Oidc how it solves your problems

Nat Sakimura
Nat Sakimura
Cloud Identity Summit 2013 報告 OpenID Connectは、 あなたの課題をどう解いてくれる か? 2013/9/4 Nat Sakimura Nomura Research Institute Chairman, The OpenID Foundation @_nat_en http://nat.sakimura.org/
© 2013 by Nomura Research Institute. All rights reserved. B2E Identity B2C Identity G2C Identity (source of pictures)Microsoft Office Online G2E Identity
© 2013 by Nomura Research Institute. All rights reserved. 「エンプラにOpenID Connect っ て 関係あるの? コンシューマ向け技術じゃない の?」
© 2013 by Nomura Research Institute. All rights reserved. Not quite. because I have very enterprizy background…
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connect は、エンプラ利用を念 頭において作られまし た。(コンシューマも だけど) クラウドサービスに アクセスガバナンス を作るのに有効です。
© 2013 by Nomura Research Institute. All rights reserved. デファクトのフェデレーションと アクセスプロビジョニングプロト コルは何?
© 2013 by Nomura Research Institute. All rights reserved. Identity Federation •SAML? Account Provisioning •SPML?
© 2013 by Nomura Research Institute. All rights reserved.
© 2013 by Nomura Research Institute. All rights reserved. Identity Federation •パスワード 共有 Account Provisioning •カスタム CSV
© 2013 by Nomura Research Institute. All rights reserved. なぜ失敗したか?
© 2013 by Nomura Research Institute. All rights reserved. 理解するのに難しすぎ。 認知上の困難さ -> 実装の困難さ プロダクト間の互換性の低さ ある大規模製造業: ▪ > 3000 partners all around the world ▪ Many of them were working with multiple companies ▪ Tried to create a SAML federation but failed.
© 2013 by Nomura Research Institute. All rights reserved. CSV は簡単. • Excelあれば OK! • それに手動で 編集できる よ! パスワード共 有も簡単. • パスワードを サポートして いる全アプリ ケーションで 使えるよ!
© 2013 by Nomura Research Institute. All rights reserved. やったね!
© 2013 by Nomura Research Institute. All rights reserved. やったね???
© 2013 by Nomura Research Institute. All rights reserved. 3人以上が知っているものは秘密 じゃない! 同期が崩れやすい。 手動編集はリスクだ。 De-provisioning? Archiving? 監査証跡は? etc…
© 2013 by Nomura Research Institute. All rights reserved. #fail
© 2013 by Nomura Research Institute. All rights reserved. やりなおしだ! 今回は、死ぬほど簡単に! 車輪の再発明?そうだ。 だけど、今回の車輪はもうちょっと丸い。
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connect & SCIM
© 2013 by Nomura Research Institute. All rights reserved. SAML v.s. OpenID Connect SAML Web SSO OpenID Connect XML JSON XML Dsig JSON Web Signature (JWS) XML Encryption JSON Web Encryption (JWE) SAML JSON Web Token SAML Assertion ID Token (OIDC) SOAP (mostly…) REST SAML Web SSO Profile Standard (=OAuth 2.0 binding) SPML SCIM
© 2013 by Nomura Research Institute. All rights reserved. identity 実体に関連する属性の集合 ISO/IEC 29115 | ITU-T X.1254 Note: distinguish identity and identifier carefully.
© 2013 by Nomura Research Institute. All rights reserved. “identity”の例 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z
© 2013 by Nomura Research Institute. All rights reserved. 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z logging User interface Access Contro info
© 2013 by Nomura Research Institute. All rights reserved. Real Name Professional qualification department Geo-location Employee number Entity Identity Resource Authentication Policy Enforcement Rules
© 2013 by Nomura Research Institute. All rights reserved. ABAC Based on SP800-162 figure on page viii identity Resource Rules entity
© 2013 by Nomura Research Institute. All rights reserved. 要件 R1 • Access Control MUST be done with the dynamic attributes R2 • Identity MUST be provided from the authoritative source R3 • Need to be able to provide flexible security. R4 • Need to be dead simple. R5 • Interoperability is the king. R6 • Limited connection (esp. mobile) ready. R7 • Unified technology for enterprise and consumer.
© 2013 by Nomura Research Institute. All rights reserved. 氏名 資格 部署 位置情報 社員番号 役職 Entity Identity Resource Authentication PEP PDP PAP / PIP Boss Metadata Log Log Application Accounts アカウント・プロビジョニング 認証 e.g., OpenID/SAML e.g., SCIM / SPML アクセス制御(認可) e.g., XACML/ JACML?
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connectの 実装経験より
© 2013 by Nomura Research Institute. All rights reserved. ちゃんと MUST は守りましょう。 • いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んで いました。. アクセストークンを、IDトークン抜きで他のクライアント や機械に送らないように。 • トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for- authentication.html “code” や “token” のサーバーサイドでの処理の負荷には十 分気をつけること。 • ある実装では、2000 tr/秒 処理しているが、このようなときには、署 名処理・暗号化処理の負荷を十分気をつける必要あり。
© 2013 by Nomura Research Institute. All rights reserved. 30
1 of 29

