Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CIBA詳細とCIBAで実現する社会を考えてみたかった / OpenID TechNight ...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Ayokura Ayokura
February 25, 2019
Technology
2.5k
1

CIBA詳細とCIBAで実現する社会を考えてみたかった / OpenID TechNight Vol.16 LT

2019/2/25 の OpenID TechNight Vol.16 で話したLTの発表資料です。
CIBAを既にある程度把握している人向け、と思います。

Avatar for Ayokura

Ayokura

February 25, 2019

More Decks by Ayokura

See All by Ayokura
多様なデジタルアイデンティティを攻撃からどうやって守るのか / 20251212
Avatar for Ayokura ayokura
0
680
デジタルアイデンティティの技術を学ぼう!~認証認可にまつわる標準仕様文書を読んでみよう~ / OpenID Summit Tokyo 2024
Avatar for Ayokura ayokura
0
1.3k
WWDC 2020 参加報告 ~ Sign in with Apple & WebAuthn まわりを中心に #openid #technight / openid-technight-17-wwdc20
Avatar for Ayokura ayokura
0
1.3k
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn
Avatar for Ayokura ayokura
2
5.9k

Other Decks in Technology

See All in Technology
ServiceによるKubernetes通信制御ーClusterIPを例に
Avatar for 周学勤(Zhou Xueqin) miku01
1
140
国内外の生成AIセキュリティの最新動向 & AIガードレール製品「chakoshi」のご紹介 / Latest Trends in Generative AI Security (Domestic & International) & Introduction to AI Guardrail Product "chakoshi"
Avatar for NTT docomo Business nttcom
4
1.7k
20260513_生成AIを専属DSに_AI分析結果の検品テクニック_ハンズオン_交通事故データ
Avatar for NobuakiOshiro doradora09
PRO
0
190
需要創出(Chatwork)×供給(BPaaS) フライホイールとMoat 実行能力の最適配置とAI戦略
Avatar for kubell kubell_hr
0
2k
(きっとたぶん)人材育成や教育のような何かの話
Avatar for Takanori Sejima sejima
0
610
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
Avatar for kyonmm kyonmm
PRO
2
840
新卒エンジニア研修、ハンズオンの設計における課題と実践知/ #tachikawaany
Avatar for Ichiro Nishiuma nishiuma
2
120
「QA=テスト」「シフトレフト=スクラムイベントの参加者の一員」の呪縛を解く。アジャイルな開発を止めないために、10Xで挑んだ「右側のしわ寄せ」解消記 #scrumniigata
Avatar for nihonbuson nihonbuson
PRO
3
860
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
Avatar for Kaz kaz1437
0
240
もっとコンテンツをよく構造化して理解したいので、LLM 時代こそ Taxonomy の設計品質に目を向けたい〜!
Avatar for MasatoMasaMasa morinota
0
180
生成AIが変える SaaS の競争原理と弁護士ドットコムのプロダクト戦略
Avatar for 弁護士ドットコム bengo4com
1
3.5k
AIと乗り切った1,500ページ超のヘルプサイト基盤刷新とさらにその先の話
Avatar for mugi / Hajime Mugishima mugi_uno
2
300

Featured

See All Featured
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
180
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
380
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.3k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
740
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
540

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    CIBA詳細とCIBAで実現する社会 を考えてみたかった 2019/2/25 OpenID TechNight #16 LT 株式会社レピダム 名古屋 謙彦 (あよくら @ayokura)

  2. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    自己紹介  株式会社レピダムで社員2年目です。  (学生時代のお仕事も含めると9年目です)  コード書いたり、システム管理をするエンジニアです  サーバーやネットワークのおせわをするのは癒し  クリスチャンです  @ayokura でtwitterなどやっています  ID関係は、学生時代からの趣味です 今は仕事にも役立っています(+KYC WGにいます)  簡単に安全な世の中が来てほしいです  インターネット経由とか対面とか電話越しとか気にせずに サービスが受けられる時代がこないかな、と思ってます 2

  3. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    セキュリティやネットワーク技術の研究開発を強みとし、 課題解決やビジネス実現を通じて顧客の事業成長の加速に 貢献する 株式会社レピダム 3 開発力 専門性 HUB力 事業ニーズ ・事業会社 ・自治体 ・新規ビジネス エッジの効いた技術で顧客のビジネスを加速 技術シーズ ・企業研究所 ・標準化団体 ・大学 事業ニーズを次世代の技術開発へ

