Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenID TechNight 13 ritou

Avatar for ritou ritou
August 26, 2015
Technology
1
5.1k

OpenID TechNight 13 ritou

https://openid.doorkeeper.jp/events/29487 にて発表した資料です。
Avatar for ritou

ritou

August 26, 2015
Tweet

More Decks by ritou

See All by ritou
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
Avatar for ritou ritou
2
1.9k
パスキー導入の課題と ベストプラクティス、今後の展望
Avatar for ritou ritou
12
4.1k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
Avatar for ritou ritou
1
93
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
Avatar for ritou ritou
4
1.7k
OIDF-J EIWG 振り返り
Avatar for ritou ritou
2
52
そのQRコード、安全ですか? / Cross Device Flow
Avatar for ritou ritou
4
530
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
Avatar for ritou ritou
3
620
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
Avatar for ritou ritou
2
820
Webアプリ開発者向け パスキー対応の始め方
Avatar for ritou ritou
4
6.5k

Other Decks in Technology

See All in Technology
TerraformをSaaSで使うとAzureの運用がこんなに楽ちん!HCP Terraformって何?
Avatar for Minoru Nakabayashi mnakabayashi
0
240
Observability в PHP без боли. Олег Мифле, тимлид Altenar
Avatar for Lamoda Tech lamodatech
0
160
ハノーバーメッセ2025座談会.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
130
本部長の代わりに提案書レビュー! KDDI営業が毎日使うAIエージェント「A-BOSS」開発秘話
Avatar for みのるん minorun365
PRO
14
2k
TODAY 看世界(?) 是我們在看扣啦!
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
780
JSX - 歴史を振り返り、⾯⽩がって、エモくなろう
Avatar for 晴れ井戸 pal4de
3
1k
評価の納得感を2段階高める「構造化フィードバック」
Avatar for あろえ aloerina
1
270
CSS、JSをHTMLテンプレートにまとめるフロントエンド戦略
Avatar for Saito Ayumu d120145
0
160
自分を理解するAI時代の準備 〜マイプロフィールMCPの実装〜
Avatar for edo edo_m18
0
110
成立するElixirの再束縛(再代入)可という選択
Avatar for kubell kubell_hr
0
490
Long journey of Continuous Delivery at Mercari
Avatar for Hisaharu Ishii hisaharu
1
230
AI技術トレンド勉強会 #1 MCPの基礎と実務での応用
Avatar for Nisei Kimura nisei_k
1
230

Featured

See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
228
22k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
30
2.1k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
16
930
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
42
7.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M

Transcript

  1. コンシューマ領域における ID連携のユースケースと ライブラリ紹介(OAuth編) Ryo Ito(@ritou) 1

  2. 自己紹介  Ryo Ito  @ritou ← あーるいとう or りとう

    or 猫(なんでもいい)  OpenIDファウンデーション・ジャパン エヴァンジェリスト  (株)ミクシィ エンジニア 2

  3. コンシューマ領域のID連携 3

  4. コンシューマ領域のID連携  RP : コンシューマ向けサービス  ユーザ : コンシューマ向けサービスの利用者 

    IdP : 別のコンシューマ向けサービス →今回はRP側のお話 4

  5. コンシューマ領域のID連携  新規アカウント登録時に外部サービスのユー ザー情報を利用  ログイン時に外部サービスから受け取った ユーザー情報を利用 → いわゆる ソーシャルログイン

    5

  6. ソーシャルログインのメリット  利便性向上 パスワード入力 属性情報入力  コスト削減 メールアドレスの疎通確認 多要素認証 ※

     セキュリティ向上 6

  7. 7

  8. 代表的なIdP 8 引用元 : http://janrain.com/blog/social-login-trends-across-the-web-q1-2015/

  9. 代表的なIdP 9 引用元 : https://www.feedforce.jp/release/4979/

  10. 10 IdPかつRP

  11. エンタープライズとの違い  属性情報を利用するタイミング ID連携で属性情報を同期し続けるケースはあまり ない 初期値に使ってすぐに登録完了 or フォームにプリ セットして入力補助 

