SlideShare a Scribd company logo

SCIM and OpenID Connect Intro

Tatsuo Kudo
Tatsuo Kudo

Prepared for a new working group to be formed in OpenID Foundation Japan

Technology
1 of 26
Download to read offline
SCIM と OpenID Connect の概要 2012年10月18日 工藤達雄 株式会社野村総合研究所 IT基盤インテグレーション事業本部 DIソリューション事業部
SCIMとOpenID Connect 利用企業A社 ID管理システム SCIM APIに従い、 SaaS A社 社内の サービスAの 人事情報 ユーザー追加・ ユーザー追加・ システム 変更・削除 変更・削除 ユーザー・ プロビジョニングAPI プロビ プロビジョニン (SCIM Server) ジョニング グ機能(SCIM システム Client) OpenID Connectで認 エンドユーザー向けWeb 証結果・属性 アプリケーション 社内の 情報要求 ユーザー追加・ (OpenID Connect RP) 管理者 変更・削除 SSO / ID連携API アクセス (OpenID 管理 Connect IdP) システム SCIM APIに従い、 サービスBの SaaS B社 ユーザー追加・ 変更・削除 社内IDで サービスAの ユーザー・ ログイン 利用 プロビジョニングAPI (SCIM Server) OpenID Connectで ID管理結果・属性情 報要求 サービスBの エンドユーザー向けWeb エンドユーザー 利用 アプリケーション (OpenID Connect RP) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved.
SCIM 2
これまでのアイデンティティ・プロビジョニングAPIの標準化動向 SPML (Service Provisioning 一方、「クラウド・サービス」の Markup Language) 仕様 多くがユーザー・プロビジョニン OASIS プロビジョニング・サービ ス技術委員会(PSTC) が策定し グAPIを提供しているが、標準 た、 XMLによってサービス・プロ 的な仕様が存在しない ビジョニング情報を交換するため のフレームワーク 「クラウド・サービス」ごとにAPIが ▪ 2001年のPSTC発足後、2003年 まちまちであり、互換性がな い にバージョン1.0を、2006年にバー ジョン2.0をOASIS標準として承認 そのためユーザー企業が自社ID しかし、仕様の複雑さや、対応す 管理システムからプロビジョニン る製品・サービスが少ないことか グを行うためには、たとえばユー ら、普及していない ザの追加・削除といった単純な操 ▪ SPML 2.0の確定以降、PSTCは 作で あっても、クラウド・サービス 実質的に活動を停止し、2012年8 月に閉会 ごとに異なるAPIに対応しなくて はならない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 3
SCIM (System for Cross-domain Identity Management) http://www.simplecloud.info/ アイデンティティ管理のための「スキーマ」と「プロトコル」を定義 スキーマ ▪ ユーザーやグループなどのJSON/XML表現 ▪ 要件に応じて拡張可能 プロトコル ▪ RESTful API ▪ CRUD (生成/参照/更新/削除)、検索、ディスカバリ、一括処理 SaaS A社 JSON/XML SCIM Service Provider 利用企業A社 (RESTful API) プロビ SCIM ジョニング Consumer SaaS B社 システム JSON/XML SCIM Service Provider (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 4
例: ユーザー生成リクエスト /Users POST /Users HTTP/1.1 エンドポイント Host: example.com にPOST Accept: application/json Content-Type: application/json JSON形式 JSON形式 Authorization: Bearer h480djs93hd8 のレスポンス にてユーザー を要求 Content-Length: ... 情報を送信 { "schemas":["urn:scim:schemas:core:1.0"], API認可情報 "userName":"bjensen", "externalId":"bjensen", "name":{ ユーザー情報 "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara“ } } SCIM SCIM Service Provider Consumer リクエスト (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 5
例: ユーザー生成レスポンス ステータス HTTP/1.1 201 Created コード 201 Content-Type: application/json Location: https://example.com/v1/Users/2819c223-7f76-453a-919d-413861904646 このユーザー ETag: W/"e180ee84f0671b1" 情報のURL { "schemas":["urn:scim:schemas:core:1.0"], "id":"2819c223-7f76-453a-919d-413861904646", "externalId":"bjensen", "meta":{ "created":"2011-08-01T21:32:44.882Z", "lastModified":"2011-08-01T21:32:44.882Z", "location":"https://example.com/v1/Users/2819c223-7f76-453a-919d- 生成された 413861904646", ユーザー "version":"W¥/¥"e180ee84f0671b1¥"" 情報の表現 }, "name":{ "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara" }, "userName":"bjensen" } SCIM SCIM Service Provider Consumer レスポンス (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 6
