20240516 OpenID TechNight Vol.21 「OIDFシェアードシグナルフレームワーク（ID2）を利用してリアルタイムでセキュリティシグナルを共有するための最新情報」

Transcript

1. 1 Tom Sato VeriClouds & Shared Signals WG [email protected] Shared

   Signals Framework OIDFシェアードシグナルフレームワーク（ID2）を利用してリアル タイムでセキュリティシグナルを共有するための最新情報

2. 2 Shared Signal Framework 解決すべき問題：認証はログイン時のみ行われ継続したモニタ リングが行われていない！ End User Device Session

   Account Realtime Protection Security Signal Continuous Monitoring Sharing Intelligence Robotic Remediation Continuous Mitigation

3. 3 エンドユーザーの極めて複雑な環境 ユーザー環境 セッション アイデンティティ イシュアー プロバイダー ログイン エンドユーザーを継続的にモニタリングするためにセ キュリティーシグナルを共有することはオープンスタ

   ンダードなしには不可能 ログアウト アプリ • セッション停止 • アカウント保護 • パスワード変更

4. 4 Shared Signal Framework Technical Overview Shared Signal Framework ID

   2 CAEP RISC PUSH based SET Delivery RFC 8935 Security Event Token (SET) RFC 8417 Sub-ID for SET RFC 9493 POLL based SET Delivery RFC 8936 JSON Web Token RFC 7519 JSON Web Key RFC 7517 JSON Web Encryption RFC 7516 CAEP :- Session control RISC :- Account protection Secure multi stream Webhook communication layer IETF technology standards used by the SSF Framework

5. 5 Transmitter Receiver IdP Webapp ➢ 継続的双方向ストリーミング通信 ➢ 認証 (OAuth

   2.0) ➢ マルチストリーム仕様 SECURE WEBHOOK Shared Signal Framework PUSH POLL ➢ PUSHは、情報をすぐに送信する ➢ POLLは、トランズミッタがインシデントを検出したときにSET情 報を送信する ➢ Security Event Token JWT暗号化 (SET=CAEP & RISC) SECURITY EVENT TOKEN OAuth 2.0

6. 6 Transmitter Receivers IdP/Security app Webapp ➢ マルチストリーム ➢ 単純/複雑なサブジェクト

   ➢ 複数のWebアプリ Subject Complex Subject Shared Signal Framework ： ID2

7. 7 CAEP SET Protocol Continuous Access Evaluation Profile ➢ Session

   Revoked :エンドユーザーとWebアプリケーション間のセッ ションが何らかの理由で終了 ➢ Token Claims Change :アクセストークンが変更 ➢ Credential Change:パスワード変更の意味 ➢ Assurance level change ;つまり、エンドユーザーが脆弱な認証から 強力な認証に、またはその逆に ➢ Device Compliance Changeは、デバイスのステータス変更

8. 8 RISC SET Protocol Risk Incident Sharing and Coordination ➢

   Credential Compromised：パスワードの漏洩 ➢ Account Credential Change Required：パスワード要変更 ➢ Account Purged：アカウント削除 ➢ Account Disabled, Account Enabled：アカウント停止、開始 ➢ Opt In, Opt Out Initiated, Opt Out Cancelled, Opt Out Effective ➢ Recovery Activated, Recovery Information Changed：アカウントのリカバリー作 業開始、情報変更

9. 9 Transmitter Receiver IdP Webapp Shared Signal Framework OAuth 2.0

   セッション ログイン Session Revoked Session Revoked SSFはプライバシーを守る手段 • 既にログインしているユーザーを対象にしている • IdPが漏洩を発見した場合、直ぐにセッション停 止のメッセージを送る • SETメッセージが送られる • 個人情報が送られるわけではない 基本的なユースケース

10. 10 Industry Updates and Progress • Microsoft Entra ID CAE

    updated developers guide released Oct 2023 Entra IDの継続的アクセス評価 (CAE)メカニズムは、Open ID 継続的アクセス評価プロファイル (CAEP) に基づく。 • Google Identity “Protect user accounts with Cross-Account Protection”: CAPクロスアカウント保護サービスによって提供されるセキュリティイベント通知の仕様は初期RISCのスペック。ID2 では一部後期互換を保つ。通知は、ユーザーの Google アカウントに大きな変更があった場合に警告するもので、 多くの場合、アプリのアカウントのセキュリティにも影響する。 • Apple announcement “SSF with Managed Apple ID” Video– June 2023 WWDC サードパーティCIAMは、OpenID Connect、SCIM、OpenID SSF をサポートすることで、Apple Business Manager に 接続できるようになった。現在、AppleはMicrosoft Entra ID、Google Workspaceをサポートしており、他のIDプロバイ ダーにも開放される予定。 • Okta announcement –June 2023 Oktaのアカウント・セキュリティ・イベント(OpenID SSF)により、Okta内で重要なアカウント・セキュリティ・イベント(パ スワードのリセットなど)が発生するたびにOktaがApple Business Managerに通知できるため、Appleは必要に応じて エンドユーザーに適切なアクションを実行するよう促すことができます。