Oidc how it solves your problems

Download to read offline
Nat Sakimura
Nat Sakimura

Recommended

車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール by
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴールNat Sakimura
1.4K views83 slides
JWT Translation #technight by
JWT Translation #technightJWT Translation #technight
JWT Translation #technightNov Matake
8.5K views38 slides
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説 by
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説Takashi Yahata
2.7K views33 slides
Enterprise Identity Working Groupについて by
Enterprise Identity Working GroupについてEnterprise Identity Working Groupについて
Enterprise Identity Working GroupについてOpenID Foundation Japan
6.2K views11 slides
110728 Trust Framework - Shingo Yamanaka by
110728 Trust Framework - Shingo Yamanaka110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo YamanakaOpenID Foundation Japan
5.9K views38 slides
Dfuke oidfj tn10 by
Dfuke oidfj tn10Dfuke oidfj tn10
Dfuke oidfj tn10Daisuke Fuke
4.6K views12 slides

More Related Content

What's hot

OpenID Connect のビジネスチャンス by
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
6.5K views25 slides
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様 by
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様OpenID Foundation Japan
7.8K views11 slides
Student Identity Trust Framework - Masaki Shimaoka by
Student Identity Trust Framework - Masaki ShimaokaStudent Identity Trust Framework - Masaki Shimaoka
Student Identity Trust Framework - Masaki ShimaokaOpenID Foundation Japan
5.2K views12 slides
なぜOpenID Connectが必要となったのか、その歴史的背景 by
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
49.3K views36 slides
20140307 tech nightvol11_lt_v1.0_public by
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_publicTatsuya (達也) Katsuhara (勝原)
3.4K views20 slides
これからのネイティブアプリにおけるOpenID Connectの活用 by
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
25.8K views94 slides

What's hot(20)

