OpenID Foundation Japan, profile picture
Uploaded byOpenID Foundation Japan
2,308 views

IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15

OpenID BizDay #15 講演資料 IDA,VC,DID関連仕様 最新情報

Embed presentation

Downloaded 63 times
1 Copyright © 2023, OpenIDファウンデーションジャパン, All Rights Reserved
今⽇はこれだけ覚えて帰ってください。 •IDA: OpenID Connect for Identity Assurance • OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様 • 本⼈確認プロセスに関するメタデータを定義 •OpenID4VC: VC/DID関連3仕様の俗称 • SIOPv2: OpenID Connect(OIDC)の既存仕様を拡張し、 DIDやhttps型のアプリ連携やクラウドウォレットに対応 • OpenID for VP: VC/VPを提⽰するためのOAuth2.0の拡張 新たにVPトークンを定義 • OpenID for VC Issuance: VCを発⾏するためのOAuth2.0の拡 張。QRコードによる認可コードの連携が可能
⾃⼰紹介 • ⼩岩井 航介/Kosuke Koiwai • 2017年より KDDI株式会社でID/認証関係等を担当 • 2020年より OpenID Foundation Board Member • eKYC-IDA仕様の共著者、FAPI1.0仕様の貢献者 • 2022年より OpenIDファウンデーション・ジャパン KYC WGリーダ • その他、FIDO Alliance, W3C でも標準化活動に参画中。 • KDDI は2015年より OpenID Foundation の Sustaining Corporate Sponsor として活動 https://openid.net/foundation/leadership/ https://news.kddi.com/kddi/corporate/newsrelease/2015/11/10/1444.html
認証関連仕様の外観 • OAuth2.0をベースに、あらゆる仕様が策定されている。 • Extension(拡張): 新たなユースケースのために既存の仕様にないものを追加する • Profile(プロファイル): 仕様の範囲内で、特定のユースケースのために利⽤法(設定 値等)を制限するもの • ユースケースに合わせて、組み合わせて利⽤する。 OAuth2.0 API Authorization Framework (RFC6749) OpenID Connect Core (OIDC) Financial-grade API (FAPI) eKYC-IDA OpenID for Verifiable Presentations Self-issued OP v2 OpenID for VC Issuance
OpenID Connect とは • 認証連携のためのOAuth2.0の拡張仕様 ⾃分のSNSアカウント 占い・○○診断アプリ ⾃分の銀⾏アカウント 家計簿サービス ログイン ⾃分 ログイン ログイン
OAuth2.0 を認証に使ってはいけない • OAuth2.0で得られるのは特定のAPIを使う権限であり、 本⼈であることの証明ではない 占いサイト・○○診断 ⾃分のSNSプロフィール ⾃分の銀⾏残⾼ 認可 (権限委譲) アクセス 不正アクセス ⾃分
OpenID Connect (OIDC) とは • API「認可」フレームワークである OAuth2.0 を拡張し、 「認証イベント」を連携できるようにしたもの • 「パスワード」を受け渡すものではない。 • OAuth2.0, OIDC, JWxの⼀連の仕様は、2007-2015にかけて並⾏して 開発された。 • OAuth2.0 のみを利⽤して「認証連携」をすることは推奨されない。 (過去に⼤規模なセキュリティ事案が発⽣している) • OAuthでは「特定のサービス(API)を使う権限」を委譲するが、それだけでは 本⼈の認証とはいえない。(権限移譲された他者が本⼈を詐称できてしまう 場合がある。) • OpenID Connectは、「特定の⼈物が、特定のサービスにログインするため、 特定の認証⽅法を⽤いてこの時間に認証した」という情報を「IDトークン」 を⽤いて連携する。 https://www.sakimura.org/2012/02/1487/ https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe https://qiita.com/TakahikoKawasaki/items/8f0e422c7edd2d220e06
IDA: OpenID Connect for Identity Assurance OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様
OpenID Connect の課題 • 「⽒名」「メルアド」「⽣年⽉⽇」「住所」など、様々な個⼈ 情報を連携できる⼀⽅、その情報の確からしさは不明 • SNSプロフィールで20歳以上と書いてあっても、それを根拠に お酒を売っていいわけではない •そこで、 IDA が爆誕
IDA とは • 本⼈確認済みのID情報(Identity Assurance) を連携するための、 OpenID Connect の拡張仕様(Extension) • 現在 4th Implementerʼs Draft。 • OpenID Connectでサポートされている各種個⼈情報に対して、 「誰が」「どのように」「いつ」「何を元に」確認したかを、 メタデータとして付与することができる。 • Verified Claims というオブジェクトを新たに定義 • 共著者として⼩岩井も名を連ねる • 詳細は次世代KYC(作⽥さん)のセッションで紹介済み
