SlideShare a Scribd company logo
OpenIDファウンデーション・ジャパン
Enterprise Identity WG / 技術TF リーダー
八幡 孝(株式会社オージス総研)
OpenID Connect と SCIM の
エンタープライズ実装ガイドライン
解説
遂に公開!
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 1
OIDF-J EIWGって?
 OpenIDファウンデーション・ジャパン (OIDF-J)
 国内におけるOpenID関連技術の普及・啓蒙のための活動を行なっています。
 Enterprise Identity WG (EIWG)
 エンタープライズIT市場でOpenID ConnectやSCIMなどの仕様をベースとし
た、IDフェデレーションやIDプロビジョニングの普及を推進し、新たなビジ
ネスの創造・展開を図ることを目的に活動を行なっています。
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 2
技術TFの活動テーマ
 エンタープライズITとクラウドサービスを相互連携するため
のOIDC OP/RPおよびSCIMのサンプル実装を行なう。
 実装により明らかとなった課題と解決策をまとめる。
 以上の結果を「OpenID ConnectとSCIMのエンタープライ
ズ実装ガイドライン」としてまとめ、発行する。
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 3
今日は、ようやく完成した
『OpenID Connect と SCIM の
エンタープライズ実装ガイドライン』
のお話です。
j.mp/eiwg-guides-2016ガイドラインのダウンロードはこちら ➡
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 4
ガイドの位置づけ
 昨今、企業でのクラウドサービス利用が急速に進んできている。今後もよ
り多くの企業、より多くの業務へとクラウドサービスの利用が拡大する
ことが見込まれる。
 ID 連携技術である OpenID Connect と SCIM をとりあげ、OpenID Connect
を使った認証連携 (SSO) と、SCIM を使ったアイデンティ
ティ管理(ID 管理)により、利用企業の認証システムとクラウドサービスを相
互接続、相互運用するための、一般的かつ最小限の実装について解説。
OpenID Connect と SCIM を
使ったID連携実装
~実装ガイドラインの内容から
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 6
OpenID Connect
 2014年2月にローンチ
 複数の組織やアプリケーション間で
ユーザーの認証結果や属性情報をや
りとりするための技術仕様
 OpenID Connect Core 1.0 と、複数
の選択仕様
OpenID Connect 認可コードフローの例
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 7
SCIM
 2015年9月にSCIM2.0がRFC化
 RFC 7642, 7643, 7644
 アイデンティティデータのプロビ
ジョニングと管理を行なうための
技術仕様
リソース エンドポイント名 行なえる操作
ユーザー /Users GET, POST, PUT, PATCH, DELETE
グループ /Groups GET, POST, PUT, PATCH, DELETE
自分自身 /Me GET, POST, PUT, PATCH, DELETE
サービスプロバイダー
設定
/ServiceProviderConfig GET
リソースタイプ /ResourceTypes GET
スキーマ定義 /Schemas GET
バルク操作 /Bulk POST
検索 [prefix]/.search POST
属性名 サブ属性名 説明
userName ユーザー名(ユニークID)
name 名前
formatted フルネーム
familyName 姓
givenName 名
middleName ミドルネーム
honorificPrefix プレフィックス。Mr.など。
honorificSuffix サフィックス。三世、など。
displayName 表示名
nickName ニックネーム
profileUrl プロフィールが参照できるURL
title 役職
userType 職種
preferredLanguage 使用言語
locale 地域("en-US"形式)
timezone タイムゾーン
active 管理状態(trueならログイン可,falseなら不可など)
password パスワード(書き込み専用属性)
emails メールアドレス のリスト
phoneNumbers 電話番号 のリスト
ims インスタントメッセージのアドレス のリスト
photos ユーザーの写真のURL のリスト
addresses 住所 のリスト
formatted 表示用に整形された住所
streetAddress 番地、建物名など
locality 市区町村
region 都道府県
postalCode 郵便番号
country 国("US", "JP"などの短縮形式)
groups ユーザーが所属するグループ のリスト
entitlements ユーザーが持っている資格・権利 のリスト
roles ユーザーのロール のリスト
x509Certificates ユーザーの電子証明書 のリスト
SCIM Protocol [RFC 7644]
SCIM Core Schema [RFC 7643](ユーザーリソース)
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 8