OpenID Connect のビジネスチャンス by OpenID Foundation Japan
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan6.5K views
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様 by OpenID Foundation Japan
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
OpenID Foundation Japan7.8K views
Student Identity Trust Framework - Masaki Shimaoka by OpenID Foundation Japan
Student Identity Trust Framework - Masaki ShimaokaStudent Identity Trust Framework - Masaki Shimaoka
Student Identity Trust Framework - Masaki Shimaoka
OpenID Foundation Japan5.2K views
なぜOpenID Connectが必要となったのか、その歴史的背景 by Tatsuo Kudo
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo49.3K views
20140307 tech nightvol11_lt_v1.0_public by Tatsuya (達也) Katsuhara (勝原)
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)3.4K views
これからのネイティブアプリにおけるOpenID Connectの活用 by Masaru Kurahayashi
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi25.8K views
OpenID Connect Summit Transfer of Information by Tatsuya (達也) Katsuhara (勝原)
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
Tatsuya (達也) Katsuhara (勝原)1.3K views
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ... by Tatsuo Kudo
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
Tatsuo Kudo4.5K views
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka by OpenID Foundation Japan
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaStudent Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
OpenID Foundation Japan6.3K views
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン by Takashi Yahata
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata1.3K views
俺が考えた最強のID連携デザインパターン by Masaru Kurahayashi
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi9.5K views
OpenID ConnectとAndroidアプリのログインサイクル by Masaru Kurahayashi
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi14.9K views
認証技術、デジタルアイデンティティ技術の最新動向 by Tatsuo Kudo
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo10.8K views
OAuth認証再考からのOpenID Connect #devlove by Nov Matake
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake5.6K views
OpenID ConnectとSCIMの標準化動向 by Tatsuo Kudo
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
Tatsuo Kudo17.2K views
認証の課題とID連携の実装 〜ハンズオン〜 by Masaru Kurahayashi
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi9K views
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet... by Tatsuya (達也) Katsuhara (勝原)
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)3.2K views
ID連携のあるとき~、ないとき~ #エンプラ編 by Takashi Yahata
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata7.4K views
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~ by Tatsuo Kudo
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Tatsuo Kudo19.4K views
OpenID Connect - Nat Sakimura at OpenID TechNight #7 by OpenID Foundation Japan
OpenID Connect - Nat Sakimura at OpenID TechNight #7OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan6.5K views

Viewers also liked

OpenID Technight CIS Panel (slideshare edit) by
OpenID Technight CIS Panel (slideshare edit)OpenID Technight CIS Panel (slideshare edit)
OpenID Technight CIS Panel (slideshare edit)Manabu Kondo
4.4K views12 slides
Open id technight10_cis2013_egawa by
Open id technight10_cis2013_egawaOpen id technight10_cis2013_egawa
Open id technight10_cis2013_egawaEgawa Junichi
4.4K views3 slides
OAuth SPOP @ IETF 91 by
OAuth SPOP @ IETF 91OAuth SPOP @ IETF 91
OAuth SPOP @ IETF 91Nat Sakimura
1.8K views10 slides
API Days 2016 Day 1: OpenID Financial API WG by
API Days 2016 Day 1: OpenID Financial API WGAPI Days 2016 Day 1: OpenID Financial API WG
API Days 2016 Day 1: OpenID Financial API WGNat Sakimura
1.2K views30 slides
OpenID Foundation Foundation Financial API (FAPI) WG by
OpenID Foundation Foundation Financial API (FAPI) WGOpenID Foundation Foundation Financial API (FAPI) WG
OpenID Foundation Foundation Financial API (FAPI) WGNat Sakimura
1.8K views29 slides
Financial Grade OAuth & OpenID Connect by
Financial Grade OAuth & OpenID ConnectFinancial Grade OAuth & OpenID Connect
Financial Grade OAuth & OpenID ConnectNat Sakimura
3.5K views41 slides

Viewers also liked(14)