Core Schema ユーザー/グループを表現する最小限のスキーマと、スキー マの拡張モデルを定義 スキーマ 既存のクラウドサービス事業者のAPI、Portable Contacts、LDAPな どを参考に定義 ▪ ユーザー、エンタープライズ・ユーザー、グループ、サービス・プロバイダの設定 情報、リソース JSONおよびXMLへのバインディングを規定 ▪ スキーマを表現できない場合 (JSON) を考慮し、schemas属性を定義 スキーマ拡張モデル LDAPのObjectClassの考え方を援用 しかしLDAPと異なり、スキーマの継承はない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 7
SCIM Protocol アプリケーション・レベルのAPIを定義 HTTPメソッドを利用 GET: リソース取得(全体/部分) POST: 新規リソース生成 PUT: リソースの変更(指定した内容で置き換え) PATCH: リソースの変更(部分更新)、パスワード変更 DELETE: リソース削除 Well knownなエンドポイントを定義 /Users, /Groups, /ServiceProviderConfigs, /Schemas, /Bulk API認可はOAuth 2.0を推奨 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 8
これまでの流れ  2010年7月  Cloud Identity Summitのアンカンファレンスの「Cloud LDAP」セッションを契機に、UnboundID、Salesforce.com、Google、 Ping Identityのキーパーソンが同名プロジェクト(のちに「Cloud Directory」に変更)を立ち上げ  2010年11月  IIW (Internet Identity Workshop) 11 にて、上記のメンバーおよびMicrosoft他によるF2Fを開催  2011年4月  名称をSCIMに変更し、草案を一般に公開  2011年5月  IIW 12 にて議論  UnboundID, Salesforce.com, Cisco, Ping IdentityがOWF Contributor Agreementに署名  2011年12月  バージョン1.0仕様をリリース  2012年3月  BoF at IETF 83  2012年6月  WG chartered  2012年7月  バージョン1.1 仕様をリリース  第一回WG会合 @ IETF84 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 9
SCIMのマイルストーン 年 マイルストーン 2012 •6月: Initial adoption of SCIM use cases, as a living document •6月: Initial adoption of SCIM core schema •8月: Initial adoption of SCIM restful interface draft •11月: Initial adoption of SCIM LDAP inetOrgPerson mapping draft •12月: Snapshot version of SCIM use cases to IESG as Informational (possibly) •12月: Proposal for client targeting of SCIM endpoints 2013 •2月: SCIM core schema to IESG as Proposed Standard •5月: SCIM restful interface to IESG as Proposed Standard •6月: SCIM LDAP inetOrgPerson mapping to IESG as Informational •7月: Initial adoption of SCIM SAML bindings draft •8月: Client targeting of SCIM endpoints to IESG as Proposed Standard •9月: Snapshot update of SCIM use cases as Informational (possibly) •11月: SCIM SAML bindings to IESG as Proposed Standard 2014 •1月: Work completed; discuss re-charter Source: System for Cross-domain Identity Management (scim) – Charter https://datatracker.ietf.org/wg/scim/charter/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 10
OpenID Connect 11
OpenID Connectとは http://openid.net/connect OpenIDの次期バージョン OAuth 2.0 仕様をベースに拡張 「シンプルな認証結果と属性情報の取得」 (後述) の範囲であれば、 一般的なOAuth 2.0認可 + API アクセスのフローとほぼ同様 メッセージ形式にJSONを採用 加えてJWT (JSON Web Token) を活用することにより、 署名と暗号化をサポート 仕様のモジュラー化 かんたんなことをシンプルにする一方、複雑なことも実現可能に Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 12
OpenID Connectの系図 Source: http://civics.com/openid-connect-webinar/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 13
OpenID Connectのフロー(概要) 7.(オプション): ユーザー属性 7 8. (オプショ OpenID クレーム クレーム ソース 提供要求 ン): ユーザー プロバイダ 8 属性提供 リライング・ 5. ユーザー属性 パーティ 提供要求 5 6 . ユーザー (RP) 属性提供 OpenID ユーザー UserInfo 6 クライアント プロバイダ 情報 エンドポイント 2. トークン 2 (クレーム) 取得要求 (ブラウザの 4 リダイレクト) 4. アクセス・ トークンとID エンドユーザー トークンを返却 認可 (ブラウザの エンドポイント リダイレクト) 認可 サーバー 1. サービスに 9 . サービス アクセス 提供 1 9 3 3. ユーザー 認証・認可 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 14
OpenID Connectによる認証結果の要求・取得の例 (*) 1. WebブラウザからRPの「ログイン」ボタンをクリック OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ サーバー クライアント パーティ 認可 エンドポイント (RP) example.comの IDでログイン! <a href="https://server.example.com/authorize?grant _type=code&scope=openid&client_id=3214244&state=af1 Ef">example.comのIDでログイン!</a> (*) 本ページ以降の例示は http://www.thread- safe.com/2012/07/how-simple-is-openid-connect- basic.html を元に作図 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 15