技術標準に沿って実装すればOK?
 技術標準
 さまざまなユースケースに対応できるよう、広範囲に及ぶ
仕様が決められている。
 実装の現場
 どの方法でどこまで実装すればつながるの?という悩み。
 つなぐ相手によって実装範囲が異なるのもつらい。
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 9
一般的なID連携のケースを対象に整理
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 10
属性に注目したクラウドサービスの分類
 シンプルなユーザー情報を要求するクラウド
サービス
 多言語対応されたユーザー情報を要求するク
ラウドサービス
 日本特有の多階層の組織情報やそれに対応する役職
の情報を要求するクラウドサービス
実
装
ガ
イ
ド
が
タ
ー
ゲ
ッ
ト
と
す
る
ケ
ー
ス
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 11
連携のための初期設定のワークフロー
1. クラウドサービスが設定に必要な基本情報を利用企業へ提供する。
2. 利用企業のID管理サーバーでSCIMクライアントとしての設定を行
なう。
3. 利用企業の認証サーバーへクラウドサービスをRPとして登録する。
4. クラウドサービスに認証サーバーをOPとして登録する。
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 12
連携のための初期設定のワークフロー
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 13
ユーザー情報のプロビジョニング
 具体的なユーザーリソースのスキーマを定義
 相互連携に必要な属性をEIWG拡張リソースとして定義
 ユーザー情報の操作方法を定義
 作成 ➡ HTTP POST
 更新 ➡ HTTP PUT
 削除 ➡ HTTP DELETE で対応
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 14
ユーザー属性
属性 SCIM属性名 サブ属性名
ID管理サーバー上の識別子 externalId
サービス利用時のユーザー名 userName
企業OPでのログインID externalUserName
(*2)
IDトークンの識別子 idTokenClaims (*2) issuer
subject
従業員番号 employeeNumber
(*1)
名前(母国語) name formatted
familyName
givenName
表示用の名前(母国語) displayName
所属(主務・母国語) department (*1)
役職(主務・母国語) title
地域 locale
メールアドレス emails value
primary
属性 SCIM属性名 サブ属性名
電話番号 phoneNumbers type
value
primary
有効フラグ active
多言語表現の名前 localNames (*2) locale
formatted
givenName
display
primary
type
所属組織と役職 organizationalUnits
(*2)
local
value
name
display
titleValue
titleName
titleDisplay
primary
type
(*1) SCIM Core SchemaのEnterpriseUserで
定義された属性
(*2) EIWG拡張スキーマとして定義する属性
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 15
特別な意味を持つ属性
 ID 管理サーバー上の識別子 (externalId)
 サービス利用時のユーザー名 (userName)
 企業OPでのログインID (externalUserName)
 ID トークンのIssuerとSubject
(idTokenClaims.issuer, idTokenClaims.subject)
 有効フラグ (active)
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 16
ユーザー認証
 IDトークンの形式、含めるクレーム、署名アルゴリズム
 3つの認証フロー
 クラウドサービス起点のログイン
 利用企業起点のログイン
 再認証要求
 受け取ったIDトークンとユーザーの紐付け方式
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 17
その他
 強制ログアウト処理 (OpenID Connect Back-Channel Logout)
 IDトークン署名用キーペアの更新
 SCIM EPアクセス用パスワードの更新
 SCIM EPアクセス時のOAuthを使った認可への対応
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 18
具体的な実装内容を解説
 実装すべきエンドポイント、その振る舞い
 エンドポイントの呼び出し方、そのレスポンスの扱い方
 それぞれの視点で具体例を交えて実装方法を解説
 クラウドサービス事業者向け
➡ OpenID Connect RP, SCIM Server
 クラウドサービス利用企業向け
➡ OpenID Connect OP, SCIM Client
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 19
OpenID Connect RP(クライアント)の実装
認証フローの概要
ログイン開始エンドポイントの実装
利用企業の認証サーバーへの認証要求
▪通常の認証要求
▪再認証のための認証要求