OpenID Technight CIS Panel (slideshare edit) by Manabu Kondo
OpenID Technight CIS Panel (slideshare edit)OpenID Technight CIS Panel (slideshare edit)
OpenID Technight CIS Panel (slideshare edit)
Manabu Kondo4.4K views
Open id technight10_cis2013_egawa by Egawa Junichi
Open id technight10_cis2013_egawaOpen id technight10_cis2013_egawa
Open id technight10_cis2013_egawa
Egawa Junichi4.4K views
OAuth SPOP @ IETF 91 by Nat Sakimura
OAuth SPOP @ IETF 91OAuth SPOP @ IETF 91
OAuth SPOP @ IETF 91
Nat Sakimura1.8K views
API Days 2016 Day 1: OpenID Financial API WG by Nat Sakimura
API Days 2016 Day 1: OpenID Financial API WGAPI Days 2016 Day 1: OpenID Financial API WG
API Days 2016 Day 1: OpenID Financial API WG
Nat Sakimura1.2K views
OpenID Foundation Foundation Financial API (FAPI) WG by Nat Sakimura
OpenID Foundation Foundation Financial API (FAPI) WGOpenID Foundation Foundation Financial API (FAPI) WG
OpenID Foundation Foundation Financial API (FAPI) WG
Nat Sakimura1.8K views
Financial Grade OAuth & OpenID Connect by Nat Sakimura
Financial Grade OAuth & OpenID ConnectFinancial Grade OAuth & OpenID Connect
Financial Grade OAuth & OpenID Connect
Nat Sakimura3.5K views
Yahoo! JAPANのOpenID Certified Mark取得について by Masaru Kurahayashi
Yahoo! JAPANのOpenID Certified Mark取得についてYahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得について
Masaru Kurahayashi2.7K views
OpenID Foundation Foundation Financial API (FAPI) WG by Nat Sakimura
OpenID Foundation Foundation Financial API (FAPI) WGOpenID Foundation Foundation Financial API (FAPI) WG
OpenID Foundation Foundation Financial API (FAPI) WG
Nat Sakimura13.9K views
OpenID Authentication by example by Chris Vertonghen
OpenID Authentication by exampleOpenID Authentication by example
OpenID Authentication by example
Chris Vertonghen24.3K views
Introduction to OpenID Connect by Nat Sakimura
Introduction to OpenID Connect Introduction to OpenID Connect
Introduction to OpenID Connect
Nat Sakimura18.3K views
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜 by Masaru Kurahayashi
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi4.9K views
ID連携概要 - OpenID TechNight vol.13 by Nov Matake
ID連携概要 - OpenID TechNight vol.13ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
Nov Matake37.1K views
今更聞けないOAuth2.0 by Takahiro Sato
今更聞けないOAuth2.0今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato68.9K views
JSX by Kazuho Oku
JSXJSX
JSX
Kazuho Oku34K views

Similar to Oidc how it solves your problems

ドコモのクラウドとビックデータJpi版 by
ドコモのクラウドとビックデータJpi版ドコモのクラウドとビックデータJpi版
ドコモのクラウドとビックデータJpi版Osaka University
5.8K views59 slides
クラウド時代の「ID管理」と「認証セキュリティ」 by
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
6.9K views44 slides
Joug(Oktaユーザーグループ)登壇資料 by
Joug(Oktaユーザーグループ)登壇資料Joug(Oktaユーザーグループ)登壇資料
Joug(Oktaユーザーグループ)登壇資料ssuserdf544a
562 views20 slides
スマートライフのパートナーを目指すドコモr&d(予告編) by
スマートライフのパートナーを目指すドコモr&d(予告編)スマートライフのパートナーを目指すドコモr&d(予告編)
スマートライフのパートナーを目指すドコモr&d(予告編)Osaka University
1.9K views40 slides
S3エコシステムのメリット (Cloudian Summit 2012) by
S3エコシステムのメリット (Cloudian Summit 2012)S3エコシステムのメリット (Cloudian Summit 2012)
S3エコシステムのメリット (Cloudian Summit 2012)CLOUDIAN KK
809 views11 slides
ビックデータとシリコンバレースタートアップ事情 by
ビックデータとシリコンバレースタートアップ事情ビックデータとシリコンバレースタートアップ事情
ビックデータとシリコンバレースタートアップ事情Osaka University
2.7K views42 slides

Similar to Oidc how it solves your problems(20)

