Submit Search
Upload
SCIM and OpenID Connect Intro
•
3 likes
•
2,889 views
Tatsuo Kudo
Follow
Prepared for a new working group to be formed in OpenID Foundation Japan
Read less
Read more
Technology
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
Tatsuo Kudo
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
オープン API と Authlete のソリューション
オープン API と Authlete のソリューション
Tatsuo Kudo
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
Tatsuo Kudo
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
Recommended
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
Tatsuo Kudo
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
オープン API と Authlete のソリューション
オープン API と Authlete のソリューション
Tatsuo Kudo
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
Tatsuo Kudo
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
Tatsuo Kudo
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
Hitachi, Ltd. OSS Solution Center.
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
Hitachi, Ltd. OSS Solution Center.
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
Hitachi, Ltd. OSS Solution Center.
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
Junya Suzuki
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
FinTechLabs.io
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
FinTechLabs.io
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
Naohiro Fujie
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack
Junya Suzuki
APIに関するセッション資料
APIに関するセッション資料
CData Software Japan
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
Junya Suzuki
Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"
GOLDandLAPIS
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
Cybozucommunity
More Related Content
What's hot
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
Tatsuo Kudo
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
Hitachi, Ltd. OSS Solution Center.
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
Hitachi, Ltd. OSS Solution Center.
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
Hitachi, Ltd. OSS Solution Center.
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
Junya Suzuki
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
FinTechLabs.io
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
FinTechLabs.io
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
Naohiro Fujie
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack
Junya Suzuki
APIに関するセッション資料
APIに関するセッション資料
CData Software Japan
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
Junya Suzuki
What's hot
(20)
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
Keycloakの最近のトピック
Keycloakの最近のトピック
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack
APIに関するセッション資料
APIに関するセッション資料
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
Similar to SCIM and OpenID Connect Intro
Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"
GOLDandLAPIS
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
Cybozucommunity
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
Nissho-Blocks
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
OpenID Foundation Japan
浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターン
Amazon Web Services Japan
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
junichi anno
[Japan Tech summit 2017] SEC 007
[Japan Tech summit 2017] SEC 007
Microsoft Tech Summit 2017
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Naohiro Fujie
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
Sapporo Sparkle k.k.
Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
GIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォーム
IIJ
Amazon Web Servicesブース:UI×API×AWS 横田 聡
Amazon Web Servicesブース:UI×API×AWS 横田 聡
クラスメソッド株式会社
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」
Egawa Junichi
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
Tatsuo Kudo
クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵
Sapporo Sparkle k.k.
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
CLOUDIAN KK
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM,INC
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
Yuki Ando
Similar to SCIM and OpenID Connect Intro
(20)
Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターン
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
[Japan Tech summit 2017] SEC 007
[Japan Tech summit 2017] SEC 007
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
GIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォーム
Amazon Web Servicesブース:UI×API×AWS 横田 聡
Amazon Web Servicesブース:UI×API×AWS 横田 聡
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
More from Tatsuo Kudo
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Tatsuo Kudo
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
Tatsuo Kudo
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Tatsuo Kudo
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
Tatsuo Kudo
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
Tatsuo Kudo
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Tatsuo Kudo
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
Tatsuo Kudo
Trends in Banking APIs
Trends in Banking APIs
Tatsuo Kudo
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
Tatsuo Kudo
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
Tatsuo Kudo
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
Tatsuo Kudo
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
Tatsuo Kudo
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
More from Tatsuo Kudo
(16)
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
Trends in Banking APIs
Trends in Banking APIs
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
SCIM and OpenID Connect Intro
1.
SCIM と OpenID
Connect の概要 2012年10月18日 工藤達雄 株式会社野村総合研究所 IT基盤インテグレーション事業本部 DIソリューション事業部
2.