利用企業の認証サーバーからの認証結果の受け取り
IDトークンの検証
認証されたユーザーとクラウドサービスのユーザーと
の紐付け
セッションの管理
強制ログアウト処理
利用企業の認証サーバーの公開鍵の取得
OpenID Connect OP (認証サーバー)の実装
認証フローの概要
クラウドサービスから認証要求を受け取る
▪通常の認証要求
▪再認証のための認証要求
ユーザーを認証する
ユーザーに認証連携の同意を得る
クラウドサービスへ認証結果を返す
IDトークン
▪JOSEヘッダ
▪IDトークンに格納するクレーム
▪IDトークンの署名
ユーザーセッションを強制ログアウトする
公開鍵の公開(JWK Setエンドポイントの実装)
具体的な実装方法を解説
クラウドサービス事業者が実装すること クラウド利用企業が実装すること
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 20
具体的な実装方法を解説
クラウドサービス事業者が実装すること クラウド利用企業が実装すること
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 21
SCIMサーバーの実装
Userエンドポイントの実装
▪ユーザーの作成 (POST)
▪ リクエストの受け取り
▪ クラウドサービスのユーザーとして登録
▪ 登録結果の応答
▪ユーザーの更新 (PUT)
▪ユーザーの削除 (DELETE)
検索エンドポイントの実装
▪ユーザーの検索
ユーザーデータの検証
エンドポイントアクセス時の認証
利用企業の管理者向け機能の実装
OpenID Connect OP(認証サーバー)登録機能
SCIMクライアント(ID管理サーバー)登録機能
管理者向け機能利用時の認証方式
SCIMクライアントの実装
ユーザー情報の操作
▪ユーザーの作成
▪ユーザーの更新
▪ユーザーリソース識別子 (id) の取得
▪ユーザー情報の更新
▪ユーザーの削除
▪エラー応答
エンドポイントアクセス時の認証
具体的な実装方法を解説
クラウドサービス事業者が実装すること クラウド利用企業が実装すること
OpenID Connect と SCIM の
エンプラIT での活用
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 23
SCIMのクラウドサービスでの実装が進む
 Salesforce
 Microsoft Azure AD
 SAP HANA
 Slack
 …
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 24
エンプラでのID連携ユースケース
 クラウド利用時のセキュリティ強化
 グループ、グローバルでの情報共有・IT相互利用
 取引先との情報共有・IT相互利用
ID & IT Management Conference 2015
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 25
クラウド利用時のセキュリティ強化
シングルサインオン
システム
ID管理システム
Office 365
Salesforce
cybozu.com
多要素認証
リスクベース
認証
認証
企業内ネットワーク
認証連携
JITプロビジョニング
IDのプロビジョニング
IDのデプロビジョニング
モバイル・
テレワーク
認証
 統一された認証機能の利用
 企業の定めた認証ポリシーを適用
 クラウドサービスへのパスワード提供、
パスワード管理が不要
ID & IT Management Conference 2015
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 26
グループ、グローバルでの情報共有・IT相互利用
ID & IT Management Conference 2015
シングルサインオン
システム
ID管理システム
企業内ネットワーク グループ企業・海外拠点
シングルサインオン
システム
ID管理システム
自社システム
グループ企業
のシステム
 単一のIDでの自社システム、グループ企
業システムの相互利用
 グループ、拠点毎の自立的管理・運用
 M&Aでの迅速なシステム統合の実現
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 27
取引先との情報共有・IT相互利用
ID & IT Management Conference 2015
シングルサインオン
システム
HUB企業
シングルサインオン
システム
EDI
SPOKE企業
シングルサインオン
システムSCM
SPOKE企業
シングルサインオン
システム
HUB企業
EDI
SCM
 接続してくるSPOKE企業のID管
理、パスワード管理からの開放
 取引先HUB企業毎に異なる認証
方法、認証強化策からの開放
 担当者交代時の手続きの簡略化
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved.
+
Demo
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 29
デモ構成
OpenAM
(OpenID Provider)
OpenDJ
(LDAP & SCIM
Server)
App
(Relying Party)
SCIMによる
ユーザー操作アプリ
アクセス
認証・
認証連携
ユーザー
詳細情報の
利用
まとめ
Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 31
まとめ
 これからはエンプラでもID連携が重要になる
 OpenID Connect と SCIM でID連携
 実装ガイドに沿った実装で、ID連携を広めよう
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説

