SlideShare a Scribd company logo

Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015

OpenID Foundation Japan
OpenID Foundation Japan

Shibboleth IdP V3とアカデミックIDフェデレーション 中村 素典 — 国立情報学研究所 (NII)

Technology
1 of 27
Download to read offline
Shibboleth IdP V3と アカデミックIDフェデレーション OpenID Summit Tokyo 2015 中村 素典 / 国立情報学研究所 ©2015 Motonori Nakamura/NII1
 Academic Federations: Production – 43, Pilot – 18 (Oct. 2015) https://refeds.org/federations/federations-map ©2015 Motonori Nakamura/NII3
©2015 Motonori Nakamura/NII4  シングルサインオン(SSO)技術の活用による、これまで一つの大学・研究機関の中 に閉じていた認証システムが組織外のサービスとも連携するための枠組み  利便性の向上と管理コストの削減による、教育研究のためのICT環境の充実を支援  ID提供側(IdP)とサービス提供側(SP)との相互の信頼を担保するためのルールと 評価の仕組みによる信頼の枠組み(トラストフレームワーク)の提供  セキュリティとプライバシーを考慮した安全・安心なシステム 図書館システム Webメール グループウェア EラーニングSP 大学 A 大学 B 大学 CIdP GakuNin運営組織 • フェデレーション ポリシーの策定 • IdP運用評価 • 広報・普及 電子ジャーナル 情報提供サイト 学認申請システム メタデータリポジトリ ディスカバリーサービス 個人認証で学外 からも快適アクセス シングルサインオンで スムーズなアクセス ID管理工数の低減 セキュリティレベルの底上げ 個人情報保護 クラウドの活用を支援
IdP機関数 IdPユーザ数 0 20 40 60 80 100 120 140 160 180 200 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 (万人) 5 国立大学 公立大学 私立大学 短期大学 高等専門学校 共同利用機関 その他 合計 学認参加数 59 12 44 0 51 1 7 174 カバー率 69% 12% 7% 0% 89% 総機関数 86 92 603 334 57 0 20 40 60 80 100 120 140 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 Total Students Staff 174機関 総ID数約125万 0 20 40 60 80 100 120 140 160 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 139SP SP数 ©2015 Motonori Nakamura/NII 詳細は https://www.gakunin.jp/participants/
©2015 Motonori Nakamura/NII6 0 20000 40000 60000 80000 100000 120000 140000 160000 DS: Discovery Service
Source: presentation by Dennis Cromwell and Ann West at InCommon Roadmap – Priorities and Services (Internet2 Technology exchange 2015, Oct. 6) ©2015 Motonori Nakamura/NII7
©2015 Motonori Nakamura/NII8  eduGAINに参加するIdP: 約1500  eduGAIN経由で利用可能なサービス(SP): 1000以上  SURFconext, FileSender, Foodle, perfSONAR, GRID系サービスなど  https://technical.edugain.org/entities.php (インターフェデレーション)
©2015 Motonori Nakamura/NII9
https://en.wikipedia.org/wiki/SAML-based_products_and_services ©2015 Motonori Nakamura/NII10 https://spaces.internet2.edu/display/FIWG/Interop+Issues+List  Interoperability?
https://kantarainitiative.org/confluence/display/fiwg/SAML+Interoperability+and+Deployment+Profiles ©2015 Motonori Nakamura/NII11
 Web Browser SSO普及における互換性ためのSAML 2.0共通仕様の定義 ©2015 Motonori Nakamura/NII12
 米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト  SAMLによる認証連携方法として学術界ではデファクトスタンダード  Shibboleth開発体制をInternet2独自から世界的に支援する形へ  学認もシボレス・コンソーシアムのメンバー ©2015 Motonori Nakamura/NII13
14 Shibboleth Daemon (shibd) Session Initiator DS Assertion Consumer SAML POST Attribute Authority SSO Profile AuthN Engine Username Password AuthN Form Tomcat IdP SP Apache / IIS Attribute DB AuthN DB LDAP/AD Web Resource Shibboleth Module (mod_shib) Browser https https # .htaccess AuthType shibboleth ShibRequireSession On require valid-user ポート番号は443または8443back channel front channel ©2015 Motonori Nakamura/NII
