Tatsuo Kudo, profile picture
Uploaded byTatsuo Kudo
PDF, PPTX2,469 views

利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

Prepared for FinTech協会 APIセキュリティ分科会

Embed presentation

Download as PDF, PPTX
FinTech協会 APIセキュリティ分科会 利用者本位のAPI提供に向けたアイデンティティ(ID)標準仕様の動向 OAuth / OpenID Connect / FIDO 2016年9月28日 NRIセキュアテクノロジーズ株式会社 コンサルティング事業本部 サイバーコンサルティング部 工藤達雄 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 http://www.linkedin.com/in/tatsuokudo/ @tkudos サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とする コンサルティングに従事 自己紹介
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 2 「認証技術」と「デジタルアイデンティティ技術」
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 「認証技術」と「デジタルアイデンティティ技術」 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ連携 エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 B2Cサービスにおけるアイデンティティ技術仕様として広まりつつある “FIDO” “OAuth” “OpenID Connect” 各種API エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) “共通ID基盤” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 APIプロバイダーのIDでログイン APIプロバイダー
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 OAuth
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 OAuth登場の背景 ダイレクトチャネルはID/パスワードでログイン コンテンツ/ 機能 Webサイト モバイルAPI サービス事業者 ID/パスワード エンドユーザー ID/パスワード APP
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 OAuth登場の背景 サードパーティにAPIを公開する場合はどうするか コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ Webサイト サードパーティ モバイルAPI サードパーティ APP APP APP ID/パスワード…!?
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 12 OAuth登場の背景 ユーザーはID/パスワードをサードパーティに 預けることになる → 認証リスク サードパーティからの情報漏えいやサードパーティ自身 による不正利用の懸念が残る ユーザーはサードパーティに全権委任する ことになる → 認可リスク サードパーティは本来サービスに不要な(過剰な) APIアクセスを行うこともできてしまう 使い勝手が悪い サードパーティのアクセス有効期間を制御できない サードパーティにユーザーのID/パスワードを渡す? “When customers give out their bank passcode, they may not realize that if a rogue employee at an aggregator uses this passcode to steal money from the customer’s account, the customer, not the bank, is responsible for any loss.” --- Jamie Dimon's Letter to Shareholders, Annual Report 2015 | JPMorgan Chase & Co. http://www.jpmorganchase.com/corporate/annual -report/2015/
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 OAuth登場の背景 ID/パスワードではなく「トークン」を渡す コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ APIクライアント APP トークン 管理 ID/パスワード + 権限委譲 トークン 発行 トークン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 「アクセストークン」によるAPIアクセス認可のフレームワーク APIアクセス認可: OAuth リソースオーナー リソース サーバー APP 認可 サーバー クライアント HTML5 WEBSITE 0 0. リソースへのアクセスを リクエスト 1 1. 認可 リクエスト 2 2. ユーザー認証 & クライアントへの権限委譲の確認 3 3. OK! 4 4. アクセストークン 提供 5 5. アクセストークンを 使ってAPIアクセス
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 英国 “The Open Banking Standard” が、今後策定予定の “The Open Banking API” では OAuth 2.0 (と OpenID Connect) を採用するよう 推奨している “A core principle of this report is informed consent” 誰を認可するか、なにを認可 するか、いつまで認可を有効 にするかが重要 金融サービス分野におけるアイデンティティ技術の活用 Source: The Open Banking Standard https://www.scribd.com/doc/298569302/The-Open-Banking-Standard OAuth 2.0 in conjunction with OpenID Connect are recommended as authentication protocols of choice
