Nat Sakimura, profile picture
Uploaded byNat Sakimura
PPTX, PDF6,561 views

Oidc how it solves your problems

Embed presentation

Downloaded 28 times
Cloud Identity Summit 2013 報告 OpenID Connectは、 あなたの課題をどう解いてくれる か? 2013/9/4 Nat Sakimura Nomura Research Institute Chairman, The OpenID Foundation @_nat_en http://nat.sakimura.org/
© 2013 by Nomura Research Institute. All rights reserved. B2E Identity B2C Identity G2C Identity (source of pictures)Microsoft Office Online G2E Identity
© 2013 by Nomura Research Institute. All rights reserved. 「エンプラにOpenID Connect っ て 関係あるの? コンシューマ向け技術じゃない の?」
© 2013 by Nomura Research Institute. All rights reserved. Not quite. because I have very enterprizy background…
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connect は、エンプラ利用を念 頭において作られまし た。(コンシューマも だけど) クラウドサービスに アクセスガバナンス を作るのに有効です。
© 2013 by Nomura Research Institute. All rights reserved. デファクトのフェデレーションと アクセスプロビジョニングプロト コルは何?
© 2013 by Nomura Research Institute. All rights reserved. Identity Federation •SAML? Account Provisioning •SPML?
© 2013 by Nomura Research Institute. All rights reserved.
© 2013 by Nomura Research Institute. All rights reserved. Identity Federation •パスワード 共有 Account Provisioning •カスタム CSV
© 2013 by Nomura Research Institute. All rights reserved. なぜ失敗したか?
© 2013 by Nomura Research Institute. All rights reserved. 理解するのに難しすぎ。 認知上の困難さ -> 実装の困難さ プロダクト間の互換性の低さ ある大規模製造業: ▪ > 3000 partners all around the world ▪ Many of them were working with multiple companies ▪ Tried to create a SAML federation but failed.
© 2013 by Nomura Research Institute. All rights reserved. CSV は簡単. • Excelあれば OK! • それに手動で 編集できる よ! パスワード共 有も簡単. • パスワードを サポートして いる全アプリ ケーションで 使えるよ!
© 2013 by Nomura Research Institute. All rights reserved. やったね!
© 2013 by Nomura Research Institute. All rights reserved. やったね???
© 2013 by Nomura Research Institute. All rights reserved. 3人以上が知っているものは秘密 じゃない! 同期が崩れやすい。 手動編集はリスクだ。 De-provisioning? Archiving? 監査証跡は? etc…
© 2013 by Nomura Research Institute. All rights reserved. #fail
© 2013 by Nomura Research Institute. All rights reserved. やりなおしだ! 今回は、死ぬほど簡単に! 車輪の再発明?そうだ。 だけど、今回の車輪はもうちょっと丸い。
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connect & SCIM
© 2013 by Nomura Research Institute. All rights reserved. SAML v.s. OpenID Connect SAML Web SSO OpenID Connect XML JSON XML Dsig JSON Web Signature (JWS) XML Encryption JSON Web Encryption (JWE) SAML JSON Web Token SAML Assertion ID Token (OIDC) SOAP (mostly…) REST SAML Web SSO Profile Standard (=OAuth 2.0 binding) SPML SCIM
© 2013 by Nomura Research Institute. All rights reserved. identity 実体に関連する属性の集合 ISO/IEC 29115 | ITU-T X.1254 Note: distinguish identity and identifier carefully.
© 2013 by Nomura Research Institute. All rights reserved. “identity”の例 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z
© 2013 by Nomura Research Institute. All rights reserved. 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z logging User interface Access Contro info
© 2013 by Nomura Research Institute. All rights reserved. Real Name Professional qualification department Geo-location Employee number Entity Identity Resource Authentication Policy Enforcement Rules
© 2013 by Nomura Research Institute. All rights reserved. ABAC Based on SP800-162 figure on page viii identity Resource Rules entity
© 2013 by Nomura Research Institute. All rights reserved. 要件 R1 • Access Control MUST be done with the dynamic attributes R2 • Identity MUST be provided from the authoritative source R3 • Need to be able to provide flexible security. R4 • Need to be dead simple. R5 • Interoperability is the king. R6 • Limited connection (esp. mobile) ready. R7 • Unified technology for enterprise and consumer.
© 2013 by Nomura Research Institute. All rights reserved. 氏名 資格 部署 位置情報 社員番号 役職 Entity Identity Resource Authentication PEP PDP PAP / PIP Boss Metadata Log Log Application Accounts アカウント・プロビジョニング 認証 e.g., OpenID/SAML e.g., SCIM / SPML アクセス制御(認可) e.g., XACML/ JACML?
© 2013 by Nomura Research Institute. All rights reserved. OpenID Connectの 実装経験より
© 2013 by Nomura Research Institute. All rights reserved. ちゃんと MUST は守りましょう。 • いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んで いました。. アクセストークンを、IDトークン抜きで他のクライアント や機械に送らないように。 • トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for- authentication.html “code” や “token” のサーバーサイドでの処理の負荷には十 分気をつけること。 • ある実装では、2000 tr/秒 処理しているが、このようなときには、署 名処理・暗号化処理の負荷を十分気をつける必要あり。
© 2013 by Nomura Research Institute. All rights reserved. 30