15  Version 2.0.0 は 2008年3月にリリース(7年以上経過)  すべてのセキュリティバグ,および,深刻だがセキュリティには関係しないバグ 解決のためのパッチ・情報提供 2015年12月31日終了 (JavaやTomcatに起因する,システムの運用に支障をきたす不具合などが相当)  セキュリティバグ解決のためのパッチ・情報提供  Moderateレベル 2016年2月29日終了  たとえば、認証済みの状態でのDoS攻撃に関する問題  Importantレベル 2016年5月31日終了  たとえば、認証なしの状態でのDoS攻撃に関する問題  Criticalレベル 2016年7月31日終了  たとえば、リモート攻撃やデータ漏えいに関する問題  2016年7月31日を以ってサポート完全終了 (2015年5月5日付けアナウンス) https://shibboleth.net/pipermail/announce/2015-May/000112.html ©2015 Motonori Nakamura/NII
16  2014年12月22日 Version 3.0.0 リリース  最新は Version 3.1.2 (2015年10月末現在現在)  2015年11月に Version 3.2.0 リリース予定  プロトコル標準的には変更なし(V2,V3混在運用可)  Version 2からバージョンアップするには:  Java 7, Tomcat 7以降が必要 (Servlet API 3.0)  ファイル構成や設定内容の違い  標準的なV2の設定はそのままでも動作するが(Safe Upgrade)、 V3の新機能を利用するためにはV3形式の内容に変換する必 要がある services.propertiesで、どちらの形式かを指定 UIまわりの調整や各種プラグインの利用は、調整が必要 ©2015 Motonori Nakamura/NII
 設定ファイルの分離、整理  Metadata-providers.xml, saml-nameid.xml  メッセージの国際化  Stateless Clustering (冗長構成対応)  Client-side cookies, in-memory, JPA/database, memcache  CAS (Central Authentication Service)プロトコルのサポート - 標準搭載  属性情報送信同意、送信属性選択(uApprove-JP) - 標準搭載  MCB (Multi-Context Broker)による複数の認証方式への対応- 標準搭載  OIDCのamr (Authentication Method Reference)みたいなの  参考:http://www.slideshare.net/kura_lab/fidofederation  LoAベース  動的フロー変更  SLO (Single Logout)のサポート(バックチャネルを除く)  Metadata Query Protocol (on-demand metadata lookup)  ECP (Enhanced Client or Proxy) for non web applications (v2.4~) ©2015 Motonori Nakamura/NII17
©2015 Motonori Nakamura/NII18  Shibboleth IdPでは、多様や認証方式やプライバシー保護をプラグインに より柔軟にサポート Shibboleth-IdP サービス(SP)ID・認証サービス(IdP) Web サービス 属性情報 認証 プラグ イン Shibboleth-SP ID・認証連携 利用者 アカウント 発行・失効 プライバシー保護 LDAP/AD 属性情報 送信同意 認証 プラグ イン 認証 プラグ イン 【様々な認証方式への対応】 パスワード認証 多要素認証 リスクベース認証 FIDOやAaaSの活用 認証強度の向上 AaaS: Authentication as a Service
19  OMB M-04-04 E-Authentication Guidance for Federal Agencies (2003)  NIST SP800-63 Electronic Authentication Guideline (2006発行, 2011改訂)  ITU-T X.1254 Entity Authentication Assurance Framework (2012-09承認)  ISO/IEC 29115:2013 Entity authentication assurance framework (2013-04) Level Description 1 – Low Little or no confidence in the asserted identity 身元確認不要、仮名 例:whitehouse.govのWebサイトでのオンラインディスカッションに参加 2 – Medium Some confidence in the asserted identity 身元識別(身分証明書)、単一要素認証可、失効処理 例:社会保障Webサイトを通じて自身の住所記録を変更 3 – High High confidence in the asserted identity 多要素認証 例:特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出 4 – Very high Very high confidence in the asserted identity 対面による発行、ハードウェアトークン 例:法執行官が、犯罪歴が格納されている法執行データベースにアクセス OpenID 2.0はLoA-2まで、SAML/OpenID ConnectはLoA-4まで対応 世界 標準 へ ©2015 Motonori Nakamura/NII
©2015 Motonori Nakamura/NII20 区分 身元確認保証レベル 当人確認保証レベル 信頼レベル 評価軸 登録 トークン トークン及び クレデンシャ ル管理 認証プ ロセス アサー ション プライバ シー及び個 人情報保護 レベル 1 (低) (対面/非対面) 自己申告 / 身元確認は不要 --------------------------- ----------------------- レベル1+ 身分証の提示 単要素認証 (例)パスワード(6桁以上)、秘密の質 問(最低5問から選択)等 レベル 2 (中) (対面)写真付き公的身分証の提示 (非対面)公的身分証及び金融/携帯 電話の個別番号を提示。申請情報を いずれかの記録と照合。 単要素認証 (例)パスワード(8桁以上)、秘密の質 問(最低7問から選択)、数値マトリック スカード、SMSワンタイムパスワード、 ワンタイムパスワード機器、ICカード等 レベル 3 (高) (対面)L2に加え、申請情報を記録と 照合・録音等による否認防止。 (非対面)L2に加え、申請情報を公的 機関および金融/携帯事業者の記録と 照合・録音等による否認防止。 多要素認証 (例)認証時にパスワード入力を求める SSLクライアント認証、ICカード+パス ワード等 レベル 4 (特高) (対面のみ)写真付き公的身分証明証 2種又は公的身分証及び金融/携帯電 話の個別番号を提示。全ての申請情 報を記録と照合。生体情報の記録。 多要素認証トークン機器 (例)暗証番号認証付きワンタイムパス ワード機器、指紋認証付きICカード等 ト ー ク ン の 発 行 、 保 管 方 法 、 ア イ デ ン テ ィ テ ィ の 失 効 等 の 運 用 ル ー ル 等 の 基 準 認 証 プ ロ セ ス 実 行 時 に 想 定 さ れ る 脅 威 に 対 す る 基 準 ア サ ー シ ョ ン 利 用 自 に 想 定 さ れ る 脅 威 に 対 す る 基 準 プ ラ イ バ シ ー 及 び 個 人 情 報 保 護 状 況 証 明 の 程 度 の 基 準
