Ryo Ito, profile picture
Uploaded byRyo Ito
16,968 views

YAPC::Tokyo 2013 ritou OpenID Connect

Embed presentation

OpenID Connect これが最新のOpenID仕様だッ! Ryo Ito (@ritou) YAPC::Asia Tokyo 2013
自己紹介 ● Ryo Ito (@ritou) ○ 株式会社ミクシィ 研究開発グループ ○ OpenID ファウンデーション・ジャパン エヴァンジェリスト ○ http://d.hatena.ne.jp/ritou/ ○ @IT デジタル・アイデンティティ技術最新動向 「OpenID Connect」を理解する http://www.atmarkit.co. jp/ait/articles/1209/27/news138.html
1. OpenID Connectとは?
OpenIDとOAuthの違い ● OpenID : 異なるサービス間でユーザーの認証 情報をやりとりする仕様 ● OAuth : 異なるサービス間でAPIアクセスを実 現するしくみ
アイデンティティ技術のトレンド ● Webアプリ間でアカウント連携 ○ OpenID 2.0 ○ 2008年頃から ● Webアプリ間のAPI連携 ○ OAuth 1.0 ○ 2009年頃から ● Webアプリ + ネイティブアプリ間のAPI連携 ○ OAuth 2.0 ○ 2010年頃から
OAuth認証とは ● OAuthはAPIアクセスのための仕様だが・・・ ● プロフィールAPIでユーザー識別子を取得して SSOに使っちゃおう!!!的な発想
OAuth認証とは ● OAuthはAPIアクセスのための仕様だが・・・ ● プロフィールAPIでユーザー識別子を取得して SSOに使っちゃおう!!!的な発想 ○ 独自API ○ OAuth 2.0ではモバイルアプリに広く使われるフローで セキュリティリスクが発生
OpenID Connectとは ● OAuth 2.0をベースに, アイデンティティ層を拡 張した仕様 ○ 認証結果の受け渡し + APIアクセス認可を同時に行う ● OpenIDファウンデーションで仕様策定中 ○ 現在Implementer's Draft ○ 日本人も関わっている
難しそう? ミニマムな実装としては, 下記の2点だけ ● ID Tokenで認証/認可情報を受け渡し ● 標準的な属性情報提供API
Source : http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html OPにリダイレクトして同意
Source : http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html POST リクエストを送り、 アクセストークンと ID Tokenを取得
Source : http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html メールアドレスなど 属性情報を取得
認証/認可の情報を含むID Token ● 認可情報 ○ どこの : OP識別子 ○ だれが : ユーザー識別子 ○ いつ : タイムスタンプ ○ どこに : RP識別子 ● 認証の情報 ○ 認証時刻 ○ 認証方式
トークン文字列はJSON Web Token形式 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 . eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsIn N1YiI6IjI0NDAwMzIwIiwiYXVkIjoiczZCaGRSa3F0MyIsIm5v bmNlIjoibi0wUzZfV3pBMk1qIiwiZXhwIjoxMzExMjgxOTcwL CJpYXQiOjEzMTEyODA5NzAsImF1dGhfdGltZSI6MTMxM TI4MDk2OSwidHlwIjoiSldUIn0 . LbJA_DmSR5R3Sa79xqtG9sU8uy1Sm8KG1V8VBJOby4E
トークン文字列はJSON Web Token形式 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 ↑メタデータをBase64 URL エンコードしたもの . ←ピリオドで連結 eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsIn N1YiI6IjI0NDAwMzIwIiwiYXVkIjoiczZCaGRSa3F0MyIsIm5v bmNlIjoibi0wUzZfV3pBMk1qIiwiZXhwIjoxMzExMjgxOTcwL CJpYXQiOjEzMTEyODA5NzAsImF1dGhfdGltZSI6MTMxM TI4MDk2OSwidHlwIjoiSldUIn0 ↑送りたいデータをBase64 URL エンコードしたもの . LbJA_DmSR5R3Sa79xqtG9sU8uy1Sm8KG1V8VBJOby4E ↑署名をBase64 URLエンコードしたもの