IDA: さらなる拡張 • Selective Abort/Omit • 例えば「⽇本の犯収法に基づかない結果であれば不要」など、 結果を受領する条件を規定することができる • ⼿数料を徴求するようなビジネスモデルで有⽤ • Claims Transformation • 「20歳以上」「東京都か千葉県在住かどうか」など、個⼈情報本体ではな く、その条件をTrue/Falseで返却する • いずれも、Advanced Syntax for Claimsという新たな仕様として 策定中 • OIDC単体に対する拡張としても利⽤可能だが、IDAと併⽤するとさらに有⽤
OpenID4VC: OpenID for Verifiable Credentials OpenID ConnectやそのベースであるOAuth2.0の仕組みを使い、 DIDやVerifiable Credentialを連携するための関連3仕様の俗称 https://openid.net/openid4vc/
DID: Decentralized Identifier (分散型識別⼦) • 特定の事業者に依存しない識別⼦(Identifier) • Identity(属性の集合)ではなく、Identifier(識別⼦) • OpenID Connectでいうところの Sub値に該当 • W3Cにより標準化(did:method:xxxx) • DIDと紐づく鍵ペアを⽣成、秘密鍵へのアクセス=「所有」 • 識別⼦に紐づくDID Documentが分散台帳上等で公開される • DIDに紐づく秘密鍵で署名したデータをDID Document上の公 開鍵で検証する ことでDIDの「持ち主」が発⾏したデータであ ることを検証できる
VC: Verifiable Credentials (検証可能なクレデンシャル) • 検証可能なデータモデル • Issuerから発⾏されたVCをユーザはHolder(Wallet)に保管。 Verifierに提⽰する時は、複数のVCを取捨選択した VP (Verifiable Presentation)として提⽰する。 • DIDと組み合わせて利⽤されることが多いが、必須ではない。 • 発⾏者(Issuer)のDIDに紐づく秘密鍵によりデジタル署名される • 発⾏者のDID Documentに含まれる公開鍵を使って検証可能 VCの発⾏ VPの提⽰
Credential の定義の違い • OpenID Connect Coreと、W3C Verifiable Credentialsで、 "Credential”の定義が異なる • OIDC: アイデンティティやその他のリソースを使う権利の証明 • W3C: 同⼀エンティティによって⽰されたクレーム(属性)のセット
2つのVC • W3C の策定する Verifiable Credentialsと eKYC-IDA仕様で連携す るVerified Claimsとの間に直接的な互換性はない。 • Verified Claimsは、OpenID Connect仕様の IDトークンの中に格納 されるため、IDトークンとして署名され、検証可能。 • Verified Claimsは、属性情報とそのメタデータの記載⽅法も含め標 準化されている⼀⽅、Verifiable Credentialsの中⾝の標準化はこれ から。(ワクチン証明書のFHIRが⼀例) • Verifiable Credentials はそれ⾃体が署名され、検証可能。 • Verifiable Credentials を発⾏したり、関係者間で授受するための プロトコルは、複数提案されており、まだデファクトが存在しな い。OpenID Foundation が策定している仕様案もそのうちの⼀つ。
VC関連で策定中の関連OpenID仕様は3つ https://openid.net/wordpress-content/uploads/2022/05/OIDF-Whitepaper_OpenID-for-Verifiable-Credentials_FINAL_2022-05-12.pdf • VC/VPの授受(トランスポート)の仕様はW3Cでは⾮定義。 • OpenID Connectの拡張としてトランスポート仕様を策定中。 • 著者は、W3CのVerifiable Credentials WGのChairが兼任 VCの発⾏ VPの提⽰
OpenID4VCでサポートするVCの種類 W3C Verifiable Credentials Data Model https://www.w3.org/TR/vc-data-model/ ISO/IEC 18013-5 mobile Driving License (mDL) https://www.iso.org/standard/69084.html ISO/IEC 23220-2 electronic Identification (eID) https://www.iso.org/standard/79124.html Anonymous Credentials https://www.hyperledger.org/use/hyperle dger-indy SMART Health Card(SHC) / FHIR (Fast Healthcare Interoperability Resources) https://ecqi.healthit.gov/fhir https://spec.smarthealth.cards/ • Verifiable Credentials には、いくつか仕様が存在。 • W3C のVCと、ISOのmDL (モバイル運転免許証) には互換性はない。 • ワクチン証明書に使われるSMART Health Cardは W3C VCベース。 • OpenID4VCは、下記いずれもサポートするよう設計されている。