 authMethods 1. token : Silver Assurance Level (via hardware token) 2. strongpassword : Silver Assurance Level 3. password : Username/Password Only 4. tokenpluspin : Gold Level - Token/PIN Required https://wiki.shibboleth.net/confluence/display/SHIB2/Multi-Context+Broker ©2015 Motonori Nakamura/NII21
<authnContexts> <context name="bronze" method="password"> <allowedContexts> <context>silver</context> <context>silver-token</context> </allowedContexts> </context> <context name="silver" method="strongpassword"> <allowedContexts> <context>silver-token</context> </allowedContexts> </context> <context name="silver-token" method="token"> <allowedContexts> <context>tokenpluspin</context> </allowedContexts> </context> </authnContexts> LoA1 LoA2 LoA3? ©2015 Motonori Nakamura/NII22
©2015 Motonori Nakamura/NII23  IDaaS: Identity as a Service – ID管理システムの外だし  AaaS: Authentication as a Service – 認証システムの外だし 利用者 各種サービス(SP) 管理者0 当人確認 ID・認証サービス(IdP) サービスの利用 管理者1 認可認証 管理者2 認可 SP1 SP2 LDAP/AD 【様々な認証方式への対応】 LoA-1: パスワード認証 LoA-2: 多要素認証 AaaS: Authentication as a Service IDaaS: Identity as a Service 属性情報 属性情報 AuthnContextClassRef: LoA-2 AuthnContextClassRef: LoA-1
 Single Logout (Including Back-channel) Under Discussion  Centralized Discovery Service (V3)  IdP User Interface  SAML-ECP GSS-API Mechanism (Browser-less Authentication)  OpenID Connect Support  OAuth Authentication Service (Any Use Cases?)  IdP One Time Password SMS Authentication  IdP Configuration Tool https://wiki.shibboleth.net/confluence/display/DEV/Project+Roadmap ©2015 Motonori Nakamura/NII24
 民間デファクトであるOpenIDC対応のサービスが、学認IdPで認証して 利用できるようになれば、学認(大学)向けのサービスがさらに広がる  学認にてプロトコルゲートウェイによるOpenID Connect対応 GakuNin IdP OpenIDC RP プロトコル ゲートウェイ GakuNin SP OpenIDC OP SAML OpenIDC GakuNin SP OpenIDC OP プロトコル ゲートウェイ OpenIDC RP GakuNin IdP OpenIDC SAML  民間(OpenIDC OP)から 学認対応SP へのアクセスが可能になれば、 産学協同研究の情報基盤としての活用や保護者向けサービスへも展開 できる  Google/Yahooなどのアカデミックサービスを利用している大学の、学認参加も容易に 学認 学認 民間 民間 ©2015 Motonori Nakamura/NII25
26  学認ウェブサイトにて、Shibboleth IdP ver.3の構築手順、および、既存の IdP ver.2系統からの」アップグレード手順を提供中  新規でShibboleth IdP ver.3を構築する手順 https://meatwiki.nii.ac.jp/confluence/x/eIExAQ  既存のShibboleth IdP ver.2からアップグレードする手順 https://meatwiki.nii.ac.jp/confluence/x/tYwoAQ  大学ICT推進協議会(AXIES)年次大会企画セッション2015/12/2(水) https://axies.jp/ja/conf  13:00~14:30 ID管理のケーススタディとクラウド時代の認証連携  14:45~16:15 UPKIクライアント証明書の活用事例とShibboleth V3への対応 ©2015 Motonori Nakamura/NII
©2015 Motonori Nakamura/NII27
©2015 Motonori Nakamura/NII28  フェデレーション外との連携  OpenID Connect  CAS等とのSSO連携  Single Logout  クライアント証明書認証  二要素認証  LoA認証  Mobile対応  Non-webサービスとの認証連携  Global ID, ORCID(研究者ID)  K12、生涯学習への展開  Self-managed Identity  オンプレ、クラウド調達  IDaaS  ID Management方法論  Interoperability  グループ情報管理、認可  属性情報送信制御  属性情報送信同意  プライバシー など…