OpenID Connectによる認証結果の要求・取得の例 2. WebブラウザがOPに認可リクエストを送信 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /authorize?grant_type=code&scope=openid&client_ id=3214244&state=af1Ef HTTP/1.1 Host: server.example.com Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 16
OpenID Connectによる認証結果の要求・取得の例 3. OPがユーザーを認証 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) 何らかの方法でユーザーを 認証 例: ID/パスワード、OTP、 クッキー、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 17
OpenID Connectによる認証結果の要求・取得の例 4. OPがWebブラウザをRPにリダイレクト OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) Location: https://client.example.com/cb?code=8rFowi dZfjt&state=af1Ef OPがcodeを 返却 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 18
OpenID Connectによる認証結果の要求・取得の例 4. WebブラウザがRPに、OPから受け取ったcodeを送信 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /cb?code=8rFowidZfjt&state=af1Ef HTTP/1.1 Host: client.example.com Webブラウザ 経由でRPに codeが渡る Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 19
OpenID Connectによる認証結果の要求・取得の例 5. RPがOPにcodeを送信し、id_tokenをリクエスト OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /token?code=8rFowidZfjt HTTP/1.1 Host: server.example.com Authorization: Basic … codeを送信 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 20
OpenID Connectによる認証結果の要求・取得の例 6. OPがRPに、codeにひもづくid_token他を返却 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) { "access_token": "SlAV32hkKG", アクセス・ "token_type": "Bearer", トークン (*) "refresh_token": "8xLOxBtZp8", "expires_in": 3600, "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ" id_token } (*) UserInfoやその他のAPIアクセスに 使用。本例では省略 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 21
OpenID Connectによる認証結果の要求・取得の例 7. RPがid_tokenを復号し、OPが返却したuser_idを取得 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz RPが受け取った ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi id_tokenの値 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ <?php 認証結果 $res = json_decode($response, true); ( base64urlエンコードされた $id_token = $res['id_token']; JWT Claims Set) $id_array = mb_split(".", $id_token); $id_body = base64url_decode($id_array[1]); ?> RP側での復号処理 (例はPHPによる実装例。 ピリオド “.” で3分割し、2番目の { パートをbase64urlデコード) "iss": "https://server.example.com", "user_id": "248289761001", 認証結果 "aud": "3214244", (JWT Claims "iat": 1311195570, Set) "exp": 1311281970 user_idの値 = } OPからRPに 払い出された ユーザー識別子 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 22
OpenID Connectによる認証結果の要求・取得の例 8. RPがWebブラウザにコンテンツを返却 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) OPから払い出されたユーザーID: 248289761001 にひもづくユーザーが すでに存在するか? Yes → 「ようこそ、太郎さん!」 No → 「既存ユーザーとのひもづけ or 新規登録をお願いします」 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 23
OpenID Connectの今後のロードマップ 現在Implementer’s Draftが公開中 今後最終仕様に OpenID Connectをサポートする製品・サービスベンダー (予定含む) Gluu、IBM、Layer7、Microsoft、野村総合研究所、Ping Identity、 Vordel、… AOL、Google、日本経済新聞社、PayPal、楽天、Salesforce.com、 Yahoo! JAPAN、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 24
SCIM and OpenID Connect Intro