ドコモのクラウドとビックデータJpi版 by Osaka University
ドコモのクラウドとビックデータJpi版ドコモのクラウドとビックデータJpi版
ドコモのクラウドとビックデータJpi版
Osaka University5.8K views
クラウド時代の「ID管理」と「認証セキュリティ」 by Tatsuya (達也) Katsuhara (勝原)
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
Tatsuya (達也) Katsuhara (勝原)6.9K views
Joug(Oktaユーザーグループ)登壇資料 by ssuserdf544a
Joug(Oktaユーザーグループ)登壇資料Joug(Oktaユーザーグループ)登壇資料
Joug(Oktaユーザーグループ)登壇資料
ssuserdf544a562 views
スマートライフのパートナーを目指すドコモr&d(予告編) by Osaka University
スマートライフのパートナーを目指すドコモr&d(予告編)スマートライフのパートナーを目指すドコモr&d(予告編)
スマートライフのパートナーを目指すドコモr&d(予告編)
Osaka University1.9K views
S3エコシステムのメリット (Cloudian Summit 2012) by CLOUDIAN KK
S3エコシステムのメリット (Cloudian Summit 2012)S3エコシステムのメリット (Cloudian Summit 2012)
S3エコシステムのメリット (Cloudian Summit 2012)
CLOUDIAN KK809 views
ビックデータとシリコンバレースタートアップ事情 by Osaka University
ビックデータとシリコンバレースタートアップ事情ビックデータとシリコンバレースタートアップ事情
ビックデータとシリコンバレースタートアップ事情
Osaka University2.7K views
Nttドコモ事例から見るモバイル&クラウド時代のサービス開発についてr4(public) by Osaka University
Nttドコモ事例から見るモバイル&クラウド時代のサービス開発についてr4(public)Nttドコモ事例から見るモバイル&クラウド時代のサービス開発についてr4(public)
Nttドコモ事例から見るモバイル&クラウド時代のサービス開発についてr4(public)
Osaka University9.7K views
ゼロから学ぶIoT by Masaru Takahashi
ゼロから学ぶIoTゼロから学ぶIoT
ゼロから学ぶIoT
Masaru Takahashi948 views
Mattermostが働き方を劇的改善!NRIの働き方改革の秘訣 by aslead
Mattermostが働き方を劇的改善!NRIの働き方改革の秘訣Mattermostが働き方を劇的改善!NRIの働き方改革の秘訣
Mattermostが働き方を劇的改善!NRIの働き方改革の秘訣
aslead 1.2K views
OAuth Security Workshop 2017 #osw17 by Tatsuo Kudo
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo2.1K views
AWS re:Inforce 2019 re:Cap LT by Hiroki Moriya
AWS re:Inforce 2019 re:Cap LTAWS re:Inforce 2019 re:Cap LT
AWS re:Inforce 2019 re:Cap LT
Hiroki Moriya5.5K views
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet by Midokura