Recommended

OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門土岐 孝平
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveAzure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveNaohiro Fujie
 
Go初心者がGoでコマンドラインツールの作成に挑戦した話
Go初心者がGoでコマンドラインツールの作成に挑戦した話Go初心者がGoでコマンドラインツールの作成に挑戦した話
Go初心者がGoでコマンドラインツールの作成に挑戦した話dcubeio
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15OpenID Foundation Japan
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護Naohiro Fujie
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -onozaty
 
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCマイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCdisc99_
 
Hyperledger Fabric Private Chaincodeについて
Hyperledger Fabric Private ChaincodeについてHyperledger Fabric Private Chaincodeについて
Hyperledger Fabric Private ChaincodeについてHyperleger Tokyo Meetup
 

Recommended

OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門土岐 孝平
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveAzure ADと外部アプリのID連携/SSO - Deep Dive
Azure ADと外部アプリのID連携/SSO - Deep DiveNaohiro Fujie
 
Go初心者がGoでコマンドラインツールの作成に挑戦した話
Go初心者がGoでコマンドラインツールの作成に挑戦した話Go初心者がGoでコマンドラインツールの作成に挑戦した話
Go初心者がGoでコマンドラインツールの作成に挑戦した話dcubeio
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15OpenID Foundation Japan
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護Naohiro Fujie
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -onozaty
 
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCマイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPCdisc99_
 
Hyperledger Fabric Private Chaincodeについて
Hyperledger Fabric Private ChaincodeについてHyperledger Fabric Private Chaincodeについて
Hyperledger Fabric Private ChaincodeについてHyperleger Tokyo Meetup
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 
goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?mori takuma
 
ざっくり解説 LINE ログイン
ざっくり解説 LINE ログインざっくり解説 LINE ログイン
ざっくり解説 LINE ログインNaohiro Fujie
 
TLS, HTTP/2演習
TLS, HTTP/2演習TLS, HTTP/2演習
TLS, HTTP/2演習shigeki_ohtsu
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方Taku Miyakawa
 
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装Masatoshi Tada
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke OsakaInsight Technology, Inc.
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)彰 村地
 
CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩淳 千葉
 
マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話natsumi_ishizaka
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何かJunBear1
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しようYasutaka Kawamoto
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理Hyperleger Tokyo Meetup
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015OpenID Foundation Japan
 

More Related Content

What's hot

PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 
goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?mori takuma
 
ざっくり解説 LINE ログイン
ざっくり解説 LINE ログインざっくり解説 LINE ログイン
ざっくり解説 LINE ログインNaohiro Fujie
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方Taku Miyakawa
 
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装Masatoshi Tada
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke OsakaInsight Technology, Inc.
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)彰 村地
 
CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩淳 千葉
 
マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話natsumi_ishizaka
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何かJunBear1
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しようYasutaka Kawamoto
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理Hyperleger Tokyo Meetup
 

What's hot (20)

PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
 
goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?goで末尾再帰最適化は使えるか?
goで末尾再帰最適化は使えるか?
 
ざっくり解説 LINE ログイン
ざっくり解説 LINE ログインざっくり解説 LINE ログイン
ざっくり解説 LINE ログイン
 
TLS, HTTP/2演習
TLS, HTTP/2演習TLS, HTTP/2演習
TLS, HTTP/2演習
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
 
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
[D35] 今ミッション・クリティカル環境で求められるデータベース・クラスタリング技術とは? by Kousuke Osaka
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)
 
CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩CodeBuildを身近にするためのはじめの一歩
CodeBuildを身近にするためのはじめの一歩
 
マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話マスターデータの キャッシュシステムの改善の話
マスターデータの キャッシュシステムの改善の話
 
レビューとは何か
レビューとは何かレビューとは何か
レビューとは何か
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しよう
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理
 

Similar to Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015OpenID Foundation Japan
 
Trust Frameworkと法人番号について - OpenID Summit 2015
Trust Frameworkと法人番号について - OpenID Summit 2015Trust Frameworkと法人番号について - OpenID Summit 2015
Trust Frameworkと法人番号について - OpenID Summit 2015OpenID Foundation Japan
 
100121 Scis2010 Itoh
100121 Scis2010 Itoh100121 Scis2010 Itoh
100121 Scis2010 ItohHiroki Itoh
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可Naohiro Fujie
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
20110125 idm wg-fujie
20110125 idm wg-fujie20110125 idm wg-fujie
20110125 idm wg-fujieNaohiro Fujie
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phonejunichi anno
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>Naoto Miyachi
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal west201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal westHiroyuki Yokota
 