Recommended

銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizdayTatsuo Kudo
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOITatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 

Recommended

銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizdayTatsuo Kudo
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOITatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピックHitachi, Ltd. OSS Solution Center.
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方Hitachi, Ltd. OSS Solution Center.
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現Hitachi, Ltd. OSS Solution Center.
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynoteJunya Suzuki
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...FinTechLabs.io
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020OpenID Foundation Japan
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...FinTechLabs.io
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FinTechLabs.io
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインLIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインNaohiro Fujie
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic StackJunya Suzuki
 
APIに関するセッション資料
APIに関するセッション資料APIに関するセッション資料
APIに関するセッション資料CData Software Japan
 
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4Junya Suzuki
 
Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"GOLDandLAPIS
 
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へクラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へCybozucommunity
 

More Related Content

What's hot

FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現Hitachi, Ltd. OSS Solution Center.
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynoteJunya Suzuki
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...FinTechLabs.io
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020OpenID Foundation Japan
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...FinTechLabs.io
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FinTechLabs.io
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインLIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインNaohiro Fujie
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic StackJunya Suzuki
 
APIに関するセッション資料
APIに関するセッション資料APIに関するセッション資料
APIに関するセッション資料CData Software Japan
 
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4Junya Suzuki
 

What's hot (20)

FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
 
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
 
OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方OAuth 2.0のResource Serverの作り方
OAuth 2.0のResource Serverの作り方
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
 
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
 
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログインLIFFとの連携でさらに強力に。こんなに使えるLINEログイン
LIFFとの連携でさらに強力に。こんなに使えるLINEログイン
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack決済サービスの監視を支えるElastic Stack
決済サービスの監視を支えるElastic Stack
 
APIに関するセッション資料
APIに関するセッション資料APIに関するセッション資料
APIに関するセッション資料
 
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
CloudNativeな決済サービスの開発と2年間の歩み #sf_A4
 

Similar to SCIM and OpenID Connect Intro

Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"GOLDandLAPIS
 
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へクラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へCybozucommunity
 
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考えるNissho-Blocks
 
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9OpenID Foundation Japan
 
浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターン浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターンAmazon Web Services Japan
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Naohiro Fujie
 
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵Sapporo Sparkle k.k.
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
GIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォームGIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォームIIJ
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Egawa Junichi
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵Sapporo Sparkle k.k.
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)CLOUDIAN KK
 
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...SORACOM,INC
 
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発Yuki Ando
 

Similar to SCIM and OpenID Connect Intro (20)

Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"Single SignOn Product "Gatekeeper"
Single SignOn Product "Gatekeeper"
 
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へクラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
 