Self-Issued OpenID Provider v2 • OpenID Connect Core仕様のSIOPを拡張 • openid:// だけでなく、https://も使えるように • App Links, Universal Linksや、クラウド連携のWalletも想定 • sub値として、jwt Fingerprintだけでなく、DIDも使えるように • OpenID Connect⾃体にsub値の制限はないが、SIOP仕様ではjwt fingerprintと規定 WalletからVerifierに対してVCを提⽰する際に、 OIDC4VPと組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
Self-Issued OpenID Provider v1 とは? • OpenID Connect Core 仕様に当初から 定義されていた!! https://openid.net/specs/openid-connect-core-1_0.html
Self-Issued OpenID Provider v1 とは? • ⾃分の端末(スマホやPC)⾃⾝がOP/IdPになるための仕様 • ログイン時に、GoogleやFacebookにリダイレクトする代わり に、openid://スキーマを使ってスマホアプリを起動する • 通常であれば、OP(Googleなど)を信頼して、IDトークン内の 情報(claims)を信頼するが、SIOPの場合は、IDトークンを署 名した署名鍵を信頼する。 • SIOPの場合、IDトークン内のsub値以外の情報(claims)は⾃ ⼰申告ななので信頼できないが、Aggregated Claimsを組み合 わせることで信頼できる情報を提供できるようになる。
Self-Issued OpenID Provider v2 • OpenID Connect Core仕様のSIOPを拡張 • openid:// だけでなく、https://も使えるように • App Links, Universal Linksや、クラウド連携のWalletも想定 • sub値として、jwt Fingerprintだけでなく、DIDも使えるように • OpenID Connect⾃体にsub値の制限はないが、SIOPv1仕様では jwt fingerprintと規定 WalletからVerifierに対してVCを提⽰する際に、 OIDC4VPと組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
OpenID for Verifiable Presentations • OAuth2.0のプロトコルでVC/VPを返却する拡張 • 直近のドラフトで、OIDCからOAuth2.0ベースになっているので注意 • 新たに VP トークン を定義し、IDトークンと独⽴して返却 • OAuth2.0のスコープ(scope)に、求めるVC/VPの種類を指定、 もしくは presentation_definition で細かく指定 WalletからVerifierに対してVCを提⽰する際に、 SIOPV2と組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
OpenID4VP: リクエストとレスポンスの例 リクエスト レスポンス vp_token には、JSONを格納したり、 mDL で使われる CBOR を base64 エンコードして格納して返却 presentation_definition に 欲しいVP/VCの形式等を指定
OpenID for Verifiable Credentials Issuance • IssuerからWalletにVCを発⾏するためのOAuth2.0の拡張 • OAuth2.0のスコープ(scope)に、VCの種類を簡易的に指定、 もしくは authorization_details (RAR)で種類、形式を細かく指定 • 最初の認証をスキップし、認可コードをQRコードにして Walletに読み込ませることも可能 (pre-authorized code flow) IssuerがVCをWalletに対し発⾏する際に利⽤ Issuerがユーザを認証する際にVC/VPを提⽰させる場合、IssuerがVerifierにもなる VCの発⾏ VPの提⽰
pre-authorized code flow の例 • 対⾯で本⼈確認を⾏った後、ユーザの端末にVCを発⾏する ユースケースで有⽤ 店頭などで本⼈確認を⾏った後、 Walletに読み込ませるQRコードの例 access tokenを受領して(中略) Credential EndpointからVCを取得 Walletはcredential_issuerのmetadataを 確認し、Token Endpointにアクセスする QRコードに含まれる Credential Offer オブジェクトの例 通常のOAuthフローで認可後に得られる 認可コードの代わりに、プレ認可コードが ここで得られる。 JWT形式のVCがここで得られる。
今⽇はこれだけ覚えて帰ってください。 •IDA: OpenID Connect for Identity Assurance • OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様 • 本⼈確認プロセスに関するメタデータを定義 •OpenID4VC: VC/DID関連3仕様の俗称 • SIOPv2: OpenID Connect(OIDC)の既存仕様を拡張し、 DIDやhttps型のアプリ連携やクラウドウォレットに対応 • OpenID for VP: VC/VPを提⽰するためのOAuth2.0の拡張 新たにVPトークンを定義 • OpenID for VC Issuance: VCを発⾏するためのOAuth2.0の 拡張。QRコードによる認可コードの連携が可能