  4. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    CIBAとは  Client Initiated Backchannel Authenticaton  最近Implementer’s Draftになりました  https://openid.net/2019/02/04/implementers-draft- of-openid-connect-client-initiated-backchannel- authentication-ciba-core-approved/  Total votes: 58 (out of 270 members = 21% > 20% quorum requirement)  ……これ20%下回ったらどうなってたんだろう……。  その他、直前のLTをご参照ください m(_ _ )m  https://openid.net/developers/specs/ からリンクさ れているのは2017年のものという罠に注意です……。 4

  5. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    Agenda  OAuth 2.0 Device FlowとCIBAを比べてみて  OAuth 2.0 Device Flow  CIBAと違うところ  その他CIBAの仕様で気になったところ  OPが認証したいユーザーを識別する方法  User Code  Privacy Considerations  願望 5

  6. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow  draft-ietf-oauth-device-flow  まだRFCになってない拡張  Googleが「Youtube on TV」で使っているはず  ゲーム機とかテレビとかの、キーボード入力が難しかったり、 Webブラウザがないような環境で使います 6

  7. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow 7

  8. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow 8

  9. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow 9

  10. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow 10

  11. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow~CIBAと違うところ  ユーザーとデバイスの紐づけの情報を送る側が違う  Device Flowでは、デバイスの一時的な識別子(verification code)を、ユーザーがAuthorization Serverに入力 ユーザーのセッションとverification codeが紐づけられて認可画 面がでる  紐づけに使う情報を送るのはユーザー  CIBAでは、RPが認証を始める時点でユーザーを識別できる情報 (ヒント)をOPに送信する エンドユーザーの認証デバイス(Authentication Device)には OPからプッシュ通知などで認証するかが飛ぶ  紐づけに使う情報を送るのはRP 11

  12. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OAuth 2.0 Device Flow~CIBAと違うところ  この観点でまとめてる人あんまいない、やったーと思ってい たのですが……  @ritou さんのブログにまとまってました  https://ritou.hatenablog.com/entry/2018/12/29/224 452 12

  13. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    Agenda  OAuth 2.0 Device FlowとCIBAを比べてみて  OAuth 2.0 Device Flow  CIBAと違うところ  その他CIBAの仕様で気になったところ  OPが認証したいユーザーを識別する方法  User Code  Privacy Considerations  願望 13

  14. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    OPが認証したいユーザーを識別する方法  RPがAuthentication Request時にユーザーを識別する ためのヒントを送る  3種類のヒント  id_token_hint  過去に発行されたID Tokenをヒントにする  login_hint_token  トークンとしてヒント情報を送る(JWT形式?)  login_hint  上のいずれでもないケース。たぶん文字列で送るはず  どれか一つが必須、二つ以上あってはならない 14

  15. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    User Code  エンドユーザーとOPのみが知る秘密のコード  仕様上はOPTIONAL  Authentication Requestを受けたOPが、ユーザーのAD に認証要求を送るか判断するのに使う  なぜ必要?  ヒントにメールアドレスを使っている場合などで、本人以外が認証 要求を送れる  ⇒寝ているときなどに唐突にデバイス通知で起こされるかも  この辺の問題は他のパスワードレスな認証の手段でもあるはず  本人以外が認証要求を送るのが難しければ不要、のはず 15

  16. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    15. Privacy Considerations  認証時ヒントとしてユーザーを識別できる情報をRPに渡す  電話番号・メールアドレスといった、静的かつグローバルな 識別子を利用する場合、プライバシー的によろしくない。 対応策としては過去のID Tokenをヒントとして使ったり、 ADからCDに転送された使い捨てユーザーIDを使ったり、 Discovery Serviceを使うみたいなのがあるらしい。  ADからCDに転送された使い捨てユーザーID  認証アプリ側に一度だけ使えるユーザーIDを表示してそれを打ち 込んでもらう  または、QRコードしておいてスキャンしてもらう  ⇒プライバシー要素でなくても、QRコード使う形は便利そう…… 16

  17. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    Agenda  OAuth 2.0 Device FlowとCIBAを比べてみて  OAuth 2.0 Device Flow  CIBAと違うところ  その他CIBAの仕様で気になったところ  OPが認証したいユーザーを識別する方法  User Code  Privacy Considerations  願望 17

  18. https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.

    願望~こんなところで使えたら楽しい  既存の認証がなかったソリューションへの認証追加  バーコードを使うようなポイントカード・図書館カードの拡張  ポイント利用時や、本の予約時など、より精密に認証が必要な時に利用する と幸せなのでは  同様にしてFelica IDm等をIDとして使って認証は別に追加など できるかも  とはいえその手のケースでは手間を省くのが目的なので難しいかも  既存の物理トークンを用いた仕組みへの二要素追加  クレジットカードのオーソリ等で、オーソリ通らない場合に電話がか かってくるのではなく、通知が飛んで来て処理できる  一定額超えたら手動で承認 18