ユーザーの属性情報を提供するAPI scopeの値に関連付けられた属性情報を提供 ● openid : ユーザー識別子 ● profile : プロフィール情報 ● email : メアド + 確認状態 ● phone : 電話番号 + 確認状態 ● address : 住所情報
その他 ● 動的なRP登録, 探索 ● ユーザー認証周りのリクエストパラメータ ● 署名つき/暗号化されたリクエスト ● 属性情報の集約/分散
モバイル端末とIdentity モバイル端末自体の識別はけっこう難しい ● デバイス固有な識別子? ○ かんたんログインのセキュリティ/プライバシー問題 ● ある程度セキュアな領域は提供されている ○ iOS KeyChain ○ Android KeyStore
Self-Issued OP : デバイス内OP モバイル/WebアプリはカスタムURIスキームにて リクエストを送信 ● openid:// 端末内でOPとして動作するアプリ or Native機能 がOPとなる ● デバイス内でユニークな鍵ペアを生成 ● 公開鍵をPayloadに含む ● 秘密鍵で署名してID Tokenを作成
Self-Issued OP : デバイス内OP 利用するモバイル/Webアプリのメリット ● 公開鍵のハッシュ値から、どの端末を利用して いるかを識別可能 ● タイムスタンプ/署名により改ざんが難しい ● ユーザーの同意を得るしくみがある
Self-Issued OP : デバイス内OP いくつか課題が残っている ● 信頼性(OS機能じゃないとNG?) ● 名寄せ防止のための複数の鍵ペア生成 ネイティブアプリを作っていてより厳密なデバイス 識別をやりたいところは使えると思う
2. OIDC::Lite
OIDC::Lite ● OAuth 2.0のServer/Client向けライブラリであ るOAuth::Lite2を拡張 ● https://metacpan.org/module/OIDC::Lite ● https://github.com/ritou/p5-oidc-lite
Source : http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
RP(Client)向け機能 ● 認可要求のURL生成 ● アクセストークン、IDトークンの要求 ● レスポンスの検証 LWP使って手動でリクエストを書き, レスポンスを JSONデコードするよりは楽
OP(Server)向け機能 ● 各エンドポイント毎に”一連の手続き”を実装 ● Authorization Endpoint ○ リクエストパラメータの検証 ○ ユーザー同意/拒否後のレスポンス生成 ○ 同意画面表示のあたりで上記メソッドを使う ● Token Endpoint ○ 各grant_type単位の処理を実装 ○ psgiアプリケーション ● Protected Resource ○ Access Tokenを検証しユーザーIDなどをAPIに必要な 値を環境変数にセット ○ PlackのMiddleware
OP(Server)向け機能 利用者が行うこと ● Access Token(アクセストークン), AuthInfo(認 可情報)の保存部分などを実装 ○ あらかじめ用意されているのはアクセサのみ ○ DBに入れたりキャッシュに保存したり ● DataHandlerに定義されている処理を実装 ○ client_idなどの検証 ○ 上記クラスの生成/更新処理
難しそう? ● サンプルOP/RP作りました ○ https://github.com/ritou/p5-oidc-lite-demo-server ○ https://github.com/ritou/p5-oidc-lite-demo-client ● デモ ○ http://demo-client.openidconnect.info/ ○ http://demo-server.openidconnect.info/ ● ブログエントリも書きました ○ http://d.hatena.ne.jp/ritou/
サンプルOP/RP ● 目的 ○ ライブラリの使い勝手を確認 ○ OP/RPの実装例を公開 ○ 誰でもInterop! ● carton install + plackupで簡単に起動
サンプルOP : Authorization Requestの表示
サンプルOP : Authorization Responseの表示
サンプルRP : Access Token Req/Resの表示
サンプルRP : ID Tokenの内容/属性情報の表示
まとめ ● OpenID Connect ○ OAuth 2.0にIdentity層を追加する拡張 ○ ミニマムな実装はID Tokenと属性提供API ○ Self-Issued OPでデバイス特定 ● OIDC::Lite ○ OAuth::Lite2を拡張したOP/RP向けライブラリ ○ サンプルOP/RPもあります
終わり OpenIDやOAuthについての質問や疑問がありま したら @ritou までお気軽に声をかけてください!!!

