Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenID TechNight 13 ritou

ritou
August 26, 2015
Technology
1
5k

OpenID TechNight 13 ritou

https://openid.doorkeeper.jp/events/29487 にて発表した資料です。

ritou

August 26, 2015
Tweet

More Decks by ritou

See All by ritou
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
ritou
1
630
パスキー導入の課題と ベストプラクティス、今後の展望
ritou
8
1.5k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
ritou
0
82
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
ritou
4
1.6k
OIDF-J EIWG 振り返り
ritou
2
43
そのQRコード、安全ですか? / Cross Device Flow
ritou
4
470
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
3
590
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
2
790
Webアプリ開発者向け パスキー対応の始め方
ritou
4
6.3k

Other Decks in Technology

See All in Technology
バクラクの認証基盤の成長と現在地 / bakuraku-authn-platform
convto
4
730
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
1
480
Databricksで完全履修!オールインワンレイクハウスは実在した!
akuwano
0
110
Porting PicoRuby to Another Microcontroller: ESP32
yuuu
4
470
意思決定を支える検索体験を目指してやってきたこと
hinatades
PRO
0
270
彩の国で始めよう。おっさんエンジニアから共有したい、当たり前のことを当たり前にする技術
otsuki
0
160
QA/SDETの現在と、これからの挑戦
imtnd
0
150
バックオフィス向け toB SaaS バクラクにおけるレコメンド技術活用 / recommender-systems-in-layerx-bakuraku
yuya4
5
580
Automatically generating types by running tests
sinsoku
2
3.8k
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
140
Goの組織でバックエンドTypeScriptを採用してどうだったか / How was adopting backend TypeScript in a Golang company
kaminashi
12
8.7k
OpenLane-V2ベンチマークと代表的な手法
kzykmyzw
0
110

Featured

See All Featured
For a Future-Friendly Web
brad_frost
177
9.7k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Why Our Code Smells
bkeepers
PRO
336
57k
How to Ace a Technical Interview
jacobian
276
23k
A Modern Web Designer's Workflow
chriscoyier
693
190k
A designer walks into a library…
pauljervisheath
205
24k
Building Applications with DynamoDB
mza
94
6.3k
How to train your dragon (web standard)
notwaldorf
90
6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
34
2.2k
Faster Mobile Websites
deanohume
306
31k

Transcript

  1. コンシューマ領域における ID連携のユースケースと ライブラリ紹介(OAuth編) Ryo Ito(@ritou) 1

  2. 自己紹介  Ryo Ito  @ritou ← あーるいとう or りとう

    or 猫(なんでもいい)  OpenIDファウンデーション・ジャパン エヴァンジェリスト  (株)ミクシィ エンジニア 2

  3. コンシューマ領域のID連携 3

  4. コンシューマ領域のID連携  RP : コンシューマ向けサービス  ユーザ : コンシューマ向けサービスの利用者 

    IdP : 別のコンシューマ向けサービス →今回はRP側のお話 4

  5. コンシューマ領域のID連携  新規アカウント登録時に外部サービスのユー ザー情報を利用  ログイン時に外部サービスから受け取った ユーザー情報を利用 → いわゆる ソーシャルログイン

    5

  6. ソーシャルログインのメリット  利便性向上 パスワード入力 属性情報入力  コスト削減 メールアドレスの疎通確認 多要素認証 ※

     セキュリティ向上 6

  7. 7

  8. 代表的なIdP 8 引用元 : http://janrain.com/blog/social-login-trends-across-the-web-q1-2015/

  9. 代表的なIdP 9 引用元 : https://www.feedforce.jp/release/4979/

  10. 10 IdPかつRP

  11. エンタープライズとの違い  属性情報を利用するタイミング ID連携で属性情報を同期し続けるケースはあまり ない 初期値に使ってすぐに登録完了 or フォームにプリ セットして入力補助 

