2019/2/25 の OpenID TechNight Vol.16 で話したLTの発表資料です。 CIBAを既にある程度把握している人向け、と思います。
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.CIBA詳細とCIBAで実現する社会を考えてみたかった2019/2/25 OpenID TechNight #16 LT株式会社レピダム名古屋 謙彦 (あよくら @ayokura)
View Slide
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.自己紹介株式会社レピダムで社員2年目です。(学生時代のお仕事も含めると9年目です)コード書いたり、システム管理をするエンジニアですサーバーやネットワークのおせわをするのは癒しクリスチャンです@ayokura でtwitterなどやっていますID関係は、学生時代からの趣味です今は仕事にも役立っています(+KYC WGにいます)簡単に安全な世の中が来てほしいですインターネット経由とか対面とか電話越しとか気にせずにサービスが受けられる時代がこないかな、と思ってます2
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.セキュリティやネットワーク技術の研究開発を強みとし、課題解決やビジネス実現を通じて顧客の事業成長の加速に貢献する株式会社レピダム3開発力専門性 HUB力事業ニーズ・事業会社・自治体・新規ビジネスエッジの効いた技術で顧客のビジネスを加速技術シーズ・企業研究所・標準化団体・大学事業ニーズを次世代の技術開発へ
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.CIBAとはClient Initiated Backchannel Authenticaton最近Implementer’s Draftになりましたhttps://openid.net/2019/02/04/implementers-draft-of-openid-connect-client-initiated-backchannel-authentication-ciba-core-approved/Total votes: 58 (out of 270 members = 21% > 20% quorumrequirement)……これ20%下回ったらどうなってたんだろう……。その他、直前のLTをご参照ください m(_ _ )mhttps://openid.net/developers/specs/ からリンクされているのは2017年のものという罠に注意です……。4
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.AgendaOAuth 2.0 Device FlowとCIBAを比べてみてOAuth 2.0 Device FlowCIBAと違うところその他CIBAの仕様で気になったところOPが認証したいユーザーを識別する方法User CodePrivacy Considerations願望5
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flowdraft-ietf-oauth-device-flowまだRFCになってない拡張Googleが「Youtube on TV」で使っているはずゲーム機とかテレビとかの、キーボード入力が難しかったり、Webブラウザがないような環境で使います6
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow7
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow8
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow9
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow10
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow~CIBAと違うところユーザーとデバイスの紐づけの情報を送る側が違うDevice Flowでは、デバイスの一時的な識別子(verificationcode)を、ユーザーがAuthorization Serverに入力ユーザーのセッションとverification codeが紐づけられて認可画面がでる紐づけに使う情報を送るのはユーザーCIBAでは、RPが認証を始める時点でユーザーを識別できる情報(ヒント)をOPに送信するエンドユーザーの認証デバイス(Authentication Device)にはOPからプッシュ通知などで認証するかが飛ぶ紐づけに使う情報を送るのはRP11
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OAuth 2.0 Device Flow~CIBAと違うところこの観点でまとめてる人あんまいない、やったーと思っていたのですが……@ritou さんのブログにまとまってましたhttps://ritou.hatenablog.com/entry/2018/12/29/22445212
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.AgendaOAuth 2.0 Device FlowとCIBAを比べてみてOAuth 2.0 Device FlowCIBAと違うところその他CIBAの仕様で気になったところOPが認証したいユーザーを識別する方法User CodePrivacy Considerations願望13
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.OPが認証したいユーザーを識別する方法RPがAuthentication Request時にユーザーを識別するためのヒントを送る3種類のヒントid_token_hint過去に発行されたID Tokenをヒントにするlogin_hint_tokenトークンとしてヒント情報を送る(JWT形式?)login_hint上のいずれでもないケース。たぶん文字列で送るはずどれか一つが必須、二つ以上あってはならない14
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.User CodeエンドユーザーとOPのみが知る秘密のコード仕様上はOPTIONALAuthentication Requestを受けたOPが、ユーザーのADに認証要求を送るか判断するのに使うなぜ必要?ヒントにメールアドレスを使っている場合などで、本人以外が認証要求を送れる⇒寝ているときなどに唐突にデバイス通知で起こされるかもこの辺の問題は他のパスワードレスな認証の手段でもあるはず本人以外が認証要求を送るのが難しければ不要、のはず15
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.15. Privacy Considerations認証時ヒントとしてユーザーを識別できる情報をRPに渡す電話番号・メールアドレスといった、静的かつグローバルな識別子を利用する場合、プライバシー的によろしくない。対応策としては過去のID Tokenをヒントとして使ったり、ADからCDに転送された使い捨てユーザーIDを使ったり、Discovery Serviceを使うみたいなのがあるらしい。ADからCDに転送された使い捨てユーザーID認証アプリ側に一度だけ使えるユーザーIDを表示してそれを打ち込んでもらうまたは、QRコードしておいてスキャンしてもらう⇒プライバシー要素でなくても、QRコード使う形は便利そう……16
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.AgendaOAuth 2.0 Device FlowとCIBAを比べてみてOAuth 2.0 Device FlowCIBAと違うところその他CIBAの仕様で気になったところOPが認証したいユーザーを識別する方法User CodePrivacy Considerations願望17
https://lepidum.co.jp/Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.願望~こんなところで使えたら楽しい既存の認証がなかったソリューションへの認証追加バーコードを使うようなポイントカード・図書館カードの拡張ポイント利用時や、本の予約時など、より精密に認証が必要な時に利用すると幸せなのでは同様にしてFelica IDm等をIDとして使って認証は別に追加などできるかもとはいえその手のケースでは手間を省くのが目的なので難しいかも既存の物理トークンを用いた仕組みへの二要素追加クレジットカードのオーソリ等で、オーソリ通らない場合に電話がかかってくるのではなく、通知が飛んで来て処理できる一定額超えたら手動で承認18