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 国内外の金融機関が、すでにOAuth 2.0を活用した「金融API」の提供を 始めている 金融サービス分野におけるアイデンティティ技術の活用 (cont.) Source: Fidor API Reference http://docs.fidor.de/#understand-oauth, Documentation – APImarket https://www.bbvaapimarket.com/web/api_market/bbva/bbva-connect/documentation
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 APIへのOAuth適用のポイント 関連仕様やセキュリティのプラクティスを活用し、認可フロー、トークン管理、スコープ体系などをAPI/サービスに 最適化する「プロファイリング」が必要 OAuth (OAuth 2.0)は「プロトコル」ではなく「フレームワーク」である +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token) 認可フローにおけるセキュリティの懸念の例 (https://tools.ietf.org/html/rfc6749 の図に加筆) (A) “Web View” からの認可リクエスト(モバイルの 場合)、不正なredirect_uri、… (C) ユーザーエージェ ントすり替わり、 CSRF、リファラーか らの認可コード漏洩、 オープンリダイレクタ の悪用、他社認可サー バーの不備・不正によ る “Mix-Up Attack”、 … (D) クライアントすり替わり、認可 コード再利用・すり替え、… Slackのスコープ定義の例 Source: https://api.slack.com/docs/oauth-scopes Microsoft Azure ADのトークン有効期限の例 Source: https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-v2-tokens/
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 OpenID Connect
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 API サーバー OAuthはID連携にも使える? OAuth仕様が標準化する対象は「アクセストークン」のやりとりであり、「認証依頼」と「認証結果提供」のやりとり、 そして「認証結果」(ID情報)の定義は書かれていない エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 API サーバー OAuthはID連携にも使える? OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、認証結果や属性情報の連携、 セッション管理などのAPIを標準化 アイデンティティ連携: OpenID Connect (OIDC) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス許可要求 + 認証依頼 APIアクセス許可 + 認証結果提供 APIアクセス ユーザー認証 認証結果(IDトークン) • ID情報提供側におけるユーザ 認証イベントの情報 • エンドユーザーを識別する値 (識別子) • IDトークンの有効期限 • ユーザ認証を実施した日時 • 認証コンテクスト・クラス・ リファレンス • 認証手段リファレンス • その他(ユーザー属性など) • 署名付きJWT(Signed JSON Web Token)として表現
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 主要ID/API連携仕様がすべてOpenID Connectに収斂 OpenID Connect(cont.) Source: http://civics.com/OpenID-connect-webinar/ セキュリティ・ アサーション JSON形式の 「IDトークン」 サービス発見 シンプル、APIとの親和性、 モバイル対応 動的なクライント 登録
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 FIDO
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23 「ローカル認証」と「オンライン認証」を分離 ユーザー検証はローカルに行い、ユーザー検証結果のみがオンラインに流れる FIDO認定試験を定期的に開催し、製品・サービスの相互運用性を強化 ユーザー認証: FIDO Source: “FIDO技術のさらなる広がり” https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 24 FIDO認定製品が急速に増加 2016年6月に約200 → 同年9月に250超 FIDO (Cont.) Source: “FIDO Certification” http://www.slideshare.net/FIDOAlliance/fido-certification
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 まとめ
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 アイデンティティ技術を活用した「利用者本位のAPI提供」に向けて API サーバー エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 FIDO: 利用者が使いやすく 確実な認証手段を 活用できるようになる OAuth: 利用者が自身 の情報の第三者利用を コントロールしやすく なる OpenID Connect: 利用者が自身のIDを 他事業者の サービスでも 使えるようになる
Tatsuo Kudo tkudo@nri-secure.co.jp https://www.linkedin.com/in/tatsuokudo @tkudos