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
Midokura4.2K views
Azure Network Security Group(NSG) はじめてのDeep Dive by Yoshimasa Katakura
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura5.5K views
Azureクラウドのネイティブアプリ、IoTとエッジAIの管理ソリューション by Jingun Jung
Azureクラウドのネイティブアプリ、IoTとエッジAIの管理ソリューションAzureクラウドのネイティブアプリ、IoTとエッジAIの管理ソリューション
Azureクラウドのネイティブアプリ、IoTとエッジAIの管理ソリューション
Jingun Jung131 views
SORACOM Discovery2019 H1新規事業立上げを支援するソラコムチームの活動とユーザー事例 by SORACOM,INC
SORACOM Discovery2019 H1新規事業立上げを支援するソラコムチームの活動とユーザー事例SORACOM Discovery2019 H1新規事業立上げを支援するソラコムチームの活動とユーザー事例
SORACOM Discovery2019 H1新規事業立上げを支援するソラコムチームの活動とユーザー事例
SORACOM,INC709 views
凄いWordPress2018 contents.nagoya by takashi ono
凄いWordPress2018 contents.nagoya凄いWordPress2018 contents.nagoya
凄いWordPress2018 contents.nagoya
takashi ono373 views
Cloudian for cloud stack days japan 2014 by CLOUDIAN KK
Cloudian for cloud stack days japan 2014Cloudian for cloud stack days japan 2014
Cloudian for cloud stack days japan 2014
CLOUDIAN KK1.3K views
IoT/M2M展基調講演 - 「IoTビジネスの新潮流」 by SORACOM玉川 (Japan IT week 2017) by SORACOM,INC
IoT/M2M展基調講演 - 「IoTビジネスの新潮流」 by SORACOM玉川 (Japan IT week 2017)IoT/M2M展基調講演 - 「IoTビジネスの新潮流」 by SORACOM玉川 (Japan IT week 2017)
IoT/M2M展基調講演 - 「IoTビジネスの新潮流」 by SORACOM玉川 (Japan IT week 2017)
SORACOM,INC3.2K views
≪インテル x ブロケード 特別対談≫ 2020年。どうなる?車とデータセンタの関係 ~SDxの、その先へ~ by Brocade
≪インテル x ブロケード 特別対談≫ 2020年。どうなる?車とデータセンタの関係 ~SDxの、その先へ~ ≪インテル x ブロケード 特別対談≫ 2020年。どうなる?車とデータセンタの関係 ~SDxの、その先へ~
≪インテル x ブロケード 特別対談≫ 2020年。どうなる?車とデータセンタの関係 ~SDxの、その先へ~
Brocade2.7K views
JAZUG_TOHOKU_modeki_20230324_共有版.pdf by Yuya Modeki
JAZUG_TOHOKU_modeki_20230324_共有版.pdfJAZUG_TOHOKU_modeki_20230324_共有版.pdf
JAZUG_TOHOKU_modeki_20230324_共有版.pdf
Yuya Modeki267 views

