritou)
○ 株式会社ミクシィ 研究開発グループ
○ OpenID ファウンデーション・ジャパン エヴァンジェリスト
○ http://d.hatena.ne.jp/ritou/
○ @IT デジタル・アイデンティティ技術最新動向
「OpenID Connect」を理解する
http://www.atmarkit.co.
jp/ait/articles/1209/27/news138.html
- 8. OpenID Connectとは
● OAuth 2.0をベースに, アイデンティティ層を拡
張した仕様
○ 認証結果の受け渡し + APIアクセス認可を同時に行う
● OpenIDファウンデーションで仕様策定中
○ 現在Implementer's Draft
○ 日本人も関わっている
- 15. トークン文字列はJSON Web Token形式
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
↑メタデータをBase64 URL エンコードしたもの
. ←ピリオドで連結
eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsIn
N1YiI6IjI0NDAwMzIwIiwiYXVkIjoiczZCaGRSa3F0MyIsIm5v
bmNlIjoibi0wUzZfV3pBMk1qIiwiZXhwIjoxMzExMjgxOTcwL
CJpYXQiOjEzMTEyODA5NzAsImF1dGhfdGltZSI6MTMxM
TI4MDk2OSwidHlwIjoiSldUIn0
↑送りたいデータをBase64 URL エンコードしたもの
.
LbJA_DmSR5R3Sa79xqtG9sU8uy1Sm8KG1V8VBJOby4E
↑署名をBase64 URLエンコードしたもの
- 19. Self-Issued OP : デバイス内OP
モバイル/WebアプリはカスタムURIスキームにて
リクエストを送信
● openid://
端末内でOPとして動作するアプリ or Native機能
がOPとなる
● デバイス内でユニークな鍵ペアを生成
● 公開鍵をPayloadに含む
● 秘密鍵で署名してID Tokenを作成
- 22. Self-Issued OP : デバイス内OP
利用するモバイル/Webアプリのメリット
● 公開鍵のハッシュ値から、どの端末を利用して
いるかを識別可能
● タイムスタンプ/署名により改ざんが難しい
● ユーザーの同意を得るしくみがある
- 23. Self-Issued OP : デバイス内OP
いくつか課題が残っている
● 信頼性(OS機能じゃないとNG?)
● 名寄せ防止のための複数の鍵ペア生成
ネイティブアプリを作っていてより厳密なデバイス
識別をやりたいところは使えると思う
- 36. まとめ
● OpenID Connect
○ OAuth 2.0にIdentity層を追加する拡張
○ ミニマムな実装はID Tokenと属性提供API
○ Self-Issued OPでデバイス特定
● OIDC::Lite
○ OAuth::Lite2を拡張したOP/RP向けライブラリ
○ サンプルOP/RPもあります