More Related Content

PDF
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
PDF
分散型IDと検証可能なアイデンティティ技術概要
byNaohiro Fujie
 
PDF
自己主権型IDと分散型ID
byNaohiro Fujie
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PDF
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
PDF
MicrosoftのDID/VC実装概要
byNaohiro Fujie
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloak入門
byHiroyuki Wada
 
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
分散型IDと検証可能なアイデンティティ技術概要
byNaohiro Fujie
 
自己主権型IDと分散型ID
byNaohiro Fujie
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
MicrosoftのDID/VC実装概要
byNaohiro Fujie
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
Keycloak入門
byHiroyuki Wada
 

What's hot

PDF
次世代 KYC に関する検討状況 - OpenID BizDay #15
byOpenID Foundation Japan
 
PDF
ブロックチェーンを用いた自己主権型デジタルID管理
byLFDT Tokyo Meetup
 
PDF
SSI DIDs VCs 入門資料
byKAYATO SAITO
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PDF
Fido認証概要説明
byFIDO Alliance
 
PDF
ブロックチェーンを活用した自己主権型IDとは
byTIS Blockchain Promotion Office
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
PDF
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
PDF
組織におけるアイデンティティ管理の基本的な考え方
byNaohiro Fujie
 
PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
PDF
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
PDF
「DID ・デジタル通貨の社会実装」 Digital Platformer 株式会社
byデジタル田園都市国家構想 応援団
 
PDF
Hyperledger Besuの動向
byLFDT Tokyo Meetup
 
PDF
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
PDF
KYC and identity on blockchain
bymosa siru
 
PDF
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
PDF
ID連携における仮名
byNaohiro Fujie
 
次世代 KYC に関する検討状況 - OpenID BizDay #15
byOpenID Foundation Japan
 
ブロックチェーンを用いた自己主権型デジタルID管理
byLFDT Tokyo Meetup
 
SSI DIDs VCs 入門資料
byKAYATO SAITO
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
Fido認証概要説明
byFIDO Alliance
 
ブロックチェーンを活用した自己主権型IDとは
byTIS Blockchain Promotion Office
 
OpenID Connect入門
by土岐 孝平
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
組織におけるアイデンティティ管理の基本的な考え方
byNaohiro Fujie
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
「DID ・デジタル通貨の社会実装」 Digital Platformer 株式会社
byデジタル田園都市国家構想 応援団
 
Hyperledger Besuの動向
byLFDT Tokyo Meetup
 
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
KYC and identity on blockchain
bymosa siru
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
ID連携における仮名
byNaohiro Fujie
 

Similar to IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15

PDF
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
by日本マイクロソフト株式会社
 
PDF
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PPTX
次世代KYCのあるべき姿 - OpenID BizDay #14
byOpenID Foundation Japan
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
PDF
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
byOpenID Foundation Japan
 
PPTX
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
PDF
Standard-based Identity (1)
byMasaru Kurahayashi
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PPTX
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
PPTX
Oidc how it solves your problems
byNat Sakimura
 
PDF
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PDF
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
byOpenID Foundation Japan
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
by日本マイクロソフト株式会社
 