11. 11 Government Updates and Progress • CISA/NSA report “Developer and

    Vendor Challenges Dec 2023 「SSFのプロトコル(RISCとCAEP)は、IDプロバイダーと利用ア プリが特定のセッションのリスクに関するシグナリングを交換す ることを可能にします。エンタープライズエコシステムにおける 幅広いサポートと開発により、管理対象デバイスへのアクセスの 制限から、アカウントが侵害された場合の迅速なアクセスの取り 消しまで、さまざまなセキュリティユースケースが可能になりま す。」 • UK Digital Identity and Attributes Trust Framework Beta July 2023 WG submitted a set of recommendation to the UK Gov. WGは、 英国政府に一連の勧告を提出した。

12. 12 SSF開発者向けツールとサービス • SGNL CAEP Transmitter - caep.dev 無償のオンライン継続的アクセス評価プロトコル/プロファイル(CAEP)トラ ンスミッタ

    • SharedSignal Guide by Cisco SSF を実装するための開発者ガイド。開発者向けのサンプルコードのセット で非常にわかりやすく理解できます。 • Shared Signal Consulting by VeriClouds 戦略とソリューション設計のサポート、カスタムトレーニング、専用ツール を提供し、SSFを既存のシステムにシームレスに統合します。

13. 13 Working Group Activities Overview Specifications Under Development 開発中のスペック ▪

    Dec 2023 : Implementer’s Draft 2 of Shared Signals Framework Approved ▪ What’s New in Shared Signal (Nov 2023) ▪ SSF ID2 Spec Doc Inter Operability 互換検証 ▪ Shared Signals Framework InterOp Profile (On going) ▪ CAEP Interoperability Profile 1.0 - draft 01 ▪ Call for Participation: Demonstrate Interoperability of your CAEP Implementations ▪ Gartner Identity & Access Management Summit will be held in London on March 4-5th, 2024 Developer Events イベント ▪ OpenID Summit Tokyo 2024 (SSF Technical breakout session) Jan 19th ▪ IIW Silicon Valley April 16-18 ▪ Indentiverse May 28-31 2024 Las Vegas ▪ European Identity and Cloud Conference 2024 June 4-7 Berlin

14. 14 SSF Inter-Operability Event at Gartner IAM Summit UK •

    SSF、CAEP、RISCとの標準ベースの相互運用性を実証 • Commit to participate by Feb 2nd • 3月3日プレカンファレンスInterOpルーム • 3 月 4 日の分科会 - Erik Wahlstrom (Gartner) と Atul Tulshibagwale (OpenID SSWG) • InterOpルーム内の参加者用無料ブース • 詳細については、SSF WGにお問い合わせください。

15. 15 How to participate ▪ SSF WG HP ▪ https://openid.net/wg/sharedsignals/

    ▪ WGメーリングリストを購読する ▪ WGウィークリーミーティングに参加する ▪ スペックを見る ▪ OpenID ワークショップのイベントに参加する ▪ WGはほとんどのIAM業界イベントに参加しています ▪ Contact: Tom Sato ([email protected])

16. 16 What’s new in SSF ID 2 : Multi Stream

    Support Improved Subjects • Top-level sub_id claim. The draft now complies with the SubIds recommendation of using sub_id as the subject name and places it at the top-level of the SET. • Format in complex subjects: "format": "complex" Transmitter Metadata • Well Known URL: The well-known URL of the Transmitter is now at /.well-known/ssf-configuration • Spec Version: A Spec version field is now added to the Transmitter Configuration Metadata (TCM). • Authorization Scheme: An authorization scheme has been added to the TCM to specify how the Transmitter authorizes Receivers. • Optional jwks_url: jwks_url is now optional Streams • Multi-Stream Support: The draft now supports multiple streams between the same Transmitter and Receiver. The API has been modified to support creating such streams. • Poll Delivery URL: The draft clarifies that the Transmitter must supply the endpoint_url field in the stream creation process. It also defines how the Transmitter can specify the poll URL. • Status Restriction: The stream status methods now do not allow subjects to be included in Stream Status methods. • Receiver Supplied Description: The Stream now includes a receiver supplied description • “Control Plane” Events Always Included: Clarified language the control plane events (Verification and Stream Updated) are always delivered in the stream regardless of the stream configuration • Events Delivered: The draft specifies that events_delivered is a subset (not necessarily a proper subset) of the intersection of events_supported and events_requested. Earlier, it was required to be the intersection. • Reason in Status: The stream status now includes an optional reason string Stream Events • No Subjects in SSF “Control Plane” Events: The Stream Verification and Stream Updated events restrict the subject in these events to only reference the stream as a whole. Security Considerations • Authorization: The draft no longer recommends using OAuth 2.0 or the client credentials grant flow • Audience: Events are no longer recommended to have the OAuth 2.0 Client ID as the audience