日経BP ITpro IoT japanパネル討議資料
日経BP ITpro IoT japanパネル討議資料日経BP ITpro IoT japanパネル討議資料
日経BP ITpro IoT japanパネル討議資料知礼 八子
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピング
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピングAmazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピング
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピングAmazon Web Services Japan
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...日本マイクロソフト株式会社
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaStudent Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaOpenID Foundation Japan
 

Similar to Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015 (20)

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
もうひとつのマイナンバー「医療等ID」に関する議論 - OpenID Summit 2015
 
Trust Frameworkと法人番号について - OpenID Summit 2015
Trust Frameworkと法人番号について - OpenID Summit 2015Trust Frameworkと法人番号について - OpenID Summit 2015
Trust Frameworkと法人番号について - OpenID Summit 2015
 
100121 Scis2010 Itoh
100121 Scis2010 Itoh100121 Scis2010 Itoh
100121 Scis2010 Itoh
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
Share point における id管理と認証・認可
Share point における id管理と認証・認可Share point における id管理と認証・認可
Share point における id管理と認証・認可
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
 
20110125 idm wg-fujie
20110125 idm wg-fujie20110125 idm wg-fujie
20110125 idm wg-fujie
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
 
201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal west201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal west
 
日経BP ITpro IoT japanパネル討議資料
日経BP ITpro IoT japanパネル討議資料日経BP ITpro IoT japanパネル討議資料
日経BP ITpro IoT japanパネル討議資料
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピング
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピングAmazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピング
Amazon FreeRTOSを用いた量産向けIoTマイコンデバイス開発プロトタイピング
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaStudent Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
 

More from OpenID Foundation Japan

20231109_OpenID_TechNight_OpenID_Federation.pdf
20231109_OpenID_TechNight_OpenID_Federation.pdf20231109_OpenID_TechNight_OpenID_Federation.pdf
20231109_OpenID_TechNight_OpenID_Federation.pdfOpenID Foundation Japan
 
次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15OpenID Foundation Japan
 
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14OpenID Foundation Japan
 
次世代KYCのあるべき姿 - OpenID BizDay #14
次世代KYCのあるべき姿 - OpenID BizDay #14次世代KYCのあるべき姿 - OpenID BizDay #14
次世代KYCのあるべき姿 - OpenID BizDay #14OpenID Foundation Japan
 
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14OpenID Foundation Japan
 
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14OpenID Foundation Japan
 
DXをささえる銀行API - OpenID BizDay #13
DXをささえる銀行API - OpenID BizDay #13DXをささえる銀行API - OpenID BizDay #13
DXをささえる銀行API - OpenID BizDay #13OpenID Foundation Japan
 
オープンAPIのニーズと現状の課題 - OpenID BizDay #13
オープンAPIのニーズと現状の課題 - OpenID BizDay #13オープンAPIのニーズと現状の課題 - OpenID BizDay #13
オープンAPIのニーズと現状の課題 - OpenID BizDay #13OpenID Foundation Japan
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020OpenID Foundation Japan
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenID Foundation Japan
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Foundation Japan
 
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020OpenID Foundation Japan
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020OpenID Foundation Japan
 
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020OpenID Foundation Japan
 
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020OpenID Foundation Japan
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...OpenID Foundation Japan
 
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...OpenID Foundation Japan
 

More from OpenID Foundation Japan (20)

20231109_OpenID_TechNight_OpenID_Federation.pdf
20231109_OpenID_TechNight_OpenID_Federation.pdf20231109_OpenID_TechNight_OpenID_Federation.pdf
20231109_OpenID_TechNight_OpenID_Federation.pdf
 
FAPI 最新情報 - OpenID BizDay #15
FAPI 最新情報 - OpenID BizDay #15FAPI 最新情報 - OpenID BizDay #15
FAPI 最新情報 - OpenID BizDay #15
 
次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15
 
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
 
次世代KYCのあるべき姿 - OpenID BizDay #14
次世代KYCのあるべき姿 - OpenID BizDay #14次世代KYCのあるべき姿 - OpenID BizDay #14
次世代KYCのあるべき姿 - OpenID BizDay #14
 
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
 
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
 
DXをささえる銀行API - OpenID BizDay #13
DXをささえる銀行API - OpenID BizDay #13DXをささえる銀行API - OpenID BizDay #13
DXをささえる銀行API - OpenID BizDay #13
 
オープンAPIのニーズと現状の課題 - OpenID BizDay #13
オープンAPIのニーズと現状の課題 - OpenID BizDay #13オープンAPIのニーズと現状の課題 - OpenID BizDay #13
オープンAPIのニーズと現状の課題 - OpenID BizDay #13
 
