Windows Phone アプリに認証と認可を実装する V1.0

Windows Phone アプリケーション開発支援セミナー～認証と認可の仕組み実装する
2011年8月19日
第01版
日本マイクロソフト株式会社
エバンジェリスト
安納順一
http://blogs.technet.com/junichia/
twitter @junichia

アプリケーション
Twitter
利用者
いきなりですが意味わかりますか？
アプリ利用開始
Request Token を要求
Redirect
Request Token 発行
認証/認可の画面を要求
認証/認可画面表示
認証/認可を完了
CallBackurlにRedirect
Access Token 要求
Access Token 発行
API 呼び出し
API

本日の内容
企業内システムとソーシャルアプリの思想の違いから発生する、認証および認可の考え方とアーキテクチャの違いについて理解しましょう
Windows Azure AppFabric ACS が Windows Phone アプリに与えるインパクトを理解しましょう
IAM テクノロジーに萌えましょう

Agenda
認証と認可を取り巻くトレンド
企業システムとソーシャルアプリの違い
何を認可するのか？
Windows Phone への実装
Twitter を使用するためのコーディング例
OAuth 1.0aへの対応
Windows Azure AppFabric ACS を使用したコーディング例
複数 IdPへの一括対応
まとめ

登場人物と相関図
サービスの利用者
アプリを使いたい人
サービス
（Twitter, Facebook 等）
利用している
使いたい
自分のもの
アクセスしたい
サービスに保存されている個人情報
個人情報にアクセスしたいアプリ

認証と認可を取り巻くトレンド
ここを理解すること

認証と認可
認証：本人であることを確認
認可：アクセス権を与えること
認証
認可
どんなシステムにも「認証」と「認可」はつきまとう
「認可」に関するプロトコルが注目を浴びている

なぜ「認可」に注目が？
システム間の連携（主に SSO）
アイデンティティ・フェデレーション
クレームベースセキュリティ
クラウドへの移行
社内ディレクトリサービスの活用
ソーシャルな IdP の活用
ソーシャルアプリの台頭
個人情報の保護
SAML
OAuth

OAuthと SAML の違い
いずれも認可をするためのプロトコル
認可プロセスの中に（必然的に）認証が含まれる
OAuth：「API へのアクセス」を「利用者が」認可する
SAML ：「情報の送出」を「管理者が」認可する
現在はSAML 対応製品のほうが細かな制御ができる
システム管理者
事前に
環境設定
SAML
IdP
承認
要求「情報が欲しい！」
応答「氏名、メアド...」
承認
ユーザーの情報
その都度
OAuth
利用者（情報の持ち主）

企業内システムとソーシャルアプリの違い
企業内システム
システム間で「信頼」が担保されている
アプリケーションを認証する必要は無い
認証と認可の対象は「利用者」
SNS およびソーシャルアプリ
システム間の「信頼」は担保されていない
信頼関係のない者同志の認証と認可が必須
「サービス」と「人」
「サービス」と「アプリ」
「人」と「アプリ」
「情報」と「アプリ」
登場人物が多い！

なぜソーシャルアプリは複雑なのか
「システム」と「情報」と「アプリ」の持ち主が異なる
アプリは「人」の認可を受けて、初めて「情報」にアクセス可能
特定アプリへの情報公開
広範囲な漏えいからの保護
企業システム
主にシステム / 管理者
ソーシャルアプリ
主にシステム
情報の持ち主

アプリから情報へのアクセスを認可する方法 ①
アプリに ID と Password を渡してしまう
アプリは信頼できる？
パスワードが変わったら？
UserID
Password
自分のもの
アクセス

アプリから情報へのアクセスを認可する方法 ②
情報にアクセスするための「API へのアクセス権」を与える
利用者は自身の判断でいつでもアクセス権をはく奪できる
Lv1認可
自分のもの
API
（Lv1）
API
（Lv2）
アクセス
API
（Lv3）

“API へのアクセスを認可する” とは？
外部のアプリケーションに対し、
各種情報にアクセスするためのAPIの利用を認可する仕組み
Identity&Service Provider
（Twitter/Facebook/Google 等）
ユーザー情報
① アプリ登録
各種特権
氏名を閲覧
アプリ
API Lv1
メールアドレスを閲覧
API Lv2
③ APIにアクセス
投稿を閲覧
API Lv3
つながりを閲覧
API Lv4
② アクセス認可
近況を投稿
つながりを編集
属性の主体
（持ち主）

Twitter クライアントを作成する

Twitter ~ OAuth 1.0a の場合
Twitter
利用者
Request Token を要求
/request_token
Redirect
Request Token 発行
認証/認可の画面を要求
/authorize
Access Token 要求
/Access_token
Access Token 発行
API 呼び出し
API

Facebook ～ OAuth 2.0 の場合
Facebook
利用者
認証/認可画面へRedirect
認可コードを発行
Access Token 要求
Access Token 発行
API 呼び出し
API

