Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GNAP超入門 ~ IW2021 C15

ritou
November 24, 2021
Technology
1
4k

GNAP超入門 ~ IW2021 C15

下記イベントで利用した資料です。
https://www.nic.ad.jp/iw2021/program/detail/#c15

ritou

November 24, 2021
Tweet

More Decks by ritou

See All by ritou
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
ritou
5
5.6k
Android/Chromeで体験できる 認証のための標準化仕様の 現在と未来 @ DroidKaigi 2022
ritou
2
2.2k
C向けサービスで 使われている認証方式と安全な使い方
ritou
13
2.5k
現状のFedCMの動作解説と OIDCとの親和性について- OpenID TechNight vol.19
ritou
2
630
OAuth 2.0仕様紹介 JAR, PAR, RAR @ iddance Lesson3
ritou
1
1.1k
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ 2021 / Identity Federation Protocols 2021
ritou
3
7.8k
JWT Boot Camp 2020
ritou
1
6.1k
iddance2_ritou.pdf
ritou
1
3.8k
webauthn_study_ritou.pdf
ritou
3
900

Other Decks in Technology

See All in Technology
チーム開発における様々なボトルネックの整理 / Organization of bottlenecks in Team Development
stefafafan
0
420
JAWS-UG 朝会 #43 登壇資料
takakuni
0
400
GitHub Actionsと"仲良くなる"ための練習方法
tsubakimoto_s
5
310
k8sを始める人に知ってもらいたい、Platform Engineeringの話
jacopen
1
340
How we build Ads Platform in Rust
mapbox_jp
1
190
失敗例から学ぶAWSセキュリティサービスの導入
yhana
0
3k
"Accelerate State of DevOps" ウェブアプリケーションのdeliveryを考えるとき、今何をすればいいのか
renjikari
3
240
ノーコードAI開発プラットフォーム「AIMINA」のシステム設計コンセプトと技術的チャレンジ
sbtechnight
PRO
0
320
権威DNSサービスへのDDoSと
ハイパフォーマンスなベンチマーカ / DNS Pseudo random subdomain attack and High performance Benchmarker
kazeburo
3
780
[Keynote] Production is like ultra running: brutal, ungrateful, but worth every step
colinfay
0
110
アフリカの通信・教育問題をNTN×Edtechで解決!
sbtechnight
PRO
0
330
[CI/CD2023]OSSで構築するOpenAPI開発のCI/CD
xibuka
2
180

Featured

See All Featured
Designing with Data
zakiwarfel
91
4.2k
The Illustrated Children's Guide to Kubernetes
chrisshort
23
43k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
121
29k
Designing the Hi-DPI Web
ddemaree
273
32k
Support Driven Design
roundedbygravity
88
8.9k
How to name files
jennybc
48
76k
The Mythical Team-Month
searls
210
40k
Docker and Python
trallard
30
2k
What's new in Ruby 2.0
geeforr
336
30k
Writing Fast Ruby
sferik
613
58k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.3k
Mobile First: as difficult as doing things right
swwweet
213
7.9k

Transcript

  1. GNAP 超⼊⾨
    • 伊東 諒
    • OpenID ファウンデーション・ジャパン
    • 株式会社ミクシィ

    View Slide

  2. Grant Negotiation and Authorization Protocol
    • OAuth 2.0の⻑年の経験とナ
    レッジをベースとした次世代
    プロトコルを開発するための
    取り組み
    • 現在策定中の仕様は2つ(IETF
    GNAP WG)
    • 10分で解説するのはむr

    View Slide

  3. 本⽇の内容
    • 現時点のGNAP概要
    • OAuth 2.0との違い

    View Slide

  4. 策定中の仕様
    • Grant Negotiation and Authorization Protocol (Draft.08)
    • https://datatracker.ietf.org/doc/html/draft-ietf-gnap-core-
    protocol
    • Grant Negotiation and Authorization Protocol Resource
    Server Connections (Draft.01)
    • https://datatracker.ietf.org/doc/html/draft-ietf-gnap-resource-
    servers

    View Slide

  5. Grant Negotiation and
    Authorization Protocol

    View Slide

  6. Introduction
    • This specification focuses on the portions of the delegation
    process facing the client instance. In particular, this
    specification defines interoperable methods for a client
    instance to request, negotiate, and receive access to
    information facilitated by the authorization server.
    • The focus of this protocol is to provide interoperability
    between the different parties acting in each role, and is
    not to specify implementation details of each.

    View Slide

  7. Roles
    • Authorization Server (AS)
    • Client
    • Resource Server (RS)
    • Resource Owner (RO)
    • End User
    • クライアントを操作する⼈
    • 必ずしもROと同⼀ではない

    View Slide

  8. Trust relationships
    GNAPの実装/運⽤にあたり重要になる信頼関係について、仕様
    内で⾔及されている
    • End User / RO : 両者が異なる場合、
    • End User / Client : Webアプリ、IoTデバイスなどの違い
    • End User / AS : ブラウザなどでの対話
    • Client / AS :
    • RS / RO : 同意
    • AS / RS : トークンのやりとりなど

    View Slide

  9. Sequences
    最初のClient/AS間のやりとりでその後
    のInteractionが決まる
    • Redirect-based Interaction
    (≒AuthZ Code Grarnt)
    • User-code Interaction (≒Device
    AuthZ Grant)
    • Asynchronous Authorization
    (≒CIBA)
    • Software-only Authorization
    (≒Client Cred Grant)
    • Refreshing an Expired Access
    Token (≒Refresh Token)
    • Requesting User Information
    (≒OIDC)

    View Slide

  10. OAuth 2.0(2.1?) & GNAP
    • 互換性 : なし
    • 対象となるユースケース
    • 重複する
    • OAuth 2.0で解決できない、複雑になってしまう課題への対応
    • 移⾏
    • 考慮すべき点(client_id, AuthZ Request)について記載あり

    View Slide

  11. OAuth 2.0との違い
    • Consent and authorization flexibility : 柔軟で拡張可能なイ
    ンタラクション定義
    • Intent registration and inline negotiation : 共通のリクエス
    トから必要に応じた処理の分岐
    • Client instances : ClientID から key へ
    • Expanded delegation : より構造化されたアクセス要求
    • Cryptography-based security : Bearer Secretからの脱却
    • Privacy and usable security : AS/RSの強⼒なBindからの解放

    View Slide

  12. 最新情報
    • IETF GNAP WG
    • https://tools.ietf.org/wg/gnap/
    • Mailing List
    • https://www.ietf.org/mailman/listinfo/txauth
    • GitHub Repository
    • https://github.com/ietf-wg-gnap/gnap-core-protocol

    View Slide