More Related Content

PPTX
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
byNat Sakimura
 
PDF
JWT Translation #technight
byNov Matake
 
PPTX
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
PDF
Enterprise Identity Working Groupについて
byOpenID Foundation Japan
 
PDF
110728 Trust Framework - Shingo Yamanaka
byOpenID Foundation Japan
 
PPTX
Dfuke oidfj tn10
byDaisuke Fuke
 
PPTX
いま、エンタープライズIdに求められるもの
byEgawa Junichi
 
PDF
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 
車輪は丸くなったか?~デジタル・アイデンティティの標準化動向とそのゴール
byNat Sakimura
 
JWT Translation #technight
byNov Matake
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
byTakashi Yahata
 
Enterprise Identity Working Groupについて
byOpenID Foundation Japan
 
110728 Trust Framework - Shingo Yamanaka
byOpenID Foundation Japan
 
Dfuke oidfj tn10
byDaisuke Fuke
 
いま、エンタープライズIdに求められるもの
byEgawa Junichi
 
エンタープライズITでのOpenID Connect利用ガイドライン
byTatsuo Kudo
 

What's hot

PDF
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
PDF
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
byOpenID Foundation Japan
 
PDF
Student Identity Trust Framework - Masaki Shimaoka
byOpenID Foundation Japan
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PPTX
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PDF
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
PDF
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
byTatsuo Kudo
 
PDF
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
byOpenID Foundation Japan
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
PDF
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PDF
OAuth認証再考からのOpenID Connect #devlove
byNov Matake
 
PDF
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PPTX
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
PPTX
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
PDF
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
OpenID Connect のビジネスチャンス
byOpenID Foundation Japan
 
エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様
byOpenID Foundation Japan
 
Student Identity Trust Framework - Masaki Shimaoka
byOpenID Foundation Japan
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
20140307 tech nightvol11_lt_v1.0_public
byTatsuya (達也) Katsuhara (勝原)
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
OpenID Connect Summit Transfer of Information
byTatsuya (達也) Katsuhara (勝原)
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
byTatsuo Kudo
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
byOpenID Foundation Japan
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
byTakashi Yahata
 
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
OpenID ConnectとAndroidアプリのログインサイクル
byMasaru Kurahayashi
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
OAuth認証再考からのOpenID Connect #devlove
byNov Matake
 
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
byTatsuya (達也) Katsuhara (勝原)
 
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 

Viewers also liked

PDF
OpenID Technight CIS Panel (slideshare edit)
byManabu Kondo
 
PDF
Open id technight10_cis2013_egawa
byEgawa Junichi
 
PDF
OAuth SPOP @ IETF 91
byNat Sakimura
 
PDF
API Days 2016 Day 1: OpenID Financial API WG
byNat Sakimura
 
PPTX
OpenID Foundation Foundation Financial API (FAPI) WG
byNat Sakimura
 
PPTX
Financial Grade OAuth & OpenID Connect
byNat Sakimura
 
PDF
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
PPTX
OpenID Foundation Foundation Financial API (FAPI) WG
byNat Sakimura
 