Open Banking beyond PSD2 in the EU
Open Banking beyond PSD2 in the EU Open Banking beyond PSD2 in the EU
Open Banking beyond PSD2 in the EU
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
 
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
 
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
 
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
 
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
 

Recently uploaded

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 

Recently uploaded (10)

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 

Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015

  • 1. Shibboleth IdP V3と アカデミックIDフェデレーション OpenID Summit Tokyo 2015 中村 素典 / 国立情報学研究所 ©2015 Motonori Nakamura/NII1
  • 2.  Academic Federations: Production – 43, Pilot – 18 (Oct. 2015) https://refeds.org/federations/federations-map ©2015 Motonori Nakamura/NII3
  • 3. ©2015 Motonori Nakamura/NII4  シングルサインオン(SSO)技術の活用による、これまで一つの大学・研究機関の中 に閉じていた認証システムが組織外のサービスとも連携するための枠組み  利便性の向上と管理コストの削減による、教育研究のためのICT環境の充実を支援  ID提供側(IdP)とサービス提供側(SP)との相互の信頼を担保するためのルールと 評価の仕組みによる信頼の枠組み(トラストフレームワーク)の提供  セキュリティとプライバシーを考慮した安全・安心なシステム 図書館システム Webメール グループウェア EラーニングSP 大学 A 大学 B 大学 CIdP GakuNin運営組織 • フェデレーション ポリシーの策定 • IdP運用評価 • 広報・普及 電子ジャーナル 情報提供サイト 学認申請システム メタデータリポジトリ ディスカバリーサービス 個人認証で学外 からも快適アクセス シングルサインオンで スムーズなアクセス ID管理工数の低減 セキュリティレベルの底上げ 個人情報保護 クラウドの活用を支援
  • 4. IdP機関数 IdPユーザ数 0 20 40 60 80 100 120 140 160 180 200 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 (万人) 5 国立大学 公立大学 私立大学 短期大学 高等専門学校 共同利用機関 その他 合計 学認参加数 59 12 44 0 51 1 7 174 カバー率 69% 12% 7% 0% 89% 総機関数 86 92 603 334 57 0 20 40 60 80 100 120 140 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 Total Students Staff 174機関 総ID数約125万 0 20 40 60 80 100 120 140 160 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 139SP SP数 ©2015 Motonori Nakamura/NII 詳細は https://www.gakunin.jp/participants/
  • 6. Source: presentation by Dennis Cromwell and Ann West at InCommon Roadmap – Priorities and Services (Internet2 Technology exchange 2015, Oct. 6) ©2015 Motonori Nakamura/NII7
  • 7. ©2015 Motonori Nakamura/NII8  eduGAINに参加するIdP: 約1500  eduGAIN経由で利用可能なサービス(SP): 1000以上  SURFconext, FileSender, Foodle, perfSONAR, GRID系サービスなど  https://technical.edugain.org/entities.php (インターフェデレーション)
  • 11.  Web Browser SSO普及における互換性ためのSAML 2.0共通仕様の定義 ©2015 Motonori Nakamura/NII12
  • 12.  米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト  SAMLによる認証連携方法として学術界ではデファクトスタンダード  Shibboleth開発体制をInternet2独自から世界的に支援する形へ  学認もシボレス・コンソーシアムのメンバー ©2015 Motonori Nakamura/NII13
  • 13. 14 Shibboleth Daemon (shibd) Session Initiator DS Assertion Consumer SAML POST Attribute Authority SSO Profile AuthN Engine Username Password AuthN Form Tomcat IdP SP Apache / IIS Attribute DB AuthN DB LDAP/AD Web Resource Shibboleth Module (mod_shib) Browser https https # .htaccess AuthType shibboleth ShibRequireSession On require valid-user ポート番号は443または8443back channel front channel ©2015 Motonori Nakamura/NII