More Related Content

PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PDF
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
PDF
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
PDF
OAuth Security Workshop 2017 #osw17
byTatsuo Kudo
 
PDF
APIdays Australia 2017 TOI #APIdaysAU
byTatsuo Kudo
 
PDF
OpenID TechNight Vol. 11 - Call to Action
byTatsuo Kudo
 
PDF
Random Thoughts on Digital Identity Professional #openid_eiwg
byTatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
byTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
byTatsuo Kudo
 
OpenID TechNight Vol. 11 - Call to Action
byTatsuo Kudo
 
Random Thoughts on Digital Identity Professional #openid_eiwg
byTatsuo Kudo
 

What's hot

PDF
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
PDF
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PDF
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
PPTX
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
PDF
Standard-based Identity (1)
byMasaru Kurahayashi
 
PDF
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
PPTX
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
PDF
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 
PDF
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
byTatsuo Kudo
 
PDF
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
PPTX
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
PDF
Authlete overview
bymtisol
 
PDF
Introduction of Bridging IMS and Internet Identity
byTatsuya (達也) Katsuhara (勝原)
 
PDF
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
PPTX
20150723 最近の興味動向 fido編
byTatsuya (達也) Katsuhara (勝原)
 
PDF
OpenID Connect, December 2011
byTatsuo Kudo
 
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
Standard-based Identity (1)
byMasaru Kurahayashi
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
byTatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
Authlete overview
bymtisol
 
Introduction of Bridging IMS and Internet Identity
byTatsuya (達也) Katsuhara (勝原)
 
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
20150723 最近の興味動向 fido編
byTatsuya (達也) Katsuhara (勝原)
 
OpenID Connect, December 2011
byTatsuo Kudo
 

Viewers also liked

PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
PDF
Nashorn: JavaScript Running on Java VM (English)
byLogico
 
PDF
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
PDF
NIST SP 800-63-3 #idcon vol.22
byNov Matake
 
PDF
Fintechにおける オープンイノベーションの最新動向(2015年8月)
byToshio Taki
 
PDF
これからのNashorn
byLogico
 
PDF
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
byyasuhiro yoshizawa
 
PDF
ブロックチェインとOpen asset protocol
byKindai University
 
PPTX
SORACOM Bootcamp Rec1 - SORACOM Air (1)
bySORACOM,INC
 
PPTX
APIエコノミー (金融編)
byRasmus Ekman
 
PDF
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
byTakeshi Mikami
 
PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
Banking APIとAPIエコシステム
byAPI Meetup
 
PDF
Nashorn in the future (English)
byLogico
 
PDF
NIST SP 800-63A #idcon vol.22
bySami Maekawa
 
PDF
Nashorn in the future (Japanese)
byLogico
 
PDF
NIST SP 800-63C #idcon vol.22
byNov Matake
 
PDF
Nashorn in the future (English)
byLogico
 
PDF
ITロードマッププレビュー2016
byinnovation info
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
Nashorn: JavaScript Running on Java VM (English)
byLogico
 
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
NIST SP 800-63-3 #idcon vol.22
byNov Matake
 
Fintechにおける オープンイノベーションの最新動向(2015年8月)
byToshio Taki
 
これからのNashorn
byLogico
 
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
byyasuhiro yoshizawa
 
ブロックチェインとOpen asset protocol
byKindai University
 
SORACOM Bootcamp Rec1 - SORACOM Air (1)
bySORACOM,INC
 
APIエコノミー (金融編)
byRasmus Ekman
 
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
byTakeshi Mikami
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
Banking APIとAPIエコシステム
byAPI Meetup
 
Nashorn in the future (English)
byLogico
 
NIST SP 800-63A #idcon vol.22
bySami Maekawa
 
Nashorn in the future (Japanese)
byLogico
 
NIST SP 800-63C #idcon vol.22
byNov Matake
 
Nashorn in the future (English)
byLogico
 
ITロードマッププレビュー2016
byinnovation info
 

Similar to 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
PDF
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
PDF
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
byTatsuo Kudo
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PDF
OpenID Connect入門
by土岐 孝平
 
PPTX
FIWARE の ID 管理、アクセス制御、API 管理
byfisuda
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PDF
オープン API と Authlete のソリューション
byTatsuo Kudo
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
PDF
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
byFinTechLabs.io
 
PDF
英国オープンバンキング技術仕様の概要
byTatsuo Kudo
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
PDF
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
PDF
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
byFinTechLabs.io
 
PDF
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
byTatsuo Kudo
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
OpenID Connect入門
by土岐 孝平
 
FIWARE の ID 管理、アクセス制御、API 管理
byfisuda
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
オープン API と Authlete のソリューション
byTatsuo Kudo
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
金融向けoへの認証の導入
byFIDO Alliance
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
byFinTechLabs.io
 
英国オープンバンキング技術仕様の概要
byTatsuo Kudo
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
byFinTechLabs.io
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 

More from Tatsuo Kudo

PDF
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
byTatsuo Kudo
 
PDF
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
byTatsuo Kudo
 
PDF
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
PDF
Authlete: API Authorization Enabler for API Economy
byTatsuo Kudo
 