More from Nat Sakimura

FAPI and beyond - よりよいセキュリティのために by
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにNat Sakimura
2.1K views49 slides
OpenID in the Digital ID Landscape: A Perspective From the Past to the Future by
OpenID in the Digital ID Landscape: A Perspective From the Past to the FutureOpenID in the Digital ID Landscape: A Perspective From the Past to the Future
OpenID in the Digital ID Landscape: A Perspective From the Past to the FutureNat Sakimura
1.2K views54 slides
170724 JP/UK Open Banking Summit English Translation by
170724 JP/UK Open Banking Summit English Translation170724 JP/UK Open Banking Summit English Translation
170724 JP/UK Open Banking Summit English TranslationNat Sakimura
961 views44 slides
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates by
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 UpdatesIntroduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 UpdatesNat Sakimura
1.4K views54 slides
Introduction to the FAPI Read & Write OAuth Profile by
Introduction to the FAPI Read & Write OAuth ProfileIntroduction to the FAPI Read & Write OAuth Profile
Introduction to the FAPI Read & Write OAuth ProfileNat Sakimura
3.1K views40 slides
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG by
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WGNat Sakimura
13.2K views51 slides

More from Nat Sakimura(20)

FAPI and beyond - よりよいセキュリティのために by Nat Sakimura
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura2.1K views
OpenID in the Digital ID Landscape: A Perspective From the Past to the Future by Nat Sakimura
OpenID in the Digital ID Landscape: A Perspective From the Past to the FutureOpenID in the Digital ID Landscape: A Perspective From the Past to the Future
OpenID in the Digital ID Landscape: A Perspective From the Past to the Future
Nat Sakimura1.2K views
170724 JP/UK Open Banking Summit English Translation by Nat Sakimura
170724 JP/UK Open Banking Summit English Translation170724 JP/UK Open Banking Summit English Translation
170724 JP/UK Open Banking Summit English Translation
Nat Sakimura961 views
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates by Nat Sakimura
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 UpdatesIntroduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates
Nat Sakimura1.4K views
Introduction to the FAPI Read & Write OAuth Profile by Nat Sakimura
Introduction to the FAPI Read & Write OAuth ProfileIntroduction to the FAPI Read & Write OAuth Profile
Introduction to the FAPI Read & Write OAuth Profile
Nat Sakimura3.1K views
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG by Nat Sakimura
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
Nat Sakimura13.2K views
ブロックチェーン〜信頼の源泉の民主化のもたらす変革 by Nat Sakimura
ブロックチェーン〜信頼の源泉の民主化のもたらす変革ブロックチェーン〜信頼の源泉の民主化のもたらす変革
ブロックチェーン〜信頼の源泉の民主化のもたらす変革
Nat Sakimura2.5K views
Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic... by Nat Sakimura
Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic...Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic...
Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic...
Nat Sakimura1.7K views
OpenID Foundation FAPI WG: June 2017 Update by Nat Sakimura
OpenID Foundation FAPI WG: June 2017 UpdateOpenID Foundation FAPI WG: June 2017 Update
OpenID Foundation FAPI WG: June 2017 Update
Nat Sakimura74.6K views
Transient client secret extension by Nat Sakimura
Transient client secret extensionTransient client secret extension
Transient client secret extension
Nat Sakimura1.3K views
Nc 30 sakimura-distribution_0604 by Nat Sakimura
Nc 30 sakimura-distribution_0604Nc 30 sakimura-distribution_0604
Nc 30 sakimura-distribution_0604
Nat Sakimura1.9K views
Smartphone Native Application OP by Nat Sakimura
Smartphone Native Application OPSmartphone Native Application OP
Smartphone Native Application OP
Nat Sakimura1.4K views
Open idとcyber空間 by Nat Sakimura
Open idとcyber空間Open idとcyber空間
Open idとcyber空間
Nat Sakimura1.9K views
サイバー空間上の信頼フレームワークとパーソナルデータ経済 by Nat Sakimura
サイバー空間上の信頼フレームワークとパーソナルデータ経済サイバー空間上の信頼フレームワークとパーソナルデータ経済
サイバー空間上の信頼フレームワークとパーソナルデータ経済
Nat Sakimura3.2K views
Closing Note by Nat Sakimura
Closing NoteClosing Note
Closing Note
Nat Sakimura1.9K views
20110706 PIDSプロジェクト中間報告 by Nat Sakimura
20110706 PIDSプロジェクト中間報告20110706 PIDSプロジェクト中間報告
20110706 PIDSプロジェクト中間報告
Nat Sakimura1.8K views
Open id specifications_work_update-tokyo_2011 by Nat Sakimura
Open id specifications_work_update-tokyo_2011Open id specifications_work_update-tokyo_2011
Open id specifications_work_update-tokyo_2011
Nat Sakimura2.6K views
国民ID制度とトラスト・フレームワーク by Nat Sakimura
国民ID制度とトラスト・フレームワーク国民ID制度とトラスト・フレームワーク
国民ID制度とトラスト・フレームワーク
Nat Sakimura2K views
Introduction to OpenID TX proposed extension by Nat Sakimura
Introduction to OpenID TX proposed extensionIntroduction to OpenID TX proposed extension
Introduction to OpenID TX proposed extension
Nat Sakimura2.4K views
Sharing the Success of OpenID Japan Success by Nat Sakimura
Sharing the Success of OpenID Japan SuccessSharing the Success of OpenID Japan Success
Sharing the Success of OpenID Japan Success
Nat Sakimura1.4K views