  • 14. 15  Version 2.0.0 は 2008年3月にリリース(7年以上経過)  すべてのセキュリティバグ,および,深刻だがセキュリティには関係しないバグ 解決のためのパッチ・情報提供 2015年12月31日終了 (JavaやTomcatに起因する,システムの運用に支障をきたす不具合などが相当)  セキュリティバグ解決のためのパッチ・情報提供  Moderateレベル 2016年2月29日終了  たとえば、認証済みの状態でのDoS攻撃に関する問題  Importantレベル 2016年5月31日終了  たとえば、認証なしの状態でのDoS攻撃に関する問題  Criticalレベル 2016年7月31日終了  たとえば、リモート攻撃やデータ漏えいに関する問題  2016年7月31日を以ってサポート完全終了 (2015年5月5日付けアナウンス) https://shibboleth.net/pipermail/announce/2015-May/000112.html ©2015 Motonori Nakamura/NII
  • 15. 16  2014年12月22日 Version 3.0.0 リリース  最新は Version 3.1.2 (2015年10月末現在現在)  2015年11月に Version 3.2.0 リリース予定  プロトコル標準的には変更なし(V2,V3混在運用可)  Version 2からバージョンアップするには:  Java 7, Tomcat 7以降が必要 (Servlet API 3.0)  ファイル構成や設定内容の違い  標準的なV2の設定はそのままでも動作するが(Safe Upgrade)、 V3の新機能を利用するためにはV3形式の内容に変換する必 要がある services.propertiesで、どちらの形式かを指定 UIまわりの調整や各種プラグインの利用は、調整が必要 ©2015 Motonori Nakamura/NII
  • 16.  設定ファイルの分離、整理  Metadata-providers.xml, saml-nameid.xml  メッセージの国際化  Stateless Clustering (冗長構成対応)  Client-side cookies, in-memory, JPA/database, memcache  CAS (Central Authentication Service)プロトコルのサポート - 標準搭載  属性情報送信同意、送信属性選択(uApprove-JP) - 標準搭載  MCB (Multi-Context Broker)による複数の認証方式への対応- 標準搭載  OIDCのamr (Authentication Method Reference)みたいなの  参考:http://www.slideshare.net/kura_lab/fidofederation  LoAベース  動的フロー変更  SLO (Single Logout)のサポート(バックチャネルを除く)  Metadata Query Protocol (on-demand metadata lookup)  ECP (Enhanced Client or Proxy) for non web applications (v2.4~) ©2015 Motonori Nakamura/NII17
  • 17. ©2015 Motonori Nakamura/NII18  Shibboleth IdPでは、多様や認証方式やプライバシー保護をプラグインに より柔軟にサポート Shibboleth-IdP サービス(SP)ID・認証サービス(IdP) Web サービス 属性情報 認証 プラグ イン Shibboleth-SP ID・認証連携 利用者 アカウント 発行・失効 プライバシー保護 LDAP/AD 属性情報 送信同意 認証 プラグ イン 認証 プラグ イン 【様々な認証方式への対応】 パスワード認証 多要素認証 リスクベース認証 FIDOやAaaSの活用 認証強度の向上 AaaS: Authentication as a Service
  • 18. 19  OMB M-04-04 E-Authentication Guidance for Federal Agencies (2003)  NIST SP800-63 Electronic Authentication Guideline (2006発行, 2011改訂)  ITU-T X.1254 Entity Authentication Assurance Framework (2012-09承認)  ISO/IEC 29115:2013 Entity authentication assurance framework (2013-04) Level Description 1 – Low Little or no confidence in the asserted identity 身元確認不要、仮名 例:whitehouse.govのWebサイトでのオンラインディスカッションに参加 2 – Medium Some confidence in the asserted identity 身元識別(身分証明書)、単一要素認証可、失効処理 例:社会保障Webサイトを通じて自身の住所記録を変更 3 – High High confidence in the asserted identity 多要素認証 例:特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出 4 – Very high Very high confidence in the asserted identity 対面による発行、ハードウェアトークン 例:法執行官が、犯罪歴が格納されている法執行データベースにアクセス OpenID 2.0はLoA-2まで、SAML/OpenID ConnectはLoA-4まで対応 世界 標準 へ ©2015 Motonori Nakamura/NII
  • 19. ©2015 Motonori Nakamura/NII20 区分 身元確認保証レベル 当人確認保証レベル 信頼レベル 評価軸 登録 トークン トークン及び クレデンシャ ル管理 認証プ ロセス アサー ション プライバ シー及び個 人情報保護 レベル 1 (低) (対面/非対面) 自己申告 / 身元確認は不要 --------------------------- ----------------------- レベル1+ 身分証の提示 単要素認証 (例)パスワード(6桁以上)、秘密の質 問(最低5問から選択)等 レベル 2 (中) (対面)写真付き公的身分証の提示 (非対面)公的身分証及び金融/携帯 電話の個別番号を提示。申請情報を いずれかの記録と照合。 単要素認証 (例)パスワード(8桁以上)、秘密の質 問(最低7問から選択)、数値マトリック スカード、SMSワンタイムパスワード、 ワンタイムパスワード機器、ICカード等 レベル 3 (高) (対面)L2に加え、申請情報を記録と 照合・録音等による否認防止。 (非対面)L2に加え、申請情報を公的 機関および金融/携帯事業者の記録と 照合・録音等による否認防止。 多要素認証 (例)認証時にパスワード入力を求める SSLクライアント認証、ICカード+パス ワード等 レベル 4 (特高) (対面のみ)写真付き公的身分証明証 2種又は公的身分証及び金融/携帯電 話の個別番号を提示。全ての申請情 報を記録と照合。生体情報の記録。 多要素認証トークン機器 (例)暗証番号認証付きワンタイムパス ワード機器、指紋認証付きICカード等 ト ー ク ン の 発 行 、 保 管 方 法 、 ア イ デ ン テ ィ テ ィ の 失 効 等 の 運 用 ル ー ル 等 の 基 準 認 証 プ ロ セ ス 実 行 時 に 想 定 さ れ る 脅 威 に 対 す る 基 準 ア サ ー シ ョ ン 利 用 自 に 想 定 さ れ る 脅 威 に 対 す る 基 準 プ ラ イ バ シ ー 及 び 個 人 情 報 保 護 状 況 証 明 の 程 度 の 基 準