PDF
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
byTatsuo Kudo
 
PDF
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
byTatsuo Kudo
 
PDF
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
byTatsuo Kudo
 
PDF
金融APIセキュリティの動向・事例と今後の方向性
byTatsuo Kudo
 
PDF
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
byTatsuo Kudo
 
PDF
Trends in Banking APIs
byTatsuo Kudo
 
PDF
APIエコノミー時代の認証・認可
byTatsuo Kudo
 
PDF
銀行APIのトレンド #fapisum
byTatsuo Kudo
 
PDF
Japan/UK Open Banking and APIs Summit 2018 TOI
byTatsuo Kudo
 
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
byTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
byTatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
byTatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
byTatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
byTatsuo Kudo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
byTatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
byTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
byTatsuo Kudo
 
Trends in Banking APIs
byTatsuo Kudo
 
APIエコノミー時代の認証・認可
byTatsuo Kudo
 
銀行APIのトレンド #fapisum
byTatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
byTatsuo Kudo
 

利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

  • 1.
    FinTech協会 APIセキュリティ分科会 利用者本位のAPI提供に向けたアイデンティティ(ID)標準仕様の動向 OAuth /OpenID Connect / FIDO 2016年9月28日 NRIセキュアテクノロジーズ株式会社 コンサルティング事業本部 サイバーコンサルティング部 工藤達雄 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
  • 2.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 http://www.linkedin.com/in/tatsuokudo/ @tkudos サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とする コンサルティングに従事 自己紹介
  • 3.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 2 「認証技術」と「デジタルアイデンティティ技術」
  • 4.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 3 「認証技術」と「デジタルアイデンティティ技術」 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証
  • 5.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 4 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ連携 エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
  • 6.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 5 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
  • 7.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 6 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 8.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 7 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 9.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 8 B2Cサービスにおけるアイデンティティ技術仕様として広まりつつある “FIDO” “OAuth” “OpenID Connect” 各種API エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) “共通ID基盤” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 APIプロバイダーのIDでログイン APIプロバイダー
  • 10.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 9 OAuth
  • 11.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 10 OAuth登場の背景 ダイレクトチャネルはID/パスワードでログイン コンテンツ/ 機能 Webサイト モバイルAPI サービス事業者 ID/パスワード エンドユーザー ID/パスワード APP
  • 12.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 11 OAuth登場の背景 サードパーティにAPIを公開する場合はどうするか コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ Webサイト サードパーティ モバイルAPI サードパーティ APP APP APP ID/パスワード…!?
  • 13.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 12 OAuth登場の背景 ユーザーはID/パスワードをサードパーティに 預けることになる → 認証リスク サードパーティからの情報漏えいやサードパーティ自身 による不正利用の懸念が残る ユーザーはサードパーティに全権委任する ことになる → 認可リスク サードパーティは本来サービスに不要な(過剰な) APIアクセスを行うこともできてしまう 使い勝手が悪い サードパーティのアクセス有効期間を制御できない サードパーティにユーザーのID/パスワードを渡す? “When customers give out their bank passcode, they may not realize that if a rogue employee at an aggregator uses this passcode to steal money from the customer’s account, the customer, not the bank, is responsible for any loss.” --- Jamie Dimon's Letter to Shareholders, Annual Report 2015 | JPMorgan Chase & Co. http://www.jpmorganchase.com/corporate/annual -report/2015/