Oidc how it solves your problems

  • 1. Cloud Identity Summit 2013 報告 OpenID Connectは、 あなたの課題をどう解いてくれる か? 2013/9/4 Nat Sakimura Nomura Research Institute Chairman, The OpenID Foundation @_nat_en http://nat.sakimura.org/
  • 2. © 2013 by Nomura Research Institute. All rights reserved. B2E Identity B2C Identity G2C Identity (source of pictures)Microsoft Office Online G2E Identity
  • 3. © 2013 by Nomura Research Institute. All rights reserved. 「エンプラにOpenID Connect っ て 関係あるの? コンシューマ向け技術じゃない の?」
  • 4. © 2013 by Nomura Research Institute. All rights reserved. Not quite. because I have very enterprizy background…
  • 5. © 2013 by Nomura Research Institute. All rights reserved. OpenID Connect は、エンプラ利用を念 頭において作られまし た。(コンシューマも だけど) クラウドサービスに アクセスガバナンス を作るのに有効です。
  • 6. © 2013 by Nomura Research Institute. All rights reserved. デファクトのフェデレーションと アクセスプロビジョニングプロト コルは何?
  • 7. © 2013 by Nomura Research Institute. All rights reserved. Identity Federation •SAML? Account Provisioning •SPML?
  • 8. © 2013 by Nomura Research Institute. All rights reserved.
  • 9. © 2013 by Nomura Research Institute. All rights reserved. Identity Federation •パスワード 共有 Account Provisioning •カスタム CSV
  • 10. © 2013 by Nomura Research Institute. All rights reserved. なぜ失敗したか?
  • 11. © 2013 by Nomura Research Institute. All rights reserved. 理解するのに難しすぎ。 認知上の困難さ -> 実装の困難さ プロダクト間の互換性の低さ ある大規模製造業: ▪ > 3000 partners all around the world ▪ Many of them were working with multiple companies ▪ Tried to create a SAML federation but failed.
  • 12. © 2013 by Nomura Research Institute. All rights reserved. CSV は簡単. • Excelあれば OK! • それに手動で 編集できる よ! パスワード共 有も簡単. • パスワードを サポートして いる全アプリ ケーションで 使えるよ!
  • 13. © 2013 by Nomura Research Institute. All rights reserved. やったね!
  • 14. © 2013 by Nomura Research Institute. All rights reserved. やったね???
  • 15. © 2013 by Nomura Research Institute. All rights reserved. 3人以上が知っているものは秘密 じゃない! 同期が崩れやすい。 手動編集はリスクだ。 De-provisioning? Archiving? 監査証跡は? etc…
  • 16. © 2013 by Nomura Research Institute. All rights reserved. #fail
  • 17. © 2013 by Nomura Research Institute. All rights reserved. やりなおしだ! 今回は、死ぬほど簡単に! 車輪の再発明?そうだ。 だけど、今回の車輪はもうちょっと丸い。
  • 18. © 2013 by Nomura Research Institute. All rights reserved. OpenID Connect & SCIM
  • 19. © 2013 by Nomura Research Institute. All rights reserved. SAML v.s. OpenID Connect SAML Web SSO OpenID Connect XML JSON XML Dsig JSON Web Signature (JWS) XML Encryption JSON Web Encryption (JWE) SAML JSON Web Token SAML Assertion ID Token (OIDC) SOAP (mostly…) REST SAML Web SSO Profile Standard (=OAuth 2.0 binding) SPML SCIM
  • 20. © 2013 by Nomura Research Institute. All rights reserved. identity 実体に関連する属性の集合 ISO/IEC 29115 | ITU-T X.1254 Note: distinguish identity and identifier carefully.
  • 21. © 2013 by Nomura Research Institute. All rights reserved. “identity”の例 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z
  • 22. © 2013 by Nomura Research Institute. All rights reserved. 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z logging User interface Access Contro info
  • 23. © 2013 by Nomura Research Institute. All rights reserved. Real Name Professional qualification department Geo-location Employee number Entity Identity Resource Authentication Policy Enforcement Rules
  • 24. © 2013 by Nomura Research Institute. All rights reserved. ABAC Based on SP800-162 figure on page viii identity Resource Rules entity
  • 25. © 2013 by Nomura Research Institute. All rights reserved. 要件 R1 • Access Control MUST be done with the dynamic attributes R2 • Identity MUST be provided from the authoritative source R3 • Need to be able to provide flexible security. R4 • Need to be dead simple. R5 • Interoperability is the king. R6 • Limited connection (esp. mobile) ready. R7 • Unified technology for enterprise and consumer.
  • 26. © 2013 by Nomura Research Institute. All rights reserved. 氏名 資格 部署 位置情報 社員番号 役職 Entity Identity Resource Authentication PEP PDP PAP / PIP Boss Metadata Log Log Application Accounts アカウント・プロビジョニング 認証 e.g., OpenID/SAML e.g., SCIM / SPML アクセス制御(認可) e.g., XACML/ JACML?
  • 27. © 2013 by Nomura Research Institute. All rights reserved. OpenID Connectの 実装経験より
  • 28. © 2013 by Nomura Research Institute. All rights reserved. ちゃんと MUST は守りましょう。 • いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んで いました。. アクセストークンを、IDトークン抜きで他のクライアント や機械に送らないように。 • トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for- authentication.html “code” や “token” のサーバーサイドでの処理の負荷には十 分気をつけること。 • ある実装では、2000 tr/秒 処理しているが、このようなときには、署 名処理・暗号化処理の負荷を十分気をつける必要あり。
  • 29. © 2013 by Nomura Research Institute. All rights reserved. 30