Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

金融向けoへの認証の導入

1,237 views

Published on

金融向けoへの認証の導入

Published in: Technology
  • Be the first to comment

  • Be the first to like this

金融向けoへの認証の導入

  1. 1. FIDOアライアンス東京セミナー ⾦融API向けOAuthへのFIDO認証の導⼊ 〜OpenID Foundationでの標準化動向を俯瞰して〜 OpenID ファウンデーション・ジャパン 倉林 雅
  2. 2. 倉林 雅 OpenID ファウンデーション・ジャパン エバンジェリスト ヤフー株式会社 IDソリューション本部 認証技術⿊帯 CISO-Board @kura_lab
  3. 3. アジェンダ 1. OpenID Foundationと OpenID ファウンデーション・ジャパンについて 2. Working Groupと策定中の仕様 3. Financial API(FAPI) WGとは 4. FAPIの仕様 5. FIDOとFAPI 6. まとめ
  4. 4. OpenID Foundationと OpenID ファウンデーション・ジャパンについて
  5. 5. OpenID Foundation • ⽶国オレゴン州⾮営利法⼈ • Digital Identityに特化した国際標準化団体 (International standardization organization) Sustaining Corporate Member Corporate Member Non-profit Member
  6. 6. OpenID ファウンデーション・ジャパン • インターネットにおけるユーザー認証技術である「OpenID」 技術の国際化を⽀援 • ⽇本国内において「OpenID」技術を普及、啓発し、 もって社員ならび会員に共有する利益を図ること 理事企業 社員・会員企業(⼀例)
  7. 7. OpenID ファウンデーション・ジャパン • 9/15 Japan Identity & Cloud Summit 2017 • OpenID BizDay • 8/1 ⾦融 API 時代の OAuth 2.0 & OpenID Connect・CIS 2017報告会 • 10/13 NIST SP 800-63-3を読む 第1回 • 10/27 NIST SP 800-63-3を読む 第1回 • OpenID TechNight
  8. 8. Working Groupと策定中の仕様
  9. 9. Working Group
  10. 10. Enhanced Authentication Profile (EAP) WG • OpenID Connectでより強固な 認証を提供するためのセキュリ ティとプライバシーのプロファ イル(拡張機能)を策定 • Token Binding Authentication • EAP ACR Values • W3C scoped credentials • FIDO authenticators
  11. 11. Financial API (FAPI) WG • ⾦融API向けの OAuthプロファイルを策定 • 本⽇はFIDO認証と合わせて 利⽤される領域となりうるFAPI について紹介する
  12. 12. Financial API(FAPI) WGとは
  13. 13. アイルランドの4⼤銀⾏のひとつ ヨーロッパで2番⽬に⼤きい⾦融機関(世界で6番⽬)である ロイヤルバンク・オブ・スコットランドが所有している銀⾏ ⼝座の残⾼、取引履歴を 参照するための3rd Party向けAPIを 開発者向けに紹介した 参考:Ulster Bank Introduces New Banking Open API https://www.programmableweb.com/news/ulster-bank-introduces-new-banking-open-api/2017/09/13
  14. 14. 参考:The Open Banking Standard https://theodi.org/open-banking-standard 借⼊・運⽤・貯⾦のデータ活⽤を⽬的とした 英国の銀⾏のAPI化の指針のレポート 技術やプライバシー、セキュリティの 仕様やルールが記載されている
  15. 15. 参考:The Open Banking Standard https://theodi.org/open-banking-standard Open Banking APIのフレームワークとして 「OAuth 2.0」を前提に⽂書が書かれている
  16. 16. 英国Open Banking Standardを受けて オープンAPIの検討会も動いている 全国の銀⾏の発展のために 業界の調査や制度を整備をしている
  17. 17. JSON REST OAuth OpenID Connect
  18. 18. OAuthは「フレームワーク」 • OAuthはプロトコルではなく 「フレームワーク」 • サービスに適⽤するためのプ ロファイル(拡張機能)を 作る必要がある • ⾦融分野で利⽤するためには ⾦融分野のセキュリティ⽔準 を満たすプロファイルが必要
  19. 19. OpenID Foundationの Working GroupでOAuth 2.0の プロファイル(拡張機能)を策定中 参考:Financial API (FAPI) WG http://openid.net/wg/fapi/
  20. 20. Financial API (FAPI) WG • セキュリティとプライバシープロ ファイル、JSON data schema、 REST APIsに関する 勧告を提供 • アプリケーションが⾦融⼝座に保管 されているデータを利⽤、⾦融⼝座 とやりとりすること、利⽤者が セキュリティとプライバシー設定を することを⽬的とする • 保健およびクレジットカード情報も 考慮対象とする
  21. 21. FAPIの仕様
  22. 22. FAPIの仕様群 • APIセキュリティプロファイル • Part 1: Read Only API • Part 2: Read & Write API • API仕様 • Part 3: Open Data API • Part 4: Read Only API • Part 5: Read & Write API
  23. 23. セキュリティプロファイルの例 Part 1: Read Only API Security Profile ※KeywordはIETFと異なりISOの“shall”, “should”, “may”, “can”を使⽤
  24. 24. FAPIの仕様 標準のOAuth
  25. 25. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token Access to Resource Resource Authorization Code (Redirect)
  26. 26. FAPIの仕様 Part 1,2 適応後のOAuth