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
次世代KYCのあるべき姿 - OpenID BizDay #14
byOpenID Foundation Japan
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
金融向けoへの認証の導入
byFIDO Alliance
 
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
byOpenID Foundation Japan
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
byTakashi Yahata
 
Standard-based Identity (1)
byMasaru Kurahayashi
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
Oidc how it solves your problems
byNat Sakimura
 
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
byOpenID Foundation Japan
 

More from OpenID Foundation Japan

PPTX
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
byOpenID Foundation Japan
 
PDF
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
20231109_OpenID_TechNight_OpenID_Federation.pdf
byOpenID Foundation Japan
 
PDF
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
byOpenID Foundation Japan
 
PDF
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
byOpenID Foundation Japan
 
PPTX
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
byOpenID Foundation Japan
 
PDF
FAPI 最新情報 - OpenID BizDay #15
byOpenID Foundation Japan
 
PDF
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
DXをささえる銀行API - OpenID BizDay #13
byOpenID Foundation Japan
 
PDF
Open Banking beyond PSD2 in the EU
byOpenID Foundation Japan
 
PDF
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
byOpenID Foundation Japan
 
PDF
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
byOpenID Foundation Japan
 
PDF
The Future of Identity - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
オープンAPIのニーズと現状の課題 - OpenID BizDay #13
byOpenID Foundation Japan
 
PDF
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
byOpenID Foundation Japan
 
PDF
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
byOpenID Foundation Japan
 
PDF
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
byOpenID Foundation Japan
 
OpenID Connectと身元確認/KYCのトレンド - 法人 KYCの現状 - OpenID BizDay #14
byOpenID Foundation Japan
 
OpenIDファウンデーション・ジャパンKYC WGの活動報告 - OpenID Summit 2020
byOpenID Foundation Japan
 
20231109_OpenID_TechNight_OpenID_Federation.pdf
byOpenID Foundation Japan
 
OpenID Connect Client Initiated Backchannel Authentication Flow (CIBA)のご紹介 ~ ...
byOpenID Foundation Japan
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
byOpenID Foundation Japan
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
byOpenID Foundation Japan
 
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
byOpenID Foundation Japan
 
FAPI 最新情報 - OpenID BizDay #15
byOpenID Foundation Japan
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
byOpenID Foundation Japan
 
B2C企業向けクラウドID基盤「 SELMID 」のご紹介 - OpenID Summit 2020
byOpenID Foundation Japan
 
DXをささえる銀行API - OpenID BizDay #13
byOpenID Foundation Japan
 
Open Banking beyond PSD2 in the EU
byOpenID Foundation Japan
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドについて - OpenID Foundation Japan EIWG発表会 2016
byOpenID Foundation Japan
 
Enabling Large-Scale Multi-Party Federations with OpenID Connect - OpenID Sum...
byOpenID Foundation Japan
 
The Future of Identity - OpenID Summit 2020
byOpenID Foundation Japan
 
銀行オープンAPIの実装これまでの歩みとこれから必要なこと - OpenID Summit 2020
byOpenID Foundation Japan
 
オープンAPIのニーズと現状の課題 - OpenID BizDay #13
byOpenID Foundation Japan
 
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装 - OpenID Summit 2020
byOpenID Foundation Japan
 
OpenID Foundation/JapanにおけるKYCに関する取り組み概要 - OpenID BizDay #14
byOpenID Foundation Japan
 
Personal Digital Transformation and Holistic Digital Identity - OpenID Summit...
byOpenID Foundation Japan
 

Recently uploaded

PDF
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PPTX
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PPTX
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PDF
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PDF
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PDF
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PDF
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PDF
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
PDF
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 

IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15

  • 1.
    1 Copyright © 2023,OpenIDファウンデーションジャパン, All Rights Reserved
  • 2.
    今⽇はこれだけ覚えて帰ってください。 •IDA: OpenID Connectfor Identity Assurance • OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様 • 本⼈確認プロセスに関するメタデータを定義 •OpenID4VC: VC/DID関連3仕様の俗称 • SIOPv2: OpenID Connect(OIDC)の既存仕様を拡張し、 DIDやhttps型のアプリ連携やクラウドウォレットに対応 • OpenID for VP: VC/VPを提⽰するためのOAuth2.0の拡張 新たにVPトークンを定義 • OpenID for VC Issuance: VCを発⾏するためのOAuth2.0の拡 張。QRコードによる認可コードの連携が可能
  • 3.
    ⾃⼰紹介 • ⼩岩井 航介/KosukeKoiwai • 2017年より KDDI株式会社でID/認証関係等を担当 • 2020年より OpenID Foundation Board Member • eKYC-IDA仕様の共著者、FAPI1.0仕様の貢献者 • 2022年より OpenIDファウンデーション・ジャパン KYC WGリーダ • その他、FIDO Alliance, W3C でも標準化活動に参画中。 • KDDI は2015年より OpenID Foundation の Sustaining Corporate Sponsor として活動 https://openid.net/foundation/leadership/ https://news.kddi.com/kddi/corporate/newsrelease/2015/11/10/1444.html
  • 4.
    認証関連仕様の外観 • OAuth2.0をベースに、あらゆる仕様が策定されている。 • Extension(拡張):新たなユースケースのために既存の仕様にないものを追加する • Profile(プロファイル): 仕様の範囲内で、特定のユースケースのために利⽤法(設定 値等)を制限するもの • ユースケースに合わせて、組み合わせて利⽤する。 OAuth2.0 API Authorization Framework (RFC6749) OpenID Connect Core (OIDC) Financial-grade API (FAPI) eKYC-IDA OpenID for Verifiable Presentations Self-issued OP v2 OpenID for VC Issuance
  • 5.
    OpenID Connect とは •認証連携のためのOAuth2.0の拡張仕様 ⾃分のSNSアカウント 占い・○○診断アプリ ⾃分の銀⾏アカウント 家計簿サービス ログイン ⾃分 ログイン ログイン
  • 6.
  • 7.
    OpenID Connect (OIDC)とは • API「認可」フレームワークである OAuth2.0 を拡張し、 「認証イベント」を連携できるようにしたもの • 「パスワード」を受け渡すものではない。 • OAuth2.0, OIDC, JWxの⼀連の仕様は、2007-2015にかけて並⾏して 開発された。 • OAuth2.0 のみを利⽤して「認証連携」をすることは推奨されない。 (過去に⼤規模なセキュリティ事案が発⽣している) • OAuthでは「特定のサービス(API)を使う権限」を委譲するが、それだけでは 本⼈の認証とはいえない。(権限移譲された他者が本⼈を詐称できてしまう 場合がある。) • OpenID Connectは、「特定の⼈物が、特定のサービスにログインするため、 特定の認証⽅法を⽤いてこの時間に認証した」という情報を「IDトークン」 を⽤いて連携する。 https://www.sakimura.org/2012/02/1487/ https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe https://qiita.com/TakahikoKawasaki/items/8f0e422c7edd2d220e06
  • 8.
    IDA: OpenID Connectfor Identity Assurance OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様
  • 9.
    OpenID Connect の課題 •「⽒名」「メルアド」「⽣年⽉⽇」「住所」など、様々な個⼈ 情報を連携できる⼀⽅、その情報の確からしさは不明 • SNSプロフィールで20歳以上と書いてあっても、それを根拠に お酒を売っていいわけではない •そこで、 IDA が爆誕
  • 10.
    IDA とは • 本⼈確認済みのID情報(IdentityAssurance) を連携するための、 OpenID Connect の拡張仕様(Extension) • 現在 4th Implementerʼs Draft。 • OpenID Connectでサポートされている各種個⼈情報に対して、 「誰が」「どのように」「いつ」「何を元に」確認したかを、 メタデータとして付与することができる。 • Verified Claims というオブジェクトを新たに定義 • 共著者として⼩岩井も名を連ねる • 詳細は次世代KYC(作⽥さん)のセッションで紹介済み