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
 
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9Shingo Yamanaka, OIDF-J - OpenID TechNight #9
Shingo Yamanaka, OIDF-J - OpenID TechNight #9
 
浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターン浸透するサーバーレス 実際に見るユースケースと実装パターン
浸透するサーバーレス 実際に見るユースケースと実装パターン
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 
[Japan Tech summit 2017] SEC 007
[Japan Tech summit 2017] SEC 007[Japan Tech summit 2017] SEC 007
[Japan Tech summit 2017] SEC 007
 
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
Azure AD B2C + LINE 学校や企業における次世代 ID/ メッセージ基盤
 
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵セミナー「クラウド時代におけるシステムデザイン」桑原里恵
セミナー「クラウド時代におけるシステムデザイン」桑原里恵
 
Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020Sum awsloft tko-iotloft-10-lt4-may-2020
Sum awsloft tko-iotloft-10-lt4-may-2020
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 
GIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォームGIO-APIを支えるAPIプラットフォーム
GIO-APIを支えるAPIプラットフォーム
 
Amazon Web Servicesブース:UI×API×AWS 横田 聡
Amazon Web Servicesブース:UI×API×AWS 横田 聡Amazon Web Servicesブース:UI×API×AWS 横田 聡
Amazon Web Servicesブース:UI×API×AWS 横田 聡
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵クラウドを活かし、強みにするISVの可能性 桑原里恵
クラウドを活かし、強みにするISVの可能性 桑原里恵
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
 
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
SORACOM Conference Discovery 2017 | D2. 閉域直結!モバイルセキュアネットワークの仕組みとユースケース 〜NECクラ...
 
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
 

More from Tatsuo Kudo

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Tatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021Tatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyTatsuo Kudo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Tatsuo Kudo
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可Tatsuo Kudo
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIsTatsuo Kudo
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisumTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 

More from Tatsuo Kudo (16)

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIs
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 