More Related Content

What's hot

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告
Masaru Kurahayashi
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overview
mtisol
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problemsNat Sakimura
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveNov Matake
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
 
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectYAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectRyo Ito
 
Yahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得についてYahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得について
Masaru Kurahayashi
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
Tatsuo Kudo
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
Tatsuo Kudo
 
FIDOのキホン
FIDOのキホンFIDOのキホン

What's hot (20)

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overview
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
Oidc how it solves your problems
Oidc how it solves your problemsOidc how it solves your problems
Oidc how it solves your problems
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
 
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectYAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
 
Yahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得についてYahoo! JAPANのOpenID Certified Mark取得について
Yahoo! JAPANのOpenID Certified Mark取得について
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホン
 

Viewers also liked

SSL入門
SSL入門SSL入門
SSL入門
Takeru Ujinawa
 
SHA-256を学ぼうとする
SHA-256を学ぼうとするSHA-256を学ぼうとする
SHA-256を学ぼうとする
Takeru Ujinawa
 
Etherpad-lite導入
Etherpad-lite導入Etherpad-lite導入
Etherpad-lite導入
Takeru Ujinawa
 
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様OpenID Foundation Japan
 
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
OpenID Foundation Japan
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
 

Viewers also liked (6)

SSL入門
SSL入門SSL入門
SSL入門
 
SHA-256を学ぼうとする
SHA-256を学ぼうとするSHA-256を学ぼうとする
SHA-256を学ぼうとする
 
Etherpad-lite導入
Etherpad-lite導入Etherpad-lite導入
Etherpad-lite導入
 
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
 
110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka110728 Trust Framework - Shingo Yamanaka
110728 Trust Framework - Shingo Yamanaka
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 

Similar to 『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説

Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
Device WebAPI Consortium
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
briscola-tokyo
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenID Foundation Japan
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
オラクルエンジニア通信
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Toru Yamaguchi
 
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介Daisuke Fuke
 
いま、エンタープライズIdに求められるもの
いま、エンタープライズIdに求められるものいま、エンタープライズIdに求められるもの
いま、エンタープライズIdに求められるものEgawa Junichi
 
第一回Soft layer勉強会 グローバル分散アーキテクチャ
第一回Soft layer勉強会 グローバル分散アーキテクチャ第一回Soft layer勉強会 グローバル分散アーキテクチャ
第一回Soft layer勉強会 グローバル分散アーキテクチャ
Maho Takara
 
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」KDDI
 
クラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げようクラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げよう
亮介 山口
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
Naohiro Fujie
 
xrdpを使ったお手軽BYOD環境の構築
xrdpを使ったお手軽BYOD環境の構築xrdpを使ったお手軽BYOD環境の構築
xrdpを使ったお手軽BYOD環境の構築
iCRAFT Corp. (アイクラフト株式会社)
 

Similar to 『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説 (20)

Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
Dfuke oidfj tn10
Dfuke oidfj tn10Dfuke oidfj tn10
Dfuke oidfj tn10
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説  - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
 
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
第32回「SDNをみんなのものに。OpenDaylight Projectの試みとSDN 2014年への期待。」(2013/12/19 on しすなま!)
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介
 
いま、エンタープライズIdに求められるもの
いま、エンタープライズIdに求められるものいま、エンタープライズIdに求められるもの
いま、エンタープライズIdに求められるもの
 
第一回Soft layer勉強会 グローバル分散アーキテクチャ
第一回Soft layer勉強会 グローバル分散アーキテクチャ第一回Soft layer勉強会 グローバル分散アーキテクチャ
第一回Soft layer勉強会 グローバル分散アーキテクチャ
 
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」
AWS Summit 2016 「新規事業 "auでんき”をクラウドスピードでサービスイン」
 
クラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げようクラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げよう
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
 
xrdpを使ったお手軽BYOD環境の構築
xrdpを使ったお手軽BYOD環境の構築xrdpを使ったお手軽BYOD環境の構築
xrdpを使ったお手軽BYOD環境の構築
 

Recently uploaded

Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024
Hirotaka Kawata
 
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
Shinichi Hirauchi
 
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
OSgeo Japan
 
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
Osaka University
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
Yuki Miyazaki
 
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
Hideo Kashioka
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
sugiuralab
 
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT  vol112 発表資料)ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT  vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
Takuya Minagawa
 
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
Seiya Shimabukuro
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
ARISE analytics
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
kitamisetagayaxxx
 
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
iPride Co., Ltd.
 