  • 11.
    IDA: さらなる拡張 • SelectiveAbort/Omit • 例えば「⽇本の犯収法に基づかない結果であれば不要」など、 結果を受領する条件を規定することができる • ⼿数料を徴求するようなビジネスモデルで有⽤ • Claims Transformation • 「20歳以上」「東京都か千葉県在住かどうか」など、個⼈情報本体ではな く、その条件をTrue/Falseで返却する • いずれも、Advanced Syntax for Claimsという新たな仕様として 策定中 • OIDC単体に対する拡張としても利⽤可能だが、IDAと併⽤するとさらに有⽤
  • 12.
    OpenID4VC: OpenID for VerifiableCredentials OpenID ConnectやそのベースであるOAuth2.0の仕組みを使い、 DIDやVerifiable Credentialを連携するための関連3仕様の俗称 https://openid.net/openid4vc/
  • 13.
    DID: Decentralized Identifier(分散型識別⼦) • 特定の事業者に依存しない識別⼦(Identifier) • Identity(属性の集合)ではなく、Identifier(識別⼦) • OpenID Connectでいうところの Sub値に該当 • W3Cにより標準化(did:method:xxxx) • DIDと紐づく鍵ペアを⽣成、秘密鍵へのアクセス=「所有」 • 識別⼦に紐づくDID Documentが分散台帳上等で公開される • DIDに紐づく秘密鍵で署名したデータをDID Document上の公 開鍵で検証する ことでDIDの「持ち主」が発⾏したデータであ ることを検証できる
  • 14.
    VC: Verifiable Credentials (検証可能なクレデンシャル) •検証可能なデータモデル • Issuerから発⾏されたVCをユーザはHolder(Wallet)に保管。 Verifierに提⽰する時は、複数のVCを取捨選択した VP (Verifiable Presentation)として提⽰する。 • DIDと組み合わせて利⽤されることが多いが、必須ではない。 • 発⾏者(Issuer)のDIDに紐づく秘密鍵によりデジタル署名される • 発⾏者のDID Documentに含まれる公開鍵を使って検証可能 VCの発⾏ VPの提⽰
  • 15.
    Credential の定義の違い • OpenIDConnect Coreと、W3C Verifiable Credentialsで、 "Credential”の定義が異なる • OIDC: アイデンティティやその他のリソースを使う権利の証明 • W3C: 同⼀エンティティによって⽰されたクレーム(属性)のセット
  • 16.
    2つのVC • W3C の策定するVerifiable Credentialsと eKYC-IDA仕様で連携す るVerified Claimsとの間に直接的な互換性はない。 • Verified Claimsは、OpenID Connect仕様の IDトークンの中に格納 されるため、IDトークンとして署名され、検証可能。 • Verified Claimsは、属性情報とそのメタデータの記載⽅法も含め標 準化されている⼀⽅、Verifiable Credentialsの中⾝の標準化はこれ から。(ワクチン証明書のFHIRが⼀例) • Verifiable Credentials はそれ⾃体が署名され、検証可能。 • Verifiable Credentials を発⾏したり、関係者間で授受するための プロトコルは、複数提案されており、まだデファクトが存在しな い。OpenID Foundation が策定している仕様案もそのうちの⼀つ。
  • 17.
  • 18.
    OpenID4VCでサポートするVCの種類 W3C Verifiable CredentialsData Model https://www.w3.org/TR/vc-data-model/ ISO/IEC 18013-5 mobile Driving License (mDL) https://www.iso.org/standard/69084.html ISO/IEC 23220-2 electronic Identification (eID) https://www.iso.org/standard/79124.html Anonymous Credentials https://www.hyperledger.org/use/hyperle dger-indy SMART Health Card(SHC) / FHIR (Fast Healthcare Interoperability Resources) https://ecqi.healthit.gov/fhir https://spec.smarthealth.cards/ • Verifiable Credentials には、いくつか仕様が存在。 • W3C のVCと、ISOのmDL (モバイル運転免許証) には互換性はない。 • ワクチン証明書に使われるSMART Health Cardは W3C VCベース。 • OpenID4VCは、下記いずれもサポートするよう設計されている。
  • 19.