  27. 27. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) • request or request_uri (JWTによるRequest Object) • scopeにopenid必須 (OpenID Connect対応) • redirect_uri必須かつ完全⼀致 • state必須 Revoke Token
  28. 28. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) • request or request_uri (JWTによるRequest Object) • scopeにopenid必須 (OpenID Connect対応) • redirect_uri必須かつ完全⼀致 • state必須 • Client認証にMutual TLS またはJWT Client Assertion Revoke Token
  29. 29. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) • request or request_uri (JWTによるRequest Object) • scopeにopenid必須 (OpenID Connect対応) • redirect_uri必須かつ完全⼀致 • state必須 • Client認証にMutual TLS またはJWT Client Assertion• scopeを返却 Revoke Token • ID Tokenに s_hash(stateハッシュ値)、 暗号化(Confidential)、 署名のPS256とES256対応 (RS256は排除)
  30. 30. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) • request or request_uri (JWTによるRequest Object) • scopeにopenid必須 (OpenID Connect対応) • redirect_uri必須かつ完全⼀致 • state必須 • Client認証にMutual TLS またはJWT Client Assertion• scopeを返却 • Token Revocation提供 • ID Tokenに s_hash(stateハッシュ値)、 暗号化(Confidential)、 署名のPS256とES256対応 (RS256は排除) Revoke Token
  31. 31. OpenID Certification • OpenID ConnectのOP・RP Certificationを正式提供中 • 仕様が正しく実装されているか、オンライン提供されているテ スト・スイートのCertificationで確認 • Google、Microsoft、NRI、Yahoo! JAPANなど • FAPIにおいても同様のスキームでテストを可能にする予定 • http://openid.net/certification/
  32. 32. FIDOとFAPI
  33. 33. Provisioning ID管理の階層構造
  34. 34. ID管理の階層構造 Authentication Provisioning
  35. 35. ID管理の階層構造 Attributes Single Sign-On Federation Authentication Provisioning
  36. 36. ID管理の階層構造 Attributes Single Sign-On Federation Authentication Provisioning SCIM
  37. 37. ID管理の階層構造 Attributes Single Sign-On Federation Authentication Provisioning OAuth OpenID Connect SCIM
  38. 38. ID管理の階層構造 Attributes Single Sign-On Federation Authentication Provisioning FIDO
  39. 39. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) • request or request_uri (JWTによるRequest Object) • scopeにopenid必須 (OpenID Connect対応) • redirect_uri必須かつ完全⼀致 • state必須 • Client認証にMutual TLS またはJWT Client Assertion• scopeを返却 • Token Revocation提供 • ID Tokenに s_hash(stateハッシュ値)、 暗号化(Confidential)、 署名のPS256とES256対応 (RS256は排除) Revoke Token
  40. 40. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token Access to Resource Resource Authorization Code (Redirect) Revoke Token OAuthではユーザー認証はOut of Scopeだが FAPIの更新系API(Part 2)のユーザー認証はITU-T X.1254 LoA 3(特定される⾝元識別情報の信⽤度が”相当程度ある”)以上を要求
  41. 41. Resource Owner Relying Party Authorization Server Resource Server Start Authentication Request (Redirect) Login (User Authentication) Token Request Access Token / Refresh Token / ID Token FIDOの認証領域 Access to Resource Resource Authorization Code (Redirect) Revoke Token
  42. 42. FIDOとFAPI • OAuthは「ID連携(Federation)」を役割としているため、 ユーザー認証はスコープ外である • ⾦融領域はFAPIのプロファイルにFIDOの認証を補完し 活⽤できる領域のひとつである FinTech Authentication FIDO Federation OAuth FAPI OpenID Connect
  43. 43. FIDOとFAPI • FIDOは「認証」、OAuthは「ID連携」の補完関係 • OAuthはFAPIでセキュアなID連携を⽬指す • FAPIにFIDOの強固なユーザー認証が加わることで よりセキュアな⾦融領域のID連携が実現できるだろう
  44. 44. まとめ
  45. 45. まとめ • 英国のOpen Banking Standardにより⽇本を含め各国で ⾦融業界におけるAPI化が進んでいる • OpenID FoundationではFAPI WGにて⾦融向けAPIを 提供するために必要なOAuthのプロファイルを策定中 • FAPI向けのCertificationの実施を予定 • ⾦融領域においてよりセキュアなID連携を⽬指すために、 FIDOによる認証とFAPIのOAuthプロファイルを 活⽤できるだろう
  46. 46. ご清聴ありがとうございました

×