PDF
OpenID Authentication by example
byChris Vertonghen
 
PDF
Introduction to OpenID Connect
byNat Sakimura
 
PDF
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
PDF
ID連携概要 - OpenID TechNight vol.13
byNov Matake
 
PDF
今更聞けないOAuth2.0
byTakahiro Sato
 
PPTX
JSX
byKazuho Oku
 
OpenID Technight CIS Panel (slideshare edit)
byManabu Kondo
 
Open id technight10_cis2013_egawa
byEgawa Junichi
 
OAuth SPOP @ IETF 91
byNat Sakimura
 
API Days 2016 Day 1: OpenID Financial API WG
byNat Sakimura
 
OpenID Foundation Foundation Financial API (FAPI) WG
byNat Sakimura
 
Financial Grade OAuth & OpenID Connect
byNat Sakimura
 
Yahoo! JAPANのOpenID Certified Mark取得について
byMasaru Kurahayashi
 
OpenID Foundation Foundation Financial API (FAPI) WG
byNat Sakimura
 
OpenID Authentication by example
byChris Vertonghen
 
Introduction to OpenID Connect
byNat Sakimura
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
byMasaru Kurahayashi
 
ID連携概要 - OpenID TechNight vol.13
byNov Matake
 
今更聞けないOAuth2.0
byTakahiro Sato
 
JSX
byKazuho Oku
 

Similar to Oidc how it solves your problems

PDF
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
PDF
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
PDF
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 
PPTX
諸外国の国民ID制度 #idcon 13th
byNov Matake
 
PDF
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
PDF
Sec020 アイデンティティ
byTech Summit 2016
 
PDF
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
byOpenID Foundation Japan
 
PDF
Security days 2015
byManabu Kondo
 
PDF
Office365のIdentity管理
byNaohiro Fujie
 
PPTX
Latest Status of Identity Federation
byAtsushi Kambara
 
PDF
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
PPTX
Closing Note
byNat Sakimura
 
PDF
Standard-based Identity (1)
byMasaru Kurahayashi
 
PPTX
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
PPTX
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 
PDF
ID Management
byKohei MATSUOKA
 
PDF
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
by日本マイクロソフト株式会社
 
PDF
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
byDaisuke Fuke
 
PDF
20141111 明日の認証会議資料(寺田)
byマジセミ by (株)オープンソース活用研究所
 
Cloud Identity Summit 2012 TOI
byTatsuo Kudo
 
クラウド時代の「ID管理」と「認証セキュリティ」
byTatsuya (達也) Katsuhara (勝原)
 
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 
諸外国の国民ID制度 #idcon 13th
byNov Matake
 
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
Sec020 アイデンティティ
byTech Summit 2016
 
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
byOpenID Foundation Japan
 
Security days 2015
byManabu Kondo
 
Office365のIdentity管理
byNaohiro Fujie
 
Latest Status of Identity Federation
byAtsushi Kambara
 
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
Closing Note
byNat Sakimura
 
Standard-based Identity (1)
byMasaru Kurahayashi
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
byMasanori KAMAYAMA
 
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 
ID Management
byKohei MATSUOKA
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
by日本マイクロソフト株式会社
 
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
byDaisuke Fuke
 
20141111 明日の認証会議資料(寺田)
byマジセミ by (株)オープンソース活用研究所
 

More from Nat Sakimura

PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
OpenID in the Digital ID Landscape: A Perspective From the Past to the Future
byNat Sakimura
 
PDF
170724 JP/UK Open Banking Summit English Translation
byNat Sakimura
 
PDF
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates
byNat Sakimura
 
PPTX
Introduction to the FAPI Read & Write OAuth Profile
byNat Sakimura
 
PDF
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
PPTX
ブロックチェーン〜信頼の源泉の民主化のもたらす変革
byNat Sakimura
 
