1 Tom Sato VeriClouds & Shared Signals WG [email protected] Shared Signals Framework OIDFシェアードシグナルフレームワーク（ID2）を利用してリアル タイムでセキュリティシグナルを共有するための最新情報

2 Shared Signal Framework 解決すべき問題：認証はログイン時のみ行われ継続したモニタ リングが行われていない！ End User Device Session Account Realtime Protection Security Signal Continuous Monitoring Sharing Intelligence Robotic Remediation Continuous Mitigation

3 エンドユーザーの極めて複雑な環境 ユーザー環境 セッション アイデンティティ イシュアー プロバイダー ログイン エンドユーザーを継続的にモニタリングするためにセ キュリティーシグナルを共有することはオープンスタ ンダードなしには不可能 ログアウト アプリ • セッション停止 • アカウント保護 • パスワード変更

4 Shared Signal Framework Technical Overview Shared Signal Framework ID 2 CAEP RISC PUSH based SET Delivery RFC 8935 Security Event Token (SET) RFC 8417 Sub-ID for SET RFC 9493 POLL based SET Delivery RFC 8936 JSON Web Token RFC 7519 JSON Web Key RFC 7517 JSON Web Encryption RFC 7516 CAEP :- Session control RISC :- Account protection Secure multi stream Webhook communication layer IETF technology standards used by the SSF Framework

5 Transmitter Receiver IdP Webapp ➢ 継続的双方向ストリーミング通信 ➢ 認証 (OAuth 2.0) ➢ マルチストリーム仕様 SECURE WEBHOOK Shared Signal Framework PUSH POLL ➢ PUSHは、情報をすぐに送信する ➢ POLLは、トランズミッタがインシデントを検出したときにSET情 報を送信する ➢ Security Event Token JWT暗号化 (SET=CAEP & RISC) SECURITY EVENT TOKEN OAuth 2.0

6 Transmitter Receivers IdP/Security app Webapp ➢ マルチストリーム ➢ 単純/複雑なサブジェクト ➢ 複数のWebアプリ Subject Complex Subject Shared Signal Framework ： ID2

7 CAEP SET Protocol Continuous Access Evaluation Profile ➢ Session Revoked :エンドユーザーとWebアプリケーション間のセッ ションが何らかの理由で終了 ➢ Token Claims Change :アクセストークンが変更 ➢ Credential Change:パスワード変更の意味 ➢ Assurance level change ;つまり、エンドユーザーが脆弱な認証から 強力な認証に、またはその逆に ➢ Device Compliance Changeは、デバイスのステータス変更

8 RISC SET Protocol Risk Incident Sharing and Coordination ➢ Credential Compromised：パスワードの漏洩 ➢ Account Credential Change Required：パスワード要変更 ➢ Account Purged：アカウント削除 ➢ Account Disabled, Account Enabled：アカウント停止、開始 ➢ Opt In, Opt Out Initiated, Opt Out Cancelled, Opt Out Effective ➢ Recovery Activated, Recovery Information Changed：アカウントのリカバリー作 業開始、情報変更

9 Transmitter Receiver IdP Webapp Shared Signal Framework OAuth 2.0 セッション ログイン Session Revoked Session Revoked SSFはプライバシーを守る手段 • 既にログインしているユーザーを対象にしている • IdPが漏洩を発見した場合、直ぐにセッション停 止のメッセージを送る • SETメッセージが送られる • 個人情報が送られるわけではない 基本的なユースケース

10 Industry Updates and Progress ● Microsoft Entra ID CAE updated developers guide released Oct 2023 Entra IDの継続的アクセス評価 (CAE)メカニズムは、Open ID 継続的アクセス評価プロファイル (CAEP) に基づく。 ● Google Identity “Protect user accounts with Cross-Account Protection”: CAPクロスアカウント保護サービスによって提供されるセキュリティイベント通知の仕様は初期RISCのスペック。ID2 では一部後期互換を保つ。通知は、ユーザーの Google アカウントに大きな変更があった場合に警告するもので、 多くの場合、アプリのアカウントのセキュリティにも影響する。 ● Apple announcement “SSF with Managed Apple ID” Video– June 2023 WWDC サードパーティCIAMは、OpenID Connect、SCIM、OpenID SSF をサポートすることで、Apple Business Manager に 接続できるようになった。現在、AppleはMicrosoft Entra ID、Google Workspaceをサポートしており、他のIDプロバイ ダーにも開放される予定。 ● Okta announcement –June 2023 Oktaのアカウント・セキュリティ・イベント(OpenID SSF)により、Okta内で重要なアカウント・セキュリティ・イベント(パ スワードのリセットなど)が発生するたびにOktaがApple Business Managerに通知できるため、Appleは必要に応じて エンドユーザーに適切なアクションを実行するよう促すことができます。