    認証のレベル IdP側の認証強度を意識していないケースが多い 11

  12. 実装方法 12

  13. ID連携の実装方法 1. 各IdPが提供するライブラリ 13 RP IdP IdP IdP SDK SDK

    SDK

  14. ID連携の実装方法 1. 各IdPが提供するライブラリ  いわゆるSDK  メリット ID連携はシンプルに実装できる  デメリット

    提供していないIdPもある IdPが想定しているユースケース、言語に限定 複数IdPサポート時に混乱が生じる可能性 14

  15. ID連携の実装方法 2. ソーシャルログイン as a Service 15 RP IdP IdP

    IdP ここに 入る

  16. ID連携の実装方法 2. ソーシャルログイン as a Service 16 引用 : http://developers.janrain.com/how-to/social-login/deploy-social-login/

  17. ID連携の実装方法 2. ソーシャルログイン as a Service  ソーシャルログインをサービスとして提供  メリット

    各IdP毎のプロトコルの差異を吸収し、RPはシン プルな実装で複数IdPから統一された属性情報を取 得可能  デメリット ID連携以外にもいろいろしたいときに難しい場合 がある 17

  18. ID連携の実装方法 3. 複数IdPをサポートするライブラリ 18 RP IdP IdP IdP Library

  19. ID連携の実装方法 3. 複数IdPをサポートするライブラリ  各IdPとのID連携をサポートするライブラリ OmniAuth など。各IdPの差異をStrategyが吸収 PluginによりWAFとの相性も良かったりする  メリット

    複数IdPから統一された属性情報を取得可能  デメリット 安全な実装になっていないケースも? 19

  20. ID連携の実装方法 4. プロトコルをサポートするライブラリ  OAuth 2.0用ライブラリ等を用いて実装  メリット 元気があればなんでもできる! 

    デメリット 各IdPのこまかーい癖に悩まされる可能性 RFC, Draft, Draft(改, ほとんど独自 20

  21. OAuth 2.0を使ったID連携 21

  22. OAuth 2.0でID連携?  OAuth はリソースアクセスのしくみ  ID連携のために、APIアクセスにより必要な情 報を取得 識別子 プロフィール情報

    22

  23. 今回取り上げる例  IdP(Server) : Webアプリケーション  RP(Client) : Webアプリケーション 

    デバイス : Webブラウザ 23

  24. OAuthでID連携 : 3つのフェーズ 1. リソースアクセスを要求 24 ユーザー RP IdP IdPでログイン

    ユーザーはRPからIdPに送られる RPからIdPに送られる情報 • RPの識別子 • 戻り先URL • アクセスしたいリソース の範囲 • その他セキュリティ対策 用

  25. OAuthでID連携 : 3つのフェーズ 1. リソースアクセスを要求 25

  26. OAuthでID連携 : 3つのフェーズ 2. Access Tokenの取得 26 ユーザー RP IdP

    ユーザーがRPに対してリソースアクセスを許可 Access Token IdPからRPに送られる情報 • 認可コード RPからIdPに送られる情報 • RPの識別子 • RPの鍵 • 認可コード ユーザーはRPに戻される Access Token要求

  27. OAuthでID連携 : 3つのフェーズ 3. 属性情報の取得 27 ユーザー RP IdP ユーザーがRPに対してリソースアクセスを許可

    Access Token IdPからRPに送られる情報 • Access Token 属性情報

  28. 続きは… RFCとなった「OAuth 2.0」――その要点は? http://www.atmarkit.co.jp/ait/articles/1209/ 10/news105.html 28

  29. 課題 29

  30. ここまで紹介したID連携における課題  各IdPの差異 OAuth 2.0ベースといいつつ… 識別子取得のタイミング 属性情報取得時のAPIアクセス方法  認証強度、認証方式など あまり考えられていない

    OAuth 2.0の対象外の部分 30

  31. 困ったらOpenID ファウンデーション・ ジャパンまでご連絡ください 31