More Related Content

PDF
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
byRyo Ito
 
PDF
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
byNov Matake
 
PDF
OAuth認証再考からのOpenID Connect #devlove
byNov Matake
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PDF
マイクロWebアプリケーション - Developers.IO 2016
by都元ダイスケ Miyamoto
 
PDF
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
byRyo Ito
 
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
byNov Matake
 
OAuth認証再考からのOpenID Connect #devlove
byNov Matake
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
マイクロWebアプリケーション - Developers.IO 2016
by都元ダイスケ Miyamoto
 
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 

What's hot

PDF
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
PDF
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
PDF
安全なID連携のハウツー
byMasaru Kurahayashi
 
PDF
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
PDF
OpenID TechNight Vol. 11 - Call to Action
byTatsuo Kudo
 
PPTX
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
PDF
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
PPTX
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
PDF
Standard-based Identity (1)
byMasaru Kurahayashi
 
PDF
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 
PDF
実装して理解するLINE LoginとOpenID Connect入門
byNaohiro Fujie
 
PDF
JWT Translation #technight
byNov Matake
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PDF
ID & IT 2013 - OpenID Connect Hands-on
byNov Matake
 
PDF
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
PDF
Authlete overview
bymtisol
 
PDF
Tokbind-fido
byKaoru Maeda
 
PDF
OpenID-TechNight-11-LT-mixi
byRyo Ito
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
安全なID連携のハウツー
byMasaru Kurahayashi
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
OpenID TechNight Vol. 11 - Call to Action
byTatsuo Kudo
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
Standard-based Identity (1)
byMasaru Kurahayashi
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 
実装して理解するLINE LoginとOpenID Connect入門
byNaohiro Fujie
 
JWT Translation #technight
byNov Matake
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
ID & IT 2013 - OpenID Connect Hands-on
byNov Matake
 
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
Authlete overview
bymtisol
 
Tokbind-fido
byKaoru Maeda
 
OpenID-TechNight-11-LT-mixi
byRyo Ito
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 

Similar to YAPC::Tokyo 2013 ritou OpenID Connect

PDF
OpenID Connect入門
by土岐 孝平
 
PDF
OCHaCafe#5 - 避けては通れない!認証・認可
byオラクルエンジニア通信
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
PDF
Oauth2.0とか(認証と認可)_201403
byShunsuke Mihara
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
PPTX
OIDC(OpenID Connect)について解説①
byiPride Co., Ltd.
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PPTX
OAuth2基礎知識
bysokamo1975
 
PDF
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 
PPT
O Auth
byTaizo Matsuoka
 
PPTX
既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】
byWESEEKWESEEK
 
PDF
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
PDF
ゼロからはじめるサーバーサイド Vol2
byTaichi Inaba
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
Whats wrong oauth_authn
byNov Matake
 
PPTX
OpenID Connect Flowの種類と使い道
byiPride Co., Ltd.
 
OpenID Connect入門
by土岐 孝平
 
OCHaCafe#5 - 避けては通れない!認証・認可
byオラクルエンジニア通信
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
Oauth2.0とか(認証と認可)_201403
byShunsuke Mihara
 
金融向けoへの認証の導入
byFIDO Alliance
 
OIDC(OpenID Connect)について解説①
byiPride Co., Ltd.
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
OAuth2基礎知識
bysokamo1975
 
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 
O Auth
byTaizo Matsuoka
 
既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】
byWESEEKWESEEK
 
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
ゼロからはじめるサーバーサイド Vol2
byTaichi Inaba
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
Whats wrong oauth_authn
byNov Matake
 
OpenID Connect Flowの種類と使い道
byiPride Co., Ltd.
 

More from Ryo Ito

PDF
idcon mini vol3 CovertRedirect
byRyo Ito
 
PDF
Idcon 17th ritou OAuth 2.0 CSRF Protection
byRyo Ito
 
PDF
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
PDF
#idcon 15th ritou 2factor auth
byRyo Ito
 
PDF
Open id connect claims idcon mini vol1
byRyo Ito
 
PDF
OID to OIDC idcon mini vol1
byRyo Ito
 
PDF
Account Chooser idcon mini Vol.1
byRyo Ito
 
PDF
BackplaneProtocol超入門
byRyo Ito
 
PDF
UserManagedAccess_idcon13
byRyo Ito
 
PDF
WebIntents × SNS
byRyo Ito
 
PDF
Idcon11 implicit demo
byRyo Ito
 
PDF
OpenID_Connect_Spec_Demo
byRyo Ito
 
PDF
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
PDF
OAuth 2.0 MAC Authentication
byRyo Ito
 
PDF
OAuth 2.0 Dance School #swj
byRyo Ito
 
PDF
Ritou idcon7
byRyo Ito
 
PDF
Summary of OAuth 2.0 draft 8 memo
byRyo Ito
 
PDF
Introduction of OAuth 2.0 vol.1
byRyo Ito
 
PDF
0905xx Hybrid Memo
byRyo Ito
 
PDF
Anonymous OAuth Test
byRyo Ito
 
idcon mini vol3 CovertRedirect
byRyo Ito
 
Idcon 17th ritou OAuth 2.0 CSRF Protection
byRyo Ito
 
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
#idcon 15th ritou 2factor auth
byRyo Ito
 
Open id connect claims idcon mini vol1
byRyo Ito
 
OID to OIDC idcon mini vol1
byRyo Ito
 
Account Chooser idcon mini Vol.1
byRyo Ito
 
BackplaneProtocol超入門
byRyo Ito
 
UserManagedAccess_idcon13
byRyo Ito
 
WebIntents × SNS
byRyo Ito
 
Idcon11 implicit demo
byRyo Ito
 
OpenID_Connect_Spec_Demo
byRyo Ito
 
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
OAuth 2.0 MAC Authentication
byRyo Ito
 
OAuth 2.0 Dance School #swj
byRyo Ito
 
Ritou idcon7
byRyo Ito
 
Summary of OAuth 2.0 draft 8 memo
byRyo Ito
 
Introduction of OAuth 2.0 vol.1
byRyo Ito
 
0905xx Hybrid Memo
byRyo Ito
 
Anonymous OAuth Test
byRyo Ito
 

YAPC::Tokyo 2013 ritou OpenID Connect