PPTX
Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic...
byNat Sakimura
 
PDF
OpenID Foundation FAPI WG: June 2017 Update
byNat Sakimura
 
PPTX
Transient client secret extension
byNat Sakimura
 
PPTX
Nc 30 sakimura-distribution_0604
byNat Sakimura
 
PPTX
Smartphone Native Application OP
byNat Sakimura
 
PPTX
Open idとcyber空間
byNat Sakimura
 
PDF
サイバー空間上の信頼フレームワークとパーソナルデータ経済
byNat Sakimura
 
PPTX
20110706 PIDSプロジェクト中間報告
byNat Sakimura
 
PPTX
Open id specifications_work_update-tokyo_2011
byNat Sakimura
 
PPTX
国民ID制度とトラスト・フレームワーク
byNat Sakimura
 
PPT
Introduction to OpenID TX proposed extension
byNat Sakimura
 
PPT
Sharing the Success of OpenID Japan Success
byNat Sakimura
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
OpenID in the Digital ID Landscape: A Perspective From the Past to the Future
byNat Sakimura
 
170724 JP/UK Open Banking Summit English Translation
byNat Sakimura
 
Introduction to 
the FAPI Read & Write OAuth Profile - Jan 2018 Updates
byNat Sakimura
 
Introduction to the FAPI Read & Write OAuth Profile
byNat Sakimura
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
ブロックチェーン〜信頼の源泉の民主化のもたらす変革
byNat Sakimura
 
Future Proofing the OAuth 2.0 Authorization Code Grant Protocol by the applic...
byNat Sakimura
 