SCIMとOpenID Connect 利用企業A社
ID管理システム SCIM APIに従い、 SaaS A社 社内の サービスAの 人事情報 ユーザー追加・ ユーザー追加・ システム 変更・削除 変更・削除 ユーザー・ プロビジョニングAPI プロビ プロビジョニン (SCIM Server) ジョニング グ機能(SCIM システム Client) OpenID Connectで認 エンドユーザー向けWeb 証結果・属性 アプリケーション 社内の 情報要求 ユーザー追加・ (OpenID Connect RP) 管理者 変更・削除 SSO / ID連携API アクセス (OpenID 管理 Connect IdP) システム SCIM APIに従い、 サービスBの SaaS B社 ユーザー追加・ 変更・削除 社内IDで サービスAの ユーザー・ ログイン 利用 プロビジョニングAPI (SCIM Server) OpenID Connectで ID管理結果・属性情 報要求 サービスBの エンドユーザー向けWeb エンドユーザー 利用 アプリケーション (OpenID Connect RP) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved.
3.
SCIM
2
4.
これまでのアイデンティティ・プロビジョニングAPIの標準化動向 SPML (Service Provisioning
一方、「クラウド・サービス」の Markup Language) 仕様 多くがユーザー・プロビジョニン OASIS プロビジョニング・サービ ス技術委員会(PSTC) が策定し グAPIを提供しているが、標準 た、 XMLによってサービス・プロ 的な仕様が存在しない ビジョニング情報を交換するため のフレームワーク 「クラウド・サービス」ごとにAPIが ▪ 2001年のPSTC発足後、2003年 まちまちであり、互換性がな い にバージョン1.0を、2006年にバー ジョン2.0をOASIS標準として承認 そのためユーザー企業が自社ID しかし、仕様の複雑さや、対応す 管理システムからプロビジョニン る製品・サービスが少ないことか グを行うためには、たとえばユー ら、普及していない ザの追加・削除といった単純な操 ▪ SPML 2.0の確定以降、PSTCは 作で あっても、クラウド・サービス 実質的に活動を停止し、2012年8 月に閉会 ごとに異なるAPIに対応しなくて はならない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 3
5.
SCIM (System for
Cross-domain Identity Management) http://www.simplecloud.info/ アイデンティティ管理のための「スキーマ」と「プロトコル」を定義 スキーマ ▪ ユーザーやグループなどのJSON/XML表現 ▪ 要件に応じて拡張可能 プロトコル ▪ RESTful API ▪ CRUD (生成/参照/更新/削除)、検索、ディスカバリ、一括処理 SaaS A社 JSON/XML SCIM Service Provider 利用企業A社 (RESTful API) プロビ SCIM ジョニング Consumer SaaS B社 システム JSON/XML SCIM Service Provider (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 4
6.
例: ユーザー生成リクエスト
/Users POST /Users HTTP/1.1 エンドポイント Host: example.com にPOST Accept: application/json Content-Type: application/json JSON形式 JSON形式 Authorization: Bearer h480djs93hd8 のレスポンス にてユーザー を要求 Content-Length: ... 情報を送信 { "schemas":["urn:scim:schemas:core:1.0"], API認可情報 "userName":"bjensen", "externalId":"bjensen", "name":{ ユーザー情報 "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara“ } } SCIM SCIM Service Provider Consumer リクエスト (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 5
7.
例: ユーザー生成レスポンス ステータス
HTTP/1.1 201 Created コード 201 Content-Type: application/json Location: https://example.com/v1/Users/2819c223-7f76-453a-919d-413861904646 このユーザー ETag: W/"e180ee84f0671b1" 情報のURL { "schemas":["urn:scim:schemas:core:1.0"], "id":"2819c223-7f76-453a-919d-413861904646", "externalId":"bjensen", "meta":{ "created":"2011-08-01T21:32:44.882Z", "lastModified":"2011-08-01T21:32:44.882Z", "location":"https://example.com/v1/Users/2819c223-7f76-453a-919d- 生成された 413861904646", ユーザー "version":"W¥/¥"e180ee84f0671b1¥"" 情報の表現 }, "name":{ "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara" }, "userName":"bjensen" } SCIM SCIM Service Provider Consumer レスポンス (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 6
8.