SCIM and OpenID Connect Intro

  • 1. SCIM と OpenID Connect の概要 2012年10月18日 工藤達雄 株式会社野村総合研究所 IT基盤インテグレーション事業本部 DIソリューション事業部
  • 2. SCIMとOpenID Connect 利用企業A社 ID管理システム SCIM APIに従い、 SaaS A社 社内の サービスAの 人事情報 ユーザー追加・ ユーザー追加・ システム 変更・削除 変更・削除 ユーザー・ プロビジョニングAPI プロビ プロビジョニン (SCIM Server) ジョニング グ機能(SCIM システム Client) OpenID Connectで認 エンドユーザー向けWeb 証結果・属性 アプリケーション 社内の 情報要求 ユーザー追加・ (OpenID Connect RP) 管理者 変更・削除 SSO / ID連携API アクセス (OpenID 管理 Connect IdP) システム SCIM APIに従い、 サービスBの SaaS B社 ユーザー追加・ 変更・削除 社内IDで サービスAの ユーザー・ ログイン 利用 プロビジョニングAPI (SCIM Server) OpenID Connectで ID管理結果・属性情 報要求 サービスBの エンドユーザー向けWeb エンドユーザー 利用 アプリケーション (OpenID Connect RP) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved.
  • 3. SCIM 2
  • 4. これまでのアイデンティティ・プロビジョニングAPIの標準化動向 SPML (Service Provisioning 一方、「クラウド・サービス」の Markup Language) 仕様 多くがユーザー・プロビジョニン OASIS プロビジョニング・サービ ス技術委員会(PSTC) が策定し グAPIを提供しているが、標準 た、 XMLによってサービス・プロ 的な仕様が存在しない ビジョニング情報を交換するため のフレームワーク 「クラウド・サービス」ごとにAPIが ▪ 2001年のPSTC発足後、2003年 まちまちであり、互換性がな い にバージョン1.0を、2006年にバー ジョン2.0をOASIS標準として承認 そのためユーザー企業が自社ID しかし、仕様の複雑さや、対応す 管理システムからプロビジョニン る製品・サービスが少ないことか グを行うためには、たとえばユー ら、普及していない ザの追加・削除といった単純な操 ▪ SPML 2.0の確定以降、PSTCは 作で あっても、クラウド・サービス 実質的に活動を停止し、2012年8 月に閉会 ごとに異なるAPIに対応しなくて はならない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 3
  • 5. SCIM (System for Cross-domain Identity Management) http://www.simplecloud.info/ アイデンティティ管理のための「スキーマ」と「プロトコル」を定義 スキーマ ▪ ユーザーやグループなどのJSON/XML表現 ▪ 要件に応じて拡張可能 プロトコル ▪ RESTful API ▪ CRUD (生成/参照/更新/削除)、検索、ディスカバリ、一括処理 SaaS A社 JSON/XML SCIM Service Provider 利用企業A社 (RESTful API) プロビ SCIM ジョニング Consumer SaaS B社 システム JSON/XML SCIM Service Provider (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 4
  • 6. 例: ユーザー生成リクエスト /Users POST /Users HTTP/1.1 エンドポイント Host: example.com にPOST Accept: application/json Content-Type: application/json JSON形式 JSON形式 Authorization: Bearer h480djs93hd8 のレスポンス にてユーザー を要求 Content-Length: ... 情報を送信 { "schemas":["urn:scim:schemas:core:1.0"], API認可情報 "userName":"bjensen", "externalId":"bjensen", "name":{ ユーザー情報 "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara“ } } SCIM SCIM Service Provider Consumer リクエスト (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 5
  • 7. 例: ユーザー生成レスポンス ステータス HTTP/1.1 201 Created コード 201 Content-Type: application/json Location: https://example.com/v1/Users/2819c223-7f76-453a-919d-413861904646 このユーザー ETag: W/"e180ee84f0671b1" 情報のURL { "schemas":["urn:scim:schemas:core:1.0"], "id":"2819c223-7f76-453a-919d-413861904646", "externalId":"bjensen", "meta":{ "created":"2011-08-01T21:32:44.882Z", "lastModified":"2011-08-01T21:32:44.882Z", "location":"https://example.com/v1/Users/2819c223-7f76-453a-919d- 生成された 413861904646", ユーザー "version":"W¥/¥"e180ee84f0671b1¥"" 情報の表現 }, "name":{ "formatted":"Ms. Barbara J Jensen III", "familyName":"Jensen", "givenName":"Barbara" }, "userName":"bjensen" } SCIM SCIM Service Provider Consumer レスポンス (RESTful API) Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 6
  • 8. Core Schema ユーザー/グループを表現する最小限のスキーマと、スキー マの拡張モデルを定義 スキーマ 既存のクラウドサービス事業者のAPI、Portable Contacts、LDAPな どを参考に定義 ▪ ユーザー、エンタープライズ・ユーザー、グループ、サービス・プロバイダの設定 情報、リソース JSONおよびXMLへのバインディングを規定 ▪ スキーマを表現できない場合 (JSON) を考慮し、schemas属性を定義 スキーマ拡張モデル LDAPのObjectClassの考え方を援用 しかしLDAPと異なり、スキーマの継承はない Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 7