11 Government Updates and Progress ● CISA/NSA report “Developer and Vendor Challenges Dec 2023 「SSFのプロトコル(RISCとCAEP)は、IDプロバイダーと利用ア プリが特定のセッションのリスクに関するシグナリングを交換す ることを可能にします。エンタープライズエコシステムにおける 幅広いサポートと開発により、管理対象デバイスへのアクセスの 制限から、アカウントが侵害された場合の迅速なアクセスの取り 消しまで、さまざまなセキュリティユースケースが可能になりま す。」 ● UK Digital Identity and Attributes Trust Framework Beta July 2023 WG submitted a set of recommendation to the UK Gov. WGは、 英国政府に一連の勧告を提出した。

12 SSF開発者向けツールとサービス ● SGNL CAEP Transmitter - caep.dev 無償のオンライン継続的アクセス評価プロトコル/プロファイル(CAEP)トラ ンスミッタ ● SharedSignal Guide by Cisco SSF を実装するための開発者ガイド。開発者向けのサンプルコードのセット で非常にわかりやすく理解できます。 ● Shared Signal Consulting by VeriClouds 戦略とソリューション設計のサポート、カスタムトレーニング、専用ツール を提供し、SSFを既存のシステムにシームレスに統合します。

13 Working Group Activities Overview Specifications Under Development 開発中のスペック ▪ Dec 2023 : Implementer’s Draft 2 of Shared Signals Framework Approved ▪ What’s New in Shared Signal (Nov 2023) ▪ SSF ID2 Spec Doc Inter Operability 互換検証 ▪ Shared Signals Framework InterOp Profile (On going) ▪ CAEP Interoperability Profile 1.0 - draft 01 ▪ Call for Participation: Demonstrate Interoperability of your CAEP Implementations ▪ Gartner Identity & Access Management Summit will be held in London on March 4-5th, 2024 Developer Events イベント ▪ OpenID Summit Tokyo 2024 (SSF Technical breakout session) Jan 19th ▪ IIW Silicon Valley April 16-18 ▪ Indentiverse May 28-31 2024 Las Vegas ▪ European Identity and Cloud Conference 2024 June 4-7 Berlin

14 SSF Inter-Operability Event at Gartner IAM Summit UK ● SSF、CAEP、RISCとの標準ベースの相互運用性を実証 ● Commit to participate by Feb 2nd ● 3月3日プレカンファレンスInterOpルーム ● 3 月 4 日の分科会 - Erik Wahlstrom (Gartner) と Atul Tulshibagwale (OpenID SSWG) ● InterOpルーム内の参加者用無料ブース ● 詳細については、SSF WGにお問い合わせください。

15 How to participate ■ SSF WG HP ■ https://openid.net/wg/sharedsignals/ ■ WGメーリングリストを購読する ■ WGウィークリーミーティングに参加する ■ スペックを見る ■ OpenID ワークショップのイベントに参加する ■ WGはほとんどのIAM業界イベントに参加しています ■ Contact: Tom Sato ([email protected])

16 What’s new in SSF ID 2 : Multi Stream Support Improved Subjects • Top-level sub_id claim. The draft now complies with the SubIds recommendation of using sub_id as the subject name and places it at the top-level of the SET. • Format in complex subjects: "format": "complex" Transmitter Metadata • Well Known URL: The well-known URL of the Transmitter is now at /.well-known/ssf-configuration • Spec Version: A Spec version field is now added to the Transmitter Configuration Metadata (TCM). • Authorization Scheme: An authorization scheme has been added to the TCM to specify how the Transmitter authorizes Receivers. • Optional jwks_url: jwks_url is now optional Streams • Multi-Stream Support: The draft now supports multiple streams between the same Transmitter and Receiver. The API has been modified to support creating such streams. • Poll Delivery URL: The draft clarifies that the Transmitter must supply the endpoint_url field in the stream creation process. It also defines how the Transmitter can specify the poll URL. • Status Restriction: The stream status methods now do not allow subjects to be included in Stream Status methods. • Receiver Supplied Description: The Stream now includes a receiver supplied description • “Control Plane” Events Always Included: Clarified language the control plane events (Verification and Stream Updated) are always delivered in the stream regardless of the stream configuration • Events Delivered: The draft specifies that events_delivered is a subset (not necessarily a proper subset) of the intersection of events_supported and events_requested. Earlier, it was required to be the intersection. • Reason in Status: The stream status now includes an optional reason string Stream Events • No Subjects in SSF “Control Plane” Events: The Stream Verification and Stream Updated events restrict the subject in these events to only reference the stream as a whole. Security Considerations • Authorization: The draft no longer recommends using OAuth 2.0 or the client credentials grant flow • Audience: Events are no longer recommended to have the OAuth 2.0 Client ID as the audience