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDDなぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
ssuserfcafd1
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
Osaka University
 

Recently uploaded (14)

Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024Kotest を使って 快適にテストを書こう - KotlinFest 2024
Kotest を使って 快適にテストを書こう - KotlinFest 2024
 
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
 
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
一般社団法人OSGeo日本支部団体紹介用スライド2024年版。OSGeo日本支部とFOSS4Gの紹介
 
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
生成AIの実利用に必要なこと-Practical Requirements for the Deployment of Generative AI
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
 
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
実体験に基づく、成功するスクラム vs 失敗するスクラム 何が違う? 2024年6月22日
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
 
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT  vol112 発表資料)ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT  vol112 発表資料)
ろくに電子工作もしたことない人間がIoT用ミドルウェアを作った話(IoTLT vol112 発表資料)
 
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
20240621_AI事業者ガイドライン_セキュリティパートの紹介_SeiyaShimabukuro
 
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
 
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
Microsoft Azureで生成AIを使ってみた話 2024/6/14の勉強会で発表されたものです。
 
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDDなぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
なぜそのDDDは効果が薄いのか?名ばかりDX案件での経験を踏まえて培った他の思考を交えた現代風?のDDD
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
 

『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説

  • 1. OpenIDファウンデーション・ジャパン Enterprise Identity WG / 技術TF リーダー 八幡 孝(株式会社オージス総研) OpenID Connect と SCIM の エンタープライズ実装ガイドライン 解説 遂に公開!
  • 2. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 1 OIDF-J EIWGって?  OpenIDファウンデーション・ジャパン (OIDF-J)  国内におけるOpenID関連技術の普及・啓蒙のための活動を行なっています。  Enterprise Identity WG (EIWG)  エンタープライズIT市場でOpenID ConnectやSCIMなどの仕様をベースとし た、IDフェデレーションやIDプロビジョニングの普及を推進し、新たなビジ ネスの創造・展開を図ることを目的に活動を行なっています。
  • 3. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 2 技術TFの活動テーマ  エンタープライズITとクラウドサービスを相互連携するため のOIDC OP/RPおよびSCIMのサンプル実装を行なう。  実装により明らかとなった課題と解決策をまとめる。  以上の結果を「OpenID ConnectとSCIMのエンタープライ ズ実装ガイドライン」としてまとめ、発行する。
  • 4. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 3 今日は、ようやく完成した 『OpenID Connect と SCIM の エンタープライズ実装ガイドライン』 のお話です。 j.mp/eiwg-guides-2016ガイドラインのダウンロードはこちら ➡
  • 5. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 4 ガイドの位置づけ  昨今、企業でのクラウドサービス利用が急速に進んできている。今後もよ り多くの企業、より多くの業務へとクラウドサービスの利用が拡大する ことが見込まれる。  ID 連携技術である OpenID Connect と SCIM をとりあげ、OpenID Connect を使った認証連携 (SSO) と、SCIM を使ったアイデンティ ティ管理(ID 管理)により、利用企業の認証システムとクラウドサービスを相 互接続、相互運用するための、一般的かつ最小限の実装について解説。
  • 6. OpenID Connect と SCIM を 使ったID連携実装 ~実装ガイドラインの内容から
  • 7. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 6 OpenID Connect  2014年2月にローンチ  複数の組織やアプリケーション間で ユーザーの認証結果や属性情報をや りとりするための技術仕様  OpenID Connect Core 1.0 と、複数 の選択仕様 OpenID Connect 認可コードフローの例