  • 9. SCIM Protocol アプリケーション・レベルのAPIを定義 HTTPメソッドを利用 GET: リソース取得(全体/部分) POST: 新規リソース生成 PUT: リソースの変更(指定した内容で置き換え) PATCH: リソースの変更(部分更新)、パスワード変更 DELETE: リソース削除 Well knownなエンドポイントを定義 /Users, /Groups, /ServiceProviderConfigs, /Schemas, /Bulk API認可はOAuth 2.0を推奨 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 8
  • 10. これまでの流れ  2010年7月  Cloud Identity Summitのアンカンファレンスの「Cloud LDAP」セッションを契機に、UnboundID、Salesforce.com、Google、 Ping Identityのキーパーソンが同名プロジェクト(のちに「Cloud Directory」に変更)を立ち上げ  2010年11月  IIW (Internet Identity Workshop) 11 にて、上記のメンバーおよびMicrosoft他によるF2Fを開催  2011年4月  名称をSCIMに変更し、草案を一般に公開  2011年5月  IIW 12 にて議論  UnboundID, Salesforce.com, Cisco, Ping IdentityがOWF Contributor Agreementに署名  2011年12月  バージョン1.0仕様をリリース  2012年3月  BoF at IETF 83  2012年6月  WG chartered  2012年7月  バージョン1.1 仕様をリリース  第一回WG会合 @ IETF84 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 9
  • 11. SCIMのマイルストーン 年 マイルストーン 2012 •6月: Initial adoption of SCIM use cases, as a living document •6月: Initial adoption of SCIM core schema •8月: Initial adoption of SCIM restful interface draft •11月: Initial adoption of SCIM LDAP inetOrgPerson mapping draft •12月: Snapshot version of SCIM use cases to IESG as Informational (possibly) •12月: Proposal for client targeting of SCIM endpoints 2013 •2月: SCIM core schema to IESG as Proposed Standard •5月: SCIM restful interface to IESG as Proposed Standard •6月: SCIM LDAP inetOrgPerson mapping to IESG as Informational •7月: Initial adoption of SCIM SAML bindings draft •8月: Client targeting of SCIM endpoints to IESG as Proposed Standard •9月: Snapshot update of SCIM use cases as Informational (possibly) •11月: SCIM SAML bindings to IESG as Proposed Standard 2014 •1月: Work completed; discuss re-charter Source: System for Cross-domain Identity Management (scim) – Charter https://datatracker.ietf.org/wg/scim/charter/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 10
  • 13. OpenID Connectとは http://openid.net/connect OpenIDの次期バージョン OAuth 2.0 仕様をベースに拡張 「シンプルな認証結果と属性情報の取得」 (後述) の範囲であれば、 一般的なOAuth 2.0認可 + API アクセスのフローとほぼ同様 メッセージ形式にJSONを採用 加えてJWT (JSON Web Token) を活用することにより、 署名と暗号化をサポート 仕様のモジュラー化 かんたんなことをシンプルにする一方、複雑なことも実現可能に Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 12
  • 14. OpenID Connectの系図 Source: http://civics.com/openid-connect-webinar/ Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 13
  • 15. OpenID Connectのフロー(概要) 7.(オプション): ユーザー属性 7 8. (オプショ OpenID クレーム クレーム ソース 提供要求 ン): ユーザー プロバイダ 8 属性提供 リライング・ 5. ユーザー属性 パーティ 提供要求 5 6 . ユーザー (RP) 属性提供 OpenID ユーザー UserInfo 6 クライアント プロバイダ 情報 エンドポイント 2. トークン 2 (クレーム) 取得要求 (ブラウザの 4 リダイレクト) 4. アクセス・ トークンとID エンドユーザー トークンを返却 認可 (ブラウザの エンドポイント リダイレクト) 認可 サーバー 1. サービスに 9 . サービス アクセス 提供 1 9 3 3. ユーザー 認証・認可 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 14
  • 16. OpenID Connectによる認証結果の要求・取得の例 (*) 1. WebブラウザからRPの「ログイン」ボタンをクリック OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ サーバー クライアント パーティ 認可 エンドポイント (RP) example.comの IDでログイン! <a href="https://server.example.com/authorize?grant _type=code&scope=openid&client_id=3214244&state=af1 Ef">example.comのIDでログイン!</a> (*) 本ページ以降の例示は http://www.thread- safe.com/2012/07/how-simple-is-openid-connect- basic.html を元に作図 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 15