  • 14.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 13 OAuth登場の背景 ID/パスワードではなく「トークン」を渡す コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ APIクライアント APP トークン 管理 ID/パスワード + 権限委譲 トークン 発行 トークン
  • 15.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 14 「アクセストークン」によるAPIアクセス認可のフレームワーク APIアクセス認可: OAuth リソースオーナー リソース サーバー APP 認可 サーバー クライアント HTML5 WEBSITE 0 0. リソースへのアクセスを リクエスト 1 1. 認可 リクエスト 2 2. ユーザー認証 & クライアントへの権限委譲の確認 3 3. OK! 4 4. アクセストークン 提供 5 5. アクセストークンを 使ってAPIアクセス
  • 16.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 15 英国 “The Open Banking Standard” が、今後策定予定の “The Open Banking API” では OAuth 2.0 (と OpenID Connect) を採用するよう 推奨している “A core principle of this report is informed consent” 誰を認可するか、なにを認可 するか、いつまで認可を有効 にするかが重要 金融サービス分野におけるアイデンティティ技術の活用 Source: The Open Banking Standard https://www.scribd.com/doc/298569302/The-Open-Banking-Standard OAuth 2.0 in conjunction with OpenID Connect are recommended as authentication protocols of choice
  • 17.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 16 国内外の金融機関が、すでにOAuth 2.0を活用した「金融API」の提供を 始めている 金融サービス分野におけるアイデンティティ技術の活用 (cont.) Source: Fidor API Reference http://docs.fidor.de/#understand-oauth, Documentation – APImarket https://www.bbvaapimarket.com/web/api_market/bbva/bbva-connect/documentation
  • 18.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 17 APIへのOAuth適用のポイント 関連仕様やセキュリティのプラクティスを活用し、認可フロー、トークン管理、スコープ体系などをAPI/サービスに 最適化する「プロファイリング」が必要 OAuth (OAuth 2.0)は「プロトコル」ではなく「フレームワーク」である +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token) 認可フローにおけるセキュリティの懸念の例 (https://tools.ietf.org/html/rfc6749 の図に加筆) (A) “Web View” からの認可リクエスト(モバイルの 場合)、不正なredirect_uri、… (C) ユーザーエージェ ントすり替わり、 CSRF、リファラーか らの認可コード漏洩、 オープンリダイレクタ の悪用、他社認可サー バーの不備・不正によ る “Mix-Up Attack”、 … (D) クライアントすり替わり、認可 コード再利用・すり替え、… Slackのスコープ定義の例 Source: https://api.slack.com/docs/oauth-scopes Microsoft Azure ADのトークン有効期限の例 Source: https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-v2-tokens/
  • 19.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 18 OpenID Connect
  • 20.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 19 API サーバー OAuthはID連携にも使える? OAuth仕様が標準化する対象は「アクセストークン」のやりとりであり、「認証依頼」と「認証結果提供」のやりとり、 そして「認証結果」(ID情報)の定義は書かれていない エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
  • 21.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 20 API サーバー OAuthはID連携にも使える? OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、認証結果や属性情報の連携、 セッション管理などのAPIを標準化 アイデンティティ連携: OpenID Connect (OIDC) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス許可要求 + 認証依頼 APIアクセス許可 + 認証結果提供 APIアクセス ユーザー認証 認証結果(IDトークン) • ID情報提供側におけるユーザ 認証イベントの情報 • エンドユーザーを識別する値 (識別子) • IDトークンの有効期限 • ユーザ認証を実施した日時 • 認証コンテクスト・クラス・ リファレンス • 認証手段リファレンス • その他(ユーザー属性など) • 署名付きJWT(Signed JSON Web Token)として表現
  • 22.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 21 主要ID/API連携仕様がすべてOpenID Connectに収斂 OpenID Connect(cont.) Source: http://civics.com/OpenID-connect-webinar/ セキュリティ・ アサーション JSON形式の 「IDトークン」 サービス発見 シンプル、APIとの親和性、 モバイル対応 動的なクライント 登録
  • 23.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 22 FIDO
  • 24.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 23 「ローカル認証」と「オンライン認証」を分離 ユーザー検証はローカルに行い、ユーザー検証結果のみがオンラインに流れる FIDO認定試験を定期的に開催し、製品・サービスの相互運用性を強化 ユーザー認証: FIDO Source: “FIDO技術のさらなる広がり” https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf
  • 25.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 24 FIDO認定製品が急速に増加 2016年6月に約200 → 同年9月に250超 FIDO (Cont.) Source: “FIDO Certification” http://www.slideshare.net/FIDOAlliance/fido-certification
  • 26.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 25 まとめ
  • 27.
    Copyright © NRISecureTechnologies, Ltd. All rights reserved. 26 アイデンティティ技術を活用した「利用者本位のAPI提供」に向けて API サーバー エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 FIDO: 利用者が使いやすく 確実な認証手段を 活用できるようになる OAuth: 利用者が自身 の情報の第三者利用を コントロールしやすく なる OpenID Connect: 利用者が自身のIDを 他事業者の サービスでも 使えるようになる
  • 28.