    Self-Issued OpenID Providerv2 • OpenID Connect Core仕様のSIOPを拡張 • openid:// だけでなく、https://も使えるように • App Links, Universal Linksや、クラウド連携のWalletも想定 • sub値として、jwt Fingerprintだけでなく、DIDも使えるように • OpenID Connect⾃体にsub値の制限はないが、SIOP仕様ではjwt fingerprintと規定 WalletからVerifierに対してVCを提⽰する際に、 OIDC4VPと組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
  • 20.
    Self-Issued OpenID Providerv1 とは? • OpenID Connect Core 仕様に当初から 定義されていた!! https://openid.net/specs/openid-connect-core-1_0.html
  • 21.
    Self-Issued OpenID Providerv1 とは? • ⾃分の端末(スマホやPC)⾃⾝がOP/IdPになるための仕様 • ログイン時に、GoogleやFacebookにリダイレクトする代わり に、openid://スキーマを使ってスマホアプリを起動する • 通常であれば、OP(Googleなど)を信頼して、IDトークン内の 情報(claims)を信頼するが、SIOPの場合は、IDトークンを署 名した署名鍵を信頼する。 • SIOPの場合、IDトークン内のsub値以外の情報(claims)は⾃ ⼰申告ななので信頼できないが、Aggregated Claimsを組み合 わせることで信頼できる情報を提供できるようになる。
  • 22.
    Self-Issued OpenID Providerv2 • OpenID Connect Core仕様のSIOPを拡張 • openid:// だけでなく、https://も使えるように • App Links, Universal Linksや、クラウド連携のWalletも想定 • sub値として、jwt Fingerprintだけでなく、DIDも使えるように • OpenID Connect⾃体にsub値の制限はないが、SIOPv1仕様では jwt fingerprintと規定 WalletからVerifierに対してVCを提⽰する際に、 OIDC4VPと組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
  • 23.
    OpenID for VerifiablePresentations • OAuth2.0のプロトコルでVC/VPを返却する拡張 • 直近のドラフトで、OIDCからOAuth2.0ベースになっているので注意 • 新たに VP トークン を定義し、IDトークンと独⽴して返却 • OAuth2.0のスコープ(scope)に、求めるVC/VPの種類を指定、 もしくは presentation_definition で細かく指定 WalletからVerifierに対してVCを提⽰する際に、 SIOPV2と組み合わせて利⽤することを想定 VCの発⾏ VPの提⽰
  • 24.
    OpenID4VP: リクエストとレスポンスの例 リクエスト レスポンス vp_tokenには、JSONを格納したり、 mDL で使われる CBOR を base64 エンコードして格納して返却 presentation_definition に 欲しいVP/VCの形式等を指定
  • 25.
    OpenID for VerifiableCredentials Issuance • IssuerからWalletにVCを発⾏するためのOAuth2.0の拡張 • OAuth2.0のスコープ(scope)に、VCの種類を簡易的に指定、 もしくは authorization_details (RAR)で種類、形式を細かく指定 • 最初の認証をスキップし、認可コードをQRコードにして Walletに読み込ませることも可能 (pre-authorized code flow) IssuerがVCをWalletに対し発⾏する際に利⽤ Issuerがユーザを認証する際にVC/VPを提⽰させる場合、IssuerがVerifierにもなる VCの発⾏ VPの提⽰
  • 26.
    pre-authorized code flowの例 • 対⾯で本⼈確認を⾏った後、ユーザの端末にVCを発⾏する ユースケースで有⽤ 店頭などで本⼈確認を⾏った後、 Walletに読み込ませるQRコードの例 access tokenを受領して(中略) Credential EndpointからVCを取得 Walletはcredential_issuerのmetadataを 確認し、Token Endpointにアクセスする QRコードに含まれる Credential Offer オブジェクトの例 通常のOAuthフローで認可後に得られる 認可コードの代わりに、プレ認可コードが ここで得られる。 JWT形式のVCがここで得られる。
  • 27.
    今⽇はこれだけ覚えて帰ってください。 •IDA: OpenID Connectfor Identity Assurance • OpenID Connectの仕組みを使い、本⼈確認済みの ID情報を連携するための仕様 • 本⼈確認プロセスに関するメタデータを定義 •OpenID4VC: VC/DID関連3仕様の俗称 • SIOPv2: OpenID Connect(OIDC)の既存仕様を拡張し、 DIDやhttps型のアプリ連携やクラウドウォレットに対応 • OpenID for VP: VC/VPを提⽰するためのOAuth2.0の拡張 新たにVPトークンを定義 • OpenID for VC Issuance: VCを発⾏するためのOAuth2.0の 拡張。QRコードによる認可コードの連携が可能