  • 17. OpenID Connectによる認証結果の要求・取得の例 2. WebブラウザがOPに認可リクエストを送信 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /authorize?grant_type=code&scope=openid&client_ id=3214244&state=af1Ef HTTP/1.1 Host: server.example.com Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 16
  • 18. OpenID Connectによる認証結果の要求・取得の例 3. OPがユーザーを認証 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) 何らかの方法でユーザーを 認証 例: ID/パスワード、OTP、 クッキー、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 17
  • 19. OpenID Connectによる認証結果の要求・取得の例 4. OPがWebブラウザをRPにリダイレクト OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) Location: https://client.example.com/cb?code=8rFowi dZfjt&state=af1Ef OPがcodeを 返却 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 18
  • 20. OpenID Connectによる認証結果の要求・取得の例 4. WebブラウザがRPに、OPから受け取ったcodeを送信 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /cb?code=8rFowidZfjt&state=af1Ef HTTP/1.1 Host: client.example.com Webブラウザ 経由でRPに codeが渡る Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 19
  • 21. OpenID Connectによる認証結果の要求・取得の例 5. RPがOPにcodeを送信し、id_tokenをリクエスト OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) GET /token?code=8rFowidZfjt HTTP/1.1 Host: server.example.com Authorization: Basic … codeを送信 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 20
  • 22. OpenID Connectによる認証結果の要求・取得の例 6. OPがRPに、codeにひもづくid_token他を返却 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) { "access_token": "SlAV32hkKG", アクセス・ "token_type": "Bearer", トークン (*) "refresh_token": "8xLOxBtZp8", "expires_in": 3600, "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ" id_token } (*) UserInfoやその他のAPIアクセスに 使用。本例では省略 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 21
  • 23. OpenID Connectによる認証結果の要求・取得の例 7. RPがid_tokenを復号し、OPが返却したuser_idを取得 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJodHRwczovL3NlcnZlci5leGFtcGxlLmNvbSIsInVz RPが受け取った ZXJfaWQiOiIyNDgyODk3NjEwMDEiLCJhdWQiOiJodHRwOi id_tokenの値 8vY2iwiZXhwIjoxxpZW50LmV4YW1wbGUuY29tIMzExMjgxOTcwfSA. eDesUD0vzDH3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ <?php 認証結果 $res = json_decode($response, true); ( base64urlエンコードされた $id_token = $res['id_token']; JWT Claims Set) $id_array = mb_split(".", $id_token); $id_body = base64url_decode($id_array[1]); ?> RP側での復号処理 (例はPHPによる実装例。 ピリオド “.” で3分割し、2番目の { パートをbase64urlデコード) "iss": "https://server.example.com", "user_id": "248289761001", 認証結果 "aud": "3214244", (JWT Claims "iat": 1311195570, Set) "exp": 1311281970 user_idの値 = } OPからRPに 払い出された ユーザー識別子 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 22
  • 24. OpenID Connectによる認証結果の要求・取得の例 8. RPがWebブラウザにコンテンツを返却 OpenID トークン OpenID プロバイダ 認可 エンドポイント リライング・ (OP) サーバー クライアント パーティ 認可 エンドポイント (RP) OPから払い出されたユーザーID: 248289761001 にひもづくユーザーが すでに存在するか? Yes → 「ようこそ、太郎さん!」 No → 「既存ユーザーとのひもづけ or 新規登録をお願いします」 Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 23
  • 25. OpenID Connectの今後のロードマップ 現在Implementer’s Draftが公開中 今後最終仕様に OpenID Connectをサポートする製品・サービスベンダー (予定含む) Gluu、IBM、Layer7、Microsoft、野村総合研究所、Ping Identity、 Vordel、… AOL、Google、日本経済新聞社、PayPal、楽天、Salesforce.com、 Yahoo! JAPAN、… Copyright © 2012 Nomura Research Institute, Ltd. All Rights Reserved. 24