OpenID Foundation FAPI WG: June 2017 Update
byNat Sakimura
 
Transient client secret extension
byNat Sakimura
 
Nc 30 sakimura-distribution_0604
byNat Sakimura
 
Smartphone Native Application OP
byNat Sakimura
 
Open idとcyber空間
byNat Sakimura
 
サイバー空間上の信頼フレームワークとパーソナルデータ経済
byNat Sakimura
 
20110706 PIDSプロジェクト中間報告
byNat Sakimura
 
Open id specifications_work_update-tokyo_2011
byNat Sakimura
 
国民ID制度とトラスト・フレームワーク
byNat Sakimura
 
Introduction to OpenID TX proposed extension
byNat Sakimura
 
Sharing the Success of OpenID Japan Success
byNat Sakimura
 

Oidc how it solves your problems

  • 1.
    Cloud Identity Summit2013 報告 OpenID Connectは、 あなたの課題をどう解いてくれる か? 2013/9/4 Nat Sakimura Nomura Research Institute Chairman, The OpenID Foundation @_nat_en http://nat.sakimura.org/
  • 2.
    © 2013 byNomura Research Institute. All rights reserved. B2E Identity B2C Identity G2C Identity (source of pictures)Microsoft Office Online G2E Identity
  • 3.
    © 2013 byNomura Research Institute. All rights reserved. 「エンプラにOpenID Connect っ て 関係あるの? コンシューマ向け技術じゃない の?」
  • 4.
    © 2013 byNomura Research Institute. All rights reserved. Not quite. because I have very enterprizy background…
  • 5.
    © 2013 byNomura Research Institute. All rights reserved. OpenID Connect は、エンプラ利用を念 頭において作られまし た。(コンシューマも だけど) クラウドサービスに アクセスガバナンス を作るのに有効です。
  • 6.
    © 2013 byNomura Research Institute. All rights reserved. デファクトのフェデレーションと アクセスプロビジョニングプロト コルは何?
  • 7.
    © 2013 byNomura Research Institute. All rights reserved. Identity Federation •SAML? Account Provisioning •SPML?
  • 8.
    © 2013 byNomura Research Institute. All rights reserved.
  • 9.
    © 2013 byNomura Research Institute. All rights reserved. Identity Federation •パスワード 共有 Account Provisioning •カスタム CSV
  • 10.
    © 2013 byNomura Research Institute. All rights reserved. なぜ失敗したか?
  • 11.
    © 2013 byNomura Research Institute. All rights reserved. 理解するのに難しすぎ。 認知上の困難さ -> 実装の困難さ プロダクト間の互換性の低さ ある大規模製造業: ▪ > 3000 partners all around the world ▪ Many of them were working with multiple companies ▪ Tried to create a SAML federation but failed.
  • 12.
    © 2013 byNomura Research Institute. All rights reserved. CSV は簡単. • Excelあれば OK! • それに手動で 編集できる よ! パスワード共 有も簡単. • パスワードを サポートして いる全アプリ ケーションで 使えるよ!
  • 13.
    © 2013 byNomura Research Institute. All rights reserved. やったね!
  • 14.
    © 2013 byNomura Research Institute. All rights reserved. やったね???
  • 15.
    © 2013 byNomura Research Institute. All rights reserved. 3人以上が知っているものは秘密 じゃない! 同期が崩れやすい。 手動編集はリスクだ。 De-provisioning? Archiving? 監査証跡は? etc…
  • 16.
    © 2013 byNomura Research Institute. All rights reserved. #fail
  • 17.
    © 2013 byNomura Research Institute. All rights reserved. やりなおしだ! 今回は、死ぬほど簡単に! 車輪の再発明?そうだ。 だけど、今回の車輪はもうちょっと丸い。
  • 18.
    © 2013 byNomura Research Institute. All rights reserved. OpenID Connect & SCIM
  • 19.
    © 2013 byNomura Research Institute. All rights reserved. SAML v.s. OpenID Connect SAML Web SSO OpenID Connect XML JSON XML Dsig JSON Web Signature (JWS) XML Encryption JSON Web Encryption (JWE) SAML JSON Web Token SAML Assertion ID Token (OIDC) SOAP (mostly…) REST SAML Web SSO Profile Standard (=OAuth 2.0 binding) SPML SCIM
  • 20.
    © 2013 byNomura Research Institute. All rights reserved. identity 実体に関連する属性の集合 ISO/IEC 29115 | ITU-T X.1254 Note: distinguish identity and identifier carefully.
  • 21.
    © 2013 byNomura Research Institute. All rights reserved. “identity”の例 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z
  • 22.
    © 2013 byNomura Research Institute. All rights reserved. 社員番号: A12349898 氏名: 山田太郎 役職: 部長 部署: 財務部 会社: ABCD ホールディング 場所: NYHQ 日時: 29130809T12:34:11Z logging User interface Access Contro info
  • 23.
    © 2013 byNomura Research Institute. All rights reserved. Real Name Professional qualification department Geo-location Employee number Entity Identity Resource Authentication Policy Enforcement Rules
  • 24.
    © 2013 byNomura Research Institute. All rights reserved. ABAC Based on SP800-162 figure on page viii identity Resource Rules entity
  • 25.
    © 2013 byNomura Research Institute. All rights reserved. 要件 R1 • Access Control MUST be done with the dynamic attributes R2 • Identity MUST be provided from the authoritative source R3 • Need to be able to provide flexible security. R4 • Need to be dead simple. R5 • Interoperability is the king. R6 • Limited connection (esp. mobile) ready. R7 • Unified technology for enterprise and consumer.
  • 26.
    © 2013 byNomura Research Institute. All rights reserved. 氏名 資格 部署 位置情報 社員番号 役職 Entity Identity Resource Authentication PEP PDP PAP / PIP Boss Metadata Log Log Application Accounts アカウント・プロビジョニング 認証 e.g., OpenID/SAML e.g., SCIM / SPML アクセス制御(認可) e.g., XACML/ JACML?
  • 27.
    © 2013 byNomura Research Institute. All rights reserved. OpenID Connectの 実装経験より
  • 28.
    © 2013 byNomura Research Institute. All rights reserved. ちゃんと MUST は守りましょう。 • いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んで いました。. アクセストークンを、IDトークン抜きで他のクライアント や機械に送らないように。 • トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for- authentication.html “code” や “token” のサーバーサイドでの処理の負荷には十 分気をつけること。 • ある実装では、2000 tr/秒 処理しているが、このようなときには、署 名処理・暗号化処理の負荷を十分気をつける必要あり。
  • 29.
    © 2013 byNomura Research Institute. All rights reserved. 30