  • 8. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 7 SCIM  2015年9月にSCIM2.0がRFC化  RFC 7642, 7643, 7644  アイデンティティデータのプロビ ジョニングと管理を行なうための 技術仕様 リソース エンドポイント名 行なえる操作 ユーザー /Users GET, POST, PUT, PATCH, DELETE グループ /Groups GET, POST, PUT, PATCH, DELETE 自分自身 /Me GET, POST, PUT, PATCH, DELETE サービスプロバイダー 設定 /ServiceProviderConfig GET リソースタイプ /ResourceTypes GET スキーマ定義 /Schemas GET バルク操作 /Bulk POST 検索 [prefix]/.search POST 属性名 サブ属性名 説明 userName ユーザー名(ユニークID) name 名前 formatted フルネーム familyName 姓 givenName 名 middleName ミドルネーム honorificPrefix プレフィックス。Mr.など。 honorificSuffix サフィックス。三世、など。 displayName 表示名 nickName ニックネーム profileUrl プロフィールが参照できるURL title 役職 userType 職種 preferredLanguage 使用言語 locale 地域("en-US"形式) timezone タイムゾーン active 管理状態(trueならログイン可,falseなら不可など) password パスワード(書き込み専用属性) emails メールアドレス のリスト phoneNumbers 電話番号 のリスト ims インスタントメッセージのアドレス のリスト photos ユーザーの写真のURL のリスト addresses 住所 のリスト formatted 表示用に整形された住所 streetAddress 番地、建物名など locality 市区町村 region 都道府県 postalCode 郵便番号 country 国("US", "JP"などの短縮形式) groups ユーザーが所属するグループ のリスト entitlements ユーザーが持っている資格・権利 のリスト roles ユーザーのロール のリスト x509Certificates ユーザーの電子証明書 のリスト SCIM Protocol [RFC 7644] SCIM Core Schema [RFC 7643](ユーザーリソース)
  • 9. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 8 技術標準に沿って実装すればOK?  技術標準  さまざまなユースケースに対応できるよう、広範囲に及ぶ 仕様が決められている。  実装の現場  どの方法でどこまで実装すればつながるの?という悩み。  つなぐ相手によって実装範囲が異なるのもつらい。
  • 10. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 9 一般的なID連携のケースを対象に整理
  • 11. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 10 属性に注目したクラウドサービスの分類  シンプルなユーザー情報を要求するクラウド サービス  多言語対応されたユーザー情報を要求するク ラウドサービス  日本特有の多階層の組織情報やそれに対応する役職 の情報を要求するクラウドサービス 実 装 ガ イ ド が タ ー ゲ ッ ト と す る ケ ー ス
  • 12. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 11 連携のための初期設定のワークフロー 1. クラウドサービスが設定に必要な基本情報を利用企業へ提供する。 2. 利用企業のID管理サーバーでSCIMクライアントとしての設定を行 なう。 3. 利用企業の認証サーバーへクラウドサービスをRPとして登録する。 4. クラウドサービスに認証サーバーをOPとして登録する。
  • 13. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 12 連携のための初期設定のワークフロー
  • 14. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 13 ユーザー情報のプロビジョニング  具体的なユーザーリソースのスキーマを定義  相互連携に必要な属性をEIWG拡張リソースとして定義  ユーザー情報の操作方法を定義  作成 ➡ HTTP POST  更新 ➡ HTTP PUT  削除 ➡ HTTP DELETE で対応
  • 15. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 14 ユーザー属性 属性 SCIM属性名 サブ属性名 ID管理サーバー上の識別子 externalId サービス利用時のユーザー名 userName 企業OPでのログインID externalUserName (*2) IDトークンの識別子 idTokenClaims (*2) issuer subject 従業員番号 employeeNumber (*1) 名前(母国語) name formatted familyName givenName 表示用の名前(母国語) displayName 所属(主務・母国語) department (*1) 役職(主務・母国語) title 地域 locale メールアドレス emails value primary 属性 SCIM属性名 サブ属性名 電話番号 phoneNumbers type value primary 有効フラグ active 多言語表現の名前 localNames (*2) locale formatted givenName display primary type 所属組織と役職 organizationalUnits (*2) local value name display titleValue titleName titleDisplay primary type (*1) SCIM Core SchemaのEnterpriseUserで 定義された属性 (*2) EIWG拡張スキーマとして定義する属性
  • 16. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 15 特別な意味を持つ属性  ID 管理サーバー上の識別子 (externalId)  サービス利用時のユーザー名 (userName)  企業OPでのログインID (externalUserName)  ID トークンのIssuerとSubject (idTokenClaims.issuer, idTokenClaims.subject)  有効フラグ (active)
  • 17. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 16 ユーザー認証  IDトークンの形式、含めるクレーム、署名アルゴリズム  3つの認証フロー  クラウドサービス起点のログイン  利用企業起点のログイン  再認証要求  受け取ったIDトークンとユーザーの紐付け方式