Twitter アプリサンプルコード
BLOGにプロジェクトをアップロードしておきます
（参考）
Building a ‘real’ Windows Phone 7 Twitter App Part 2 - oAuthhttp://samjarawan.blogspot.com/2010/09/building-real-windows-phone-7-twitter_18.html
※Phone アプリを一から勉強するのに最適！
使用している OAuthライブラリ
Hammock.dll（hammock.codeplex.com）

Twitter（OAuth 1.0a）での認可に必要な情報
開発者サイトにアプリを登録すると提示される
（参考）https://dev.twitter.com/docs/api/
ConsumerKey= "NsO5AFDsI0mzKD---------";
ConsumerKeySecret= "wE8aiRp1cbj4bb7wAf8onWbOQXhc--------";
RequestTokenUri= "https://api.twitter.com/oauth/request_token";
AuthorizeUri= "https://api.twitter.com/oauth/authorize";
AccessTokenUri= "https://api.twitter.com/oauth/access_token";
CallbackUri = "http://www.bing.com";

OAuth 1.0a のポイント
Request Token と AccessToken
Request Token：Access Token を取得するためのトークン
Access Token：API にアクセスするためのトークン
Callback Url
OAuth 1.0a では必須
最終的に戻したいアプリケーションのURL
デスクトップアプリの場合はダミーURLを入れて、リダイレクトをキャンセル
※xAuthではデスクトップアプリに対応

ちなみに OpenID とは？
認証のためのプロトコル
どの OpenIDProvider（OP）の ID を使用してもRPにログオンできる
OP と RP の信頼は必須ではない（必要であれば RP で独自に実装する）
OAuth2.0 ベースの OpenID Connect のリリースも控えている
OP
OP
OP
SSO
OP
OP
RP
RP
RP

OpenIDと OAuthの違い
お勧め：非技術者のためのOAuth認証(?)とOpenIDの違い入門　　　　http://www.sakimura.org/2011/05/1087/
by 崎村さん（OpenID Foundation）
OpenID はユーザー認証のためのプロトコル
RP ごとにID/Password が異なる不便を回避
どの OP で認証しても RP にアクセスできる
OAuthは API へのアクセス認可のためのプロトコル
アプリケーションやWEBサイトに、ユーザーIDとパスワードを渡す必要が無い

OAuthを「認証」に使うことの危険性
OAuthは「APIアクセスを認可」するためのプロトコル
認可された API は使い放題！
家の鍵を預けるようなもの（崎村氏）
Twitter の場合
ここまでの権限が本当に必要？

複数 IdP に対応させる

インターネットにはIdP がいっぱい

個別に対応すると大変...orz
AccessToken
IdP
ここで複数IdPに対応
Windows Live
Google
Yahoo!
Facebook
OpenID
AD FS 2.0
RESTful Web Service
AccessToken の正当性に不安
改ざんされているかも！？
Application

Windows Azure AppFabric ACS を使うと...
IdP
アプリは AppFabric ACS にだけ対応すればよい
Windows Live
Google
Yahoo!
Facebook
OpenID
Request Token
AD FS 2.0
RESTful Web Service
信頼
Access
Token
信頼
Application
Windows AzureAppFabric ACS

Windows Azure AppFabricAccess Control ServiceV2
クラウド上に用意された STS
アプリケーションのコードを変更することなく、新たな Identity Provider と
連携することができる
サポートされているプロトコル
OAuth WRAP 2.0
WS-Federation
WS-Trust
OAuth 2.0 (Draft 13)
OpenID 2.0
トークンフォーマット
Simple Web Token（SWT）
SAML 1.1/2.0
既成の Identity Provider との Passive な連携
Windows Live ID/ Google/ Facebool/ Yahoo!(.com)/ OpenID
Active Directory Federation Service 2.0

コーディング例
Windows Azure Toolkit for Windows Phone 7└ WindowsPhoneCloud.ACS
詳細な使用方法をBLOGにまとめますのでお待ちを

WindowsPhoneCloud.ACSで使われているオリジナルライブラリ
AspProviders: Windows Azure Tables 用の ASP.NET Providers (Membership, Roles, Profile and Session State Store)
System.Data.Services.Client: Windows Phone 用の OData client library (http://odata.codeplex.com)。Azure Tables へのアクセスで使用。
WindowsPhoneCloud.StorageClient: Windows Phone 用の Windows Azure Storage Client library .
DPE.OAuth: Microsoft DPE OAuth2 library.
SL.Phone.Federation: Microsoft Silverlight ACS sign in control.
Notification Services (MPNS): Tile, Toast, and Raw.
WindowsPhone.Recipes.Push.Messages: Push Notification Server Side Helper Library, a part of the Windows Phone 7 Push Recipe, that provides an easy way to send all three types of push notification messages that are currently supported by Microsoft Push
Windows Phone では WIF（Windows Identity Foundation）がサポートされていないため、とても便利！