Core Schema ユーザー/グループを表現する最小限のスキーマと、スキー マの拡張モデルを定義 スキーマ
既存のクラウドサービス事業者のAPI、Portable Contacts、LDAPな どを参考に定義 ▪ ユーザー、エンタープライズ・ユーザー、グループ、サービス・プロバイダの設定 情報、リソース JSONおよびXMLへのバインディングを規定 ▪ スキーマを表現できない場合 (JSON) を考慮し、schemas属性を定義 スキーマ拡張モデル LDAPのObjectClassの考え方を援用 しかしLDAPと異なり、スキーマの継承はない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 7
9.
SCIM Protocol アプリケーション・レベルのAPIを定義 HTTPメソッドを利用
GET: リソース取得(全体/部分) POST: 新規リソース生成 PUT: リソースの変更(指定した内容で置き換え) PATCH: リソースの変更(部分更新)、パスワード変更 DELETE: リソース削除 Well knownなエンドポイントを定義 /Users, /Groups, /ServiceProviderConfigs, /Schemas, /Bulk API認可はOAuth 2.0を推奨 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 8
10.
これまでの流れ 2010年7月
Cloud Identity Summitのアンカンファレンスの「Cloud LDAP」セッションを契機に、UnboundID、Salesforce.com、Google、 Ping Identityのキーパーソンが同名プロジェクト(のちに「Cloud Directory」に変更)を立ち上げ 2010年11月 IIW (Internet Identity Workshop) 11 にて、上記のメンバーおよびMicrosoft他によるF2Fを開催 2011年4月 名称をSCIMに変更し、草案を一般に公開 2011年5月 IIW 12 にて議論 UnboundID, Salesforce.com, Cisco, Ping IdentityがOWF Contributor Agreementに署名 2011年12月 バージョン1.0仕様をリリース 2012年3月 BoF at IETF 83 2012年6月 WG chartered 2012年7月 バージョン1.1 仕様をリリース 第一回WG会合 @ IETF84 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 9
11.
SCIMのマイルストーン 年
マイルストーン 2012 •6月: Initial adoption of SCIM use cases, as a living document •6月: Initial adoption of SCIM core schema •8月: Initial adoption of SCIM restful interface draft •11月: Initial adoption of SCIM LDAP inetOrgPerson mapping draft •12月: Snapshot version of SCIM use cases to IESG as Informational (possibly) •12月: Proposal for client targeting of SCIM endpoints 2013 •2月: SCIM core schema to IESG as Proposed Standard •5月: SCIM restful interface to IESG as Proposed Standard •6月: SCIM LDAP inetOrgPerson mapping to IESG as Informational •7月: Initial adoption of SCIM SAML bindings draft •8月: Client targeting of SCIM endpoints to IESG as Proposed Standard •9月: Snapshot update of SCIM use cases as Informational (possibly) •11月: SCIM SAML bindings to IESG as Proposed Standard 2014 •1月: Work completed; discuss re-charter Source: System for Cross-domain Identity Management (scim) – Charter https://datatracker.ietf.org/wg/scim/charter/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 10
12.
OpenID Connect
11
13.
OpenID Connectとは http://openid.net/connect OpenIDの次期バージョン OAuth 2.0
仕様をベースに拡張 「シンプルな認証結果と属性情報の取得」 (後述) の範囲であれば、 一般的なOAuth 2.0認可 + API アクセスのフローとほぼ同様 メッセージ形式にJSONを採用 加えてJWT (JSON Web Token) を活用することにより、 署名と暗号化をサポート 仕様のモジュラー化 かんたんなことをシンプルにする一方、複雑なことも実現可能に Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 12
14.
OpenID Connectの系図
Source: http://civics.com/openid-connect-webinar/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 13
15.
OpenID Connectのフロー(概要)
7.(オプション): ユーザー属性 7 8. (オプショ OpenID クレーム クレーム ソース 提供要求 ン): ユーザー プロバイダ 8 属性提供 リライング・ 5. ユーザー属性 パーティ 提供要求 5 6 . ユーザー (RP) 属性提供 OpenID ユーザー UserInfo 6 クライアント プロバイダ 情報 エンドポイント 2. トークン 2 (クレーム) 取得要求 (ブラウザの 4 リダイレクト) 4. アクセス・ トークンとID エンドユーザー トークンを返却 認可 (ブラウザの エンドポイント リダイレクト) 認可 サーバー 1. サービスに 9 . サービス アクセス 提供 1 9 3 3. ユーザー 認証・認可 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 14
16.