  • 20.  authMethods 1. token : Silver Assurance Level (via hardware token) 2. strongpassword : Silver Assurance Level 3. password : Username/Password Only 4. tokenpluspin : Gold Level - Token/PIN Required https://wiki.shibboleth.net/confluence/display/SHIB2/Multi-Context+Broker ©2015 Motonori Nakamura/NII21
  • 21. <authnContexts> <context name="bronze" method="password"> <allowedContexts> <context>silver</context> <context>silver-token</context> </allowedContexts> </context> <context name="silver" method="strongpassword"> <allowedContexts> <context>silver-token</context> </allowedContexts> </context> <context name="silver-token" method="token"> <allowedContexts> <context>tokenpluspin</context> </allowedContexts> </context> </authnContexts> LoA1 LoA2 LoA3? ©2015 Motonori Nakamura/NII22
  • 22. ©2015 Motonori Nakamura/NII23  IDaaS: Identity as a Service – ID管理システムの外だし  AaaS: Authentication as a Service – 認証システムの外だし 利用者 各種サービス(SP) 管理者0 当人確認 ID・認証サービス(IdP) サービスの利用 管理者1 認可認証 管理者2 認可 SP1 SP2 LDAP/AD 【様々な認証方式への対応】 LoA-1: パスワード認証 LoA-2: 多要素認証 AaaS: Authentication as a Service IDaaS: Identity as a Service 属性情報 属性情報 AuthnContextClassRef: LoA-2 AuthnContextClassRef: LoA-1
  • 23.  Single Logout (Including Back-channel) Under Discussion  Centralized Discovery Service (V3)  IdP User Interface  SAML-ECP GSS-API Mechanism (Browser-less Authentication)  OpenID Connect Support  OAuth Authentication Service (Any Use Cases?)  IdP One Time Password SMS Authentication  IdP Configuration Tool https://wiki.shibboleth.net/confluence/display/DEV/Project+Roadmap ©2015 Motonori Nakamura/NII24
  • 24.  民間デファクトであるOpenIDC対応のサービスが、学認IdPで認証して 利用できるようになれば、学認(大学)向けのサービスがさらに広がる  学認にてプロトコルゲートウェイによるOpenID Connect対応 GakuNin IdP OpenIDC RP プロトコル ゲートウェイ GakuNin SP OpenIDC OP SAML OpenIDC GakuNin SP OpenIDC OP プロトコル ゲートウェイ OpenIDC RP GakuNin IdP OpenIDC SAML  民間(OpenIDC OP)から 学認対応SP へのアクセスが可能になれば、 産学協同研究の情報基盤としての活用や保護者向けサービスへも展開 できる  Google/Yahooなどのアカデミックサービスを利用している大学の、学認参加も容易に 学認 学認 民間 民間 ©2015 Motonori Nakamura/NII25
  • 25. 26  学認ウェブサイトにて、Shibboleth IdP ver.3の構築手順、および、既存の IdP ver.2系統からの」アップグレード手順を提供中  新規でShibboleth IdP ver.3を構築する手順 https://meatwiki.nii.ac.jp/confluence/x/eIExAQ  既存のShibboleth IdP ver.2からアップグレードする手順 https://meatwiki.nii.ac.jp/confluence/x/tYwoAQ  大学ICT推進協議会(AXIES)年次大会企画セッション2015/12/2(水) https://axies.jp/ja/conf  13:00~14:30 ID管理のケーススタディとクラウド時代の認証連携  14:45~16:15 UPKIクライアント証明書の活用事例とShibboleth V3への対応 ©2015 Motonori Nakamura/NII
  • 27. ©2015 Motonori Nakamura/NII28  フェデレーション外との連携  OpenID Connect  CAS等とのSSO連携  Single Logout  クライアント証明書認証  二要素認証  LoA認証  Mobile対応  Non-webサービスとの認証連携  Global ID, ORCID(研究者ID)  K12、生涯学習への展開  Self-managed Identity  オンプレ、クラウド調達  IDaaS  ID Management方法論  Interoperability  グループ情報管理、認可  属性情報送信制御  属性情報送信同意  プライバシー など…