    認証のレベル IdP側の認証強度を意識していないケースが多い 11

  12. 実装方法 12

  13. ID連携の実装方法 1. 各IdPが提供するライブラリ 13 RP IdP IdP IdP SDK SDK

    SDK

  14. ID連携の実装方法 1. 各IdPが提供するライブラリ  いわゆるSDK  メリット ID連携はシンプルに実装できる  デメリット

    提供していないIdPもある IdPが想定しているユースケース、言語に限定 複数IdPサポート時に混乱が生じる可能性 14

  15. ID連携の実装方法 2. ソーシャルログイン as a Service 15 RP IdP IdP

    IdP ここに 入る

  16. ID連携の実装方法 2. ソーシャルログイン as a Service 16 引用 : http://developers.janrain.com/how-to/social-login/deploy-social-login/

  17. ID連携の実装方法 2. ソーシャルログイン as a Service  ソーシャルログインをサービスとして提供  メリット

    各IdP毎のプロトコルの差異を吸収し、RPはシン プルな実装で複数IdPから統一された属性情報を取 得可能  デメリット ID連携以外にもいろいろしたいときに難しい場合 がある 17

  18. ID連携の実装方法 3. 複数IdPをサポートするライブラリ 18 RP IdP IdP IdP Library

  19. ID連携の実装方法 3. 複数IdPをサポートするライブラリ  各IdPとのID連携をサポートするライブラリ OmniAuth など。各IdPの差異をStrategyが吸収 PluginによりWAFとの相性も良かったりする  メリット

    複数IdPから統一された属性情報を取得可能  デメリット 安全な実装になっていないケースも? 19

  20. ID連携の実装方法 4. プロトコルをサポートするライブラリ  OAuth 2.0用ライブラリ等を用いて実装  メリット 元気があればなんでもできる! 

    デメリット 各IdPのこまかーい癖に悩まされる可能性 RFC, Draft, Draft(改, ほとんど独自 20

  21. OAuth 2.0を使ったID連携 21

  22. OAuth 2.0でID連携?  OAuth はリソースアクセスのしくみ  ID連携のために、APIアクセスにより必要な情 報を取得 識別子 プロフィール情報

    22

  23. 今回取り上げる例  IdP(Server) : Webアプリケーション  RP(Client) : Webアプリケーション 

    デバイス : Webブラウザ 23

  24. OAuthでID連携 : 3つのフェーズ 1. リソースアクセスを要求 24 ユーザー RP IdP IdPでログイン

    ユーザーはRPからIdPに送られる RPからIdPに送られる情報 • RPの識別子 • 戻り先URL • アクセスしたいリソース の範囲 • その他セキュリティ対策 用

  25. OAuthでID連携 : 3つのフェーズ 1. リソースアクセスを要求 25

  26. OAuthでID連携 : 3つのフェーズ 2. Access Tokenの取得 26 ユーザー RP IdP

    ユーザーがRPに対してリソースアクセスを許可 Access Token IdPからRPに送られる情報 • 認可コード RPからIdPに送られる情報 • RPの識別子 • RPの鍵 • 認可コード ユーザーはRPに戻される Access Token要求

  27. OAuthでID連携 : 3つのフェーズ 3. 属性情報の取得 27 ユーザー RP IdP ユーザーがRPに対してリソースアクセスを許可

    Access Token IdPからRPに送られる情報 • Access Token 属性情報

  28. 続きは… RFCとなった「OAuth 2.0」――その要点は? http://www.atmarkit.co.jp/ait/articles/1209/ 10/news105.html 28

  29. 課題 29

  30. ここまで紹介したID連携における課題  各IdPの差異 OAuth 2.0ベースといいつつ… 識別子取得のタイミング 属性情報取得時のAPIアクセス方法  認証強度、認証方式など あまり考えられていない

    OAuth 2.0の対象外の部分 30

  31. 困ったらOpenID ファウンデーション・ ジャパンまでご連絡ください 31