  • 18. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 17 その他  強制ログアウト処理 (OpenID Connect Back-Channel Logout)  IDトークン署名用キーペアの更新  SCIM EPアクセス用パスワードの更新  SCIM EPアクセス時のOAuthを使った認可への対応
  • 19. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 18 具体的な実装内容を解説  実装すべきエンドポイント、その振る舞い  エンドポイントの呼び出し方、そのレスポンスの扱い方  それぞれの視点で具体例を交えて実装方法を解説  クラウドサービス事業者向け ➡ OpenID Connect RP, SCIM Server  クラウドサービス利用企業向け ➡ OpenID Connect OP, SCIM Client
  • 20. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 19 OpenID Connect RP(クライアント)の実装 認証フローの概要 ログイン開始エンドポイントの実装 利用企業の認証サーバーへの認証要求 ▪通常の認証要求 ▪再認証のための認証要求 利用企業の認証サーバーからの認証結果の受け取り IDトークンの検証 認証されたユーザーとクラウドサービスのユーザーと の紐付け セッションの管理 強制ログアウト処理 利用企業の認証サーバーの公開鍵の取得 OpenID Connect OP (認証サーバー)の実装 認証フローの概要 クラウドサービスから認証要求を受け取る ▪通常の認証要求 ▪再認証のための認証要求 ユーザーを認証する ユーザーに認証連携の同意を得る クラウドサービスへ認証結果を返す IDトークン ▪JOSEヘッダ ▪IDトークンに格納するクレーム ▪IDトークンの署名 ユーザーセッションを強制ログアウトする 公開鍵の公開(JWK Setエンドポイントの実装) 具体的な実装方法を解説 クラウドサービス事業者が実装すること クラウド利用企業が実装すること
  • 21. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 20 具体的な実装方法を解説 クラウドサービス事業者が実装すること クラウド利用企業が実装すること
  • 22. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 21 SCIMサーバーの実装 Userエンドポイントの実装 ▪ユーザーの作成 (POST) ▪ リクエストの受け取り ▪ クラウドサービスのユーザーとして登録 ▪ 登録結果の応答 ▪ユーザーの更新 (PUT) ▪ユーザーの削除 (DELETE) 検索エンドポイントの実装 ▪ユーザーの検索 ユーザーデータの検証 エンドポイントアクセス時の認証 利用企業の管理者向け機能の実装 OpenID Connect OP(認証サーバー)登録機能 SCIMクライアント(ID管理サーバー)登録機能 管理者向け機能利用時の認証方式 SCIMクライアントの実装 ユーザー情報の操作 ▪ユーザーの作成 ▪ユーザーの更新 ▪ユーザーリソース識別子 (id) の取得 ▪ユーザー情報の更新 ▪ユーザーの削除 ▪エラー応答 エンドポイントアクセス時の認証 具体的な実装方法を解説 クラウドサービス事業者が実装すること クラウド利用企業が実装すること
  • 23. OpenID Connect と SCIM の エンプラIT での活用
  • 24. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 23 SCIMのクラウドサービスでの実装が進む  Salesforce  Microsoft Azure AD  SAP HANA  Slack  …
  • 25. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 24 エンプラでのID連携ユースケース  クラウド利用時のセキュリティ強化  グループ、グローバルでの情報共有・IT相互利用  取引先との情報共有・IT相互利用 ID & IT Management Conference 2015
  • 26. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 25 クラウド利用時のセキュリティ強化 シングルサインオン システム ID管理システム Office 365 Salesforce cybozu.com 多要素認証 リスクベース 認証 認証 企業内ネットワーク 認証連携 JITプロビジョニング IDのプロビジョニング IDのデプロビジョニング モバイル・ テレワーク 認証  統一された認証機能の利用  企業の定めた認証ポリシーを適用  クラウドサービスへのパスワード提供、 パスワード管理が不要 ID & IT Management Conference 2015
  • 27. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 26 グループ、グローバルでの情報共有・IT相互利用 ID & IT Management Conference 2015 シングルサインオン システム ID管理システム 企業内ネットワーク グループ企業・海外拠点 シングルサインオン システム ID管理システム 自社システム グループ企業 のシステム  単一のIDでの自社システム、グループ企 業システムの相互利用  グループ、拠点毎の自立的管理・運用  M&Aでの迅速なシステム統合の実現
  • 28. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 27 取引先との情報共有・IT相互利用 ID & IT Management Conference 2015 シングルサインオン システム HUB企業 シングルサインオン システム EDI SPOKE企業 シングルサインオン システムSCM SPOKE企業 シングルサインオン システム HUB企業 EDI SCM  接続してくるSPOKE企業のID管 理、パスワード管理からの開放  取引先HUB企業毎に異なる認証 方法、認証強化策からの開放  担当者交代時の手続きの簡略化
  • 29. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. + Demo
  • 30. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 29 デモ構成 OpenAM (OpenID Provider) OpenDJ (LDAP & SCIM Server) App (Relying Party) SCIMによる ユーザー操作アプリ アクセス 認証・ 認証連携 ユーザー 詳細情報の 利用
  • 32. Copyright © 2016 OpenID Foundation Japan. All Rights Reserved. 31 まとめ  これからはエンプラでもID連携が重要になる  OpenID Connect と SCIM でID連携  実装ガイドに沿った実装で、ID連携を広めよう