OpenID Connectによる認証結果の要求・取得の例 (*)
1. WebブラウザからRPの「ログイン」ボタンをクリック OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ サーバー クライアント パーティ 認可 エンドポイント (RP) example.comの IDでログイン! <a href="https://server.example.com/authorize?grant _type=code&scope=openid&client_id=3214244&state=af1 Ef">example.comのIDでログイン!</a> (*) 本ページ以降の例示は http://www.thread- safe.com/2012/07/how-simple-is-openid-connect- basic.html を元に作図 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 15
17.
OpenID Connectによる認証結果の要求・取得の例 2. WebブラウザがOPに認可リクエストを送信 OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /authorize?grant_type=code&scope=openid&client_ id=3214244&state=af1Ef HTTP/1.1 Host: server.example.com Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 16
18.
OpenID Connectによる認証結果の要求・取得の例 3. OPがユーザーを認証 OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) 何らかの方法でユーザーを 認証 例: ID/パスワード、OTP、 クッキー、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 17
19.
OpenID Connectによる認証結果の要求・取得の例 4. OPがWebブラウザをRPにリダイレクト OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) Location: https://client.example.com/cb?code=8rFowi dZfjt&state=af1Ef OPがcodeを 返却 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 18
20.
OpenID Connectによる認証結果の要求・取得の例 4. WebブラウザがRPに、OPから受け取ったcodeを送信 OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /cb?code=8rFowidZfjt&state=af1Ef HTTP/1.1 Host: client.example.com Webブラウザ 経由でRPに codeが渡る Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 19
21.
OpenID Connectによる認証結果の要求・取得の例 5. RPがOPにcodeを送信し、id_tokenをリクエスト OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /token?code=8rFowidZfjt HTTP/1.1 Host: server.example.com Authorization: Basic … codeを送信 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 20
22.
OpenID Connectによる認証結果の要求・取得の例 6. OPがRPに、codeにひもづくid_token他を返却 OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) { "access_token": "SlAV32hkKG", アクセス・ "token_type": "Bearer", トークン (*) "refresh_token": "8xLOxBtZp8", "expires_in": 3600, "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ" id_token } (*) UserInfoやその他のAPIアクセスに 使用。本例では省略 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 21
23.
OpenID Connectによる認証結果の要求・取得の例 7. RPがid_tokenを復号し、OPが返却したuser_idを取得 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz
RPが受け取った ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi id_tokenの値 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ <?php 認証結果 $res = json_decode($response, true); ( base64urlエンコードされた $id_token = $res['id_token']; JWT Claims Set) $id_array = mb_split(".", $id_token); $id_body = base64url_decode($id_array[1]); ?> RP側での復号処理 (例はPHPによる実装例。 ピリオド “.” で3分割し、2番目の { パートをbase64urlデコード) "iss": "https://server.example.com", "user_id": "248289761001", 認証結果 "aud": "3214244", (JWT Claims "iat": 1311195570, Set) "exp": 1311281970 user_idの値 = } OPからRPに 払い出された ユーザー識別子 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 22
24.
OpenID Connectによる認証結果の要求・取得の例 8. RPがWebブラウザにコンテンツを返却 OpenID
トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) OPから払い出されたユーザーID: 248289761001 にひもづくユーザーが すでに存在するか? Yes → 「ようこそ、太郎さん!」 No → 「既存ユーザーとのひもづけ or 新規登録をお願いします」 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 23
25.
OpenID Connectの今後のロードマップ 現在Implementer’s Draftが公開中 今後最終仕様に OpenID
Connectをサポートする製品・サービスベンダー (予定含む) Gluu、IBM、Layer7、Microsoft、野村総合研究所、Ping Identity、 Vordel、… AOL、Google、日本経済新聞社、PayPal、楽天、Salesforce.com、 Yahoo! JAPAN、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 24
Download now