WindowsPhoneCloud.ACS がやってること
IdP
WP7CloudApp5.Phone
Windows Live
Google
ACS sign in control で簡単に実装
Yahoo!
Isolated Storage にクレデンシャルとクレームを格納
Facebook
OpenID
OAuth 2.0
Simple Web Token
AD FS 2.0
http authorization ヘッダーに入れて送信
REST(OData)
信頼
WP7CloudApp5.Web
OAuth Wrap
REST
クレーム変換ルール
サービスへのアクセスを認可
格納
信頼
Windows Azure
Windows AzureAppFabric ACS

SWT ～ Simple Web Token
ACSから返された SWT は SL.Phone.Federation.Controls.RequestSecurityTokenResponseCompletedEventArgs から取得できる
ACS から発行された SWT は、HTTPAuthorization ヘッダーに格納して RESTService に POST する
"http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2femailaddress=junichia%40xxx.com&http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2fname=Junichi+Anno&http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2fnameidentifier=https%3a%2f%2fwww.google.com%2faccounts%2fo8%2fid%3fid%3dAItOawlmkqO3aqYE1CE1PvWTjCLngPgHng3gZ6k&http%3a%2f%2fschemas.microsoft.com%2faccesscontrolservice%2f2010%2f07%2fclaims%2fidentityprovider=Google&Audience=uri%3awp7cloudapp5&ExpiresOn=1313686502&Issuer=https%3a%2f%2ftfazureforitpro.accesscontrol.windows.net%2f&HMACSHA256=g1WSUMaW8aOmO0kvfvtNj451qYIJODug29kx1H8l1Bo%3d"
ACSに保存されている
Claim 1
Claim 2
Key
Claim n
Issure
Audience
Hash
ExpiresOn
HMACHA256

SWT を分解すると
http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2femailaddress=junichia%40xxx.com
&
http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2fname=Junichi+Anno
&
http%3a%2f%2fschemas.xmlsoap.org%2fws%2f2005%2f05%2fidentity%2fclaims%2fnameidentifier=https%3a%2f%2fwww.google.com%2faccounts%2fo8%2fid%3fid%3dAItOawlmkqO3aqYE1CE1PvWTjCLngPgHng3gZ6k
&
http%3a%2f%2fschemas.microsoft.com%2faccesscontrolservice%2f2010%2f07%2fclaims%2fidentityprovider=Google
&
Audience=uri%3awp7cloudapp5
&
ExpiresOn=1313686502
&
Issuer=https%3a%2f%2ftfazureforitpro.accesscontrol.windows.net%2f
&
HMACSHA256=g1WSUMaW8aOmO0kvfvtNj451qYIJODug29kx1H8l1Bo%3d

アプリケーション側の対応
Windows Phone アプリケーション
SWT 内の 4つの主要クレームを検証する
署名 :HMACSHA256
発行者 : Issuer
発行先 : Audience(==applies_to)
有効期限 : ExpiresOn
SWT を Authorization ヘッダーに格納して REST サービスに POST
REST サービス
HTTPAuthorization ヘッダーからクレームを取り出す
クレームの活用
ユーザーのロールを判断し、サービスへのアクセス権を与える
データとしてストレージに保存

Windows Phone セキュリティトピック

Windows Phoneのセキュリティ関連機能対応状況
修正
隠しURLによる配信が可能
Private Application Deployment7.1
Windows LiveIDClientAPI ×-> OAuth 2.0 が使えます
Credential Manager ＆ DPAPINative コードのみ
Client Certificates ×
Device Encryption ×
Local Authentication Subsystem ×
NTLM や Kerberos が使えない
Windows 統合認証が使えない
WIFSupport ×
IPSECNetworking Stack ×
IRMProtected Document 7.1
Encrypted Credential Store 7.1
WIF：Windows Identity Foundation

（参考）Active Directory の認証を受けるには
Phone SDK は DirectoryServiceNamespace に対応しておらず、現時点では Windows 統合認証も使えない∴ WCFを経由して AD FS を使用する
イントラネット
DMZ
ADDS
ADFS PROXY
ADFS
WCFService
https
445

まとめ

まとめ
アプリケーションの利用シナリオを明確にしましょう
企業 or ソーシャルアプリ
情報漏えい[元]にならないように気を付けましょう
余分な特権は要求しない
OAuthと OpenID 周辺の動向に注目しましょう
OAuth 2.0 Draft 20（Final）
OpenIDConnect
トラストフレームワーク
企業システムには SAML も重要です
アイデンティティ萌えはアリです

世界中の “ID” が利用者になる

Windows Phone アプリに認証と認可を実装する V1.0

by Junichi Anno on Aug 22, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Windows Phone アプリに認証と認可を実装する V1.0 — Presentation Transcript