OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装

TechNight #15 – OpenID Connect Self-Issued IdP を応用した Single Sign
On の実装リクルートテクノロジーズ IDP部シニアアーキテクト入來隼也

(C) Recruit Technologies Co.,Ltd. All rights reserved. 1 自己紹介 入來
隼也（いりきしゅんや） 金融SE->楽天-> リクルートテクノロジーズ ITソリューション統括本部 ID・ポイント部セキュリティT、アーキT シニアアーキテクト（黒•みたいな制度）

(C) Recruit Technologies Co.,Ltd. All rights reserved. 2 セキュリティT・アーキT •
プロトコル • OAuth2.0 • Open ID Connect • Oath token introspection • JWT-formatted Access Token • Proof Key for Code Exchange(PKCE) etc... • セキュリティ • ログイン履歴 • ログインアラート • ２段階認証（メール・認証アプリ） etc... • そのほか • サイトサポート

(C) Recruit Technologies Co.,Ltd. All rights reserved. 4 リクルートのサービス紹介日常生活や人生に関わる
サービスを展開

(C) Recruit Technologies Co.,Ltd. All rights reserved. 5 リクルートにおけるIDへの取り組み •
グループ会社の40以上のサービスに共通IDを提供 • OpenID Connect及びOAuth2.0対応の認証認可機能を提供 OpenID Connect OAuth2.0

(C) Recruit Technologies Co.,Ltd. All rights reserved. 6 OpenIDファンデーションへの参加 •
OpenID Certificationを近々取得予定

(C) Recruit Technologies Co.,Ltd. All rights reserved. 7 アジェンダ 1.
スマホアプリに求めるもの 2. iOS での実現方法 3. 標準仕様 4. Self-issued IdP 5. リクルート独自の仕組み 6. 実装（処理フロー） 7. Androidでは

(C) Recruit Technologies Co.,Ltd. All rights reserved. 9 スマホアプリに求めるもの・ログインしっぱなしにしたい
・複数のアプリでログインを共有したい・端末のアンロックの仕組みと連動したい (Touch ID, Face ID etc.)

(C) Recruit Technologies Co.,Ltd. All rights reserved. 11 Shared KeyChainを利用する
・他社アプリからアクセスされない ※同一の版元の場合、情報が共有できる（App ID Prefixが同一）・端末アンロックの連動が可能必要なこと：・安全に認証を提供 Bearer Tokenだと通信途中が。。。秘密鍵を使った認証（毎回通信内容が変わる）

(C) Recruit Technologies Co.,Ltd. All rights reserved. 13 標準仕様 •
Universal Authentication Frameworkの略称 FIDO (W3C Web Authentication) UAF • 携帯端末などをIDPにする規格 OIDC Self-issued IdP 端末上に秘密鍵があることをサーバー側に証明する手段として使える標準仕様

(C) Recruit Technologies Co.,Ltd. All rights reserved. 14 OIDC Self-issued
IdP

IdP OpenID Connect coreで定義。 Self-Issued OpenID Provider.（端末がIDPになる仕様） http://openid.net/specs/openid-connect-core-1_0.html#SelfIssued [概要] ・Issuer ：https://self-issued.me を利用・署名付きID Tokenの生成方法・公開鍵で署名の検証方法

IdP ID TOKEN { "iss": "https://self-issued.me", "sub":端末上の鍵ペアの JWK Thumbprint “aud”:リクルートIDサーバーの Callback URL “nonce”:リクルートIDサーバが生成したnonce, “exp”: ID_TOKENの有効期限, “iat”: ID_TOKENの発行時刻, “sub_jwk”: { “kty”:“RSA”, “n”: “・・・・・・" } } (端末上の鍵ペアの公開鍵 JWK) この値が毎回違う

IdP OIDC Self-issued を利用した実装ポイント・[端末]で鍵ペア(private,public)をつくる・[サーバ](ID/PASSと引き換え)public鍵(thumbprint)を登録・[サーバ]２回目以降の認証は署名付きID_TOKENの検証実施 Private key public key thumbprint ・user + thumbprint ID_TOKEN ・ID_TOKEN検証

IdP なぜ安全なの？？・秘密鍵が端末から出ない・毎回異なるID_TOKENで認証される(nonce) ・そのID_TOKENに署名付けれるのは秘密鍵だけ

(C) Recruit Technologies Co.,Ltd. All rights reserved. 20 リクルート独自の取り組み •
各アプリがShared KeyChain を利用 • キラーアプリがあれば、そのアプリをself-issued OPにできる • リクルートのキラーアプリは。。。。 • リクルートIDを利用するアプリ向けにSDKを提供 • Shared KeyChainのやりとりを隠蔽 • 特徴：WebViewでログイン画面提供 • Redirect Hook利用（コンテキストスイッチ防止） • オプションで Self-issued IdP が利用可能 • PKCE(Proof key for Code) • セキュリティ

(C) Recruit Technologies Co.,Ltd. All rights reserved. 21 実装（処理フロー） •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン（鍵登録）フロー • ２回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー

(C) Recruit Technologies Co.,Ltd. All rights reserved. 22 OpenID Conectのフロー
Application Authorization Server Authorization Code Authorization Request

(C) Recruit Technologies Co.,Ltd. All rights reserved. 23 SDKを入れた時のフロー SDK：
Redirect Hookを利用してパラメータなど付与。共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP SDK利用＝フローを変えずSSO・指紋認証が可能 Authorization Code

OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン（鍵登録）フロー • ２回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー

(C) Recruit Technologies Co.,Ltd. All rights reserved. 25 初回時のログイン（鍵登録）フロー 1.
鍵ペアを作成(Keychain) 公開鍵のthumbprintを Authorization Requestに付与共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint Authorization Code Private key Public Key

nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce Authorization Code

署名付きID_TOKEN作成受け取ったnonceを含めて署名付きID_TOKENを作成共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token Authorization Code

署名検証 Authorization Serverが受け取ったthumbprint、公開鍵、署名を検証送ったnonceか検証共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token ※登録はtoken endpointのタイミング ID/PASSで認証 Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 30 ２回目以降のログイン（SSO）フロー 1.
authZリクエストを送信公開鍵のthumbprint、 login_hintをAuthorization Requestに付与 (登録済みのアカウントを確認）共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint login_hint Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 31 ２回目以降のログイン（SSO）フロー共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信 Authorization Code

Authorization Request Application Authorization Server Authorization Request Self-issued OP 3. 署名付きID_TOKEN作成受け取ったnonceを含めて署名付きID_TOKENを作成 Id_token Authorization Code

Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済みのthumbprint、公開鍵、署名を検証送ったnonceか検証 Id_token Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 35 端末認証を利用したログインフロー acr=urn:recruit:acr:stdauth
acr:認証コンテキストクラス (Authentication Context Class Reference) 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP 1. authZリクエストを送信公開鍵のthumbprint、 login_hint, acr をAuthorization Requestに付与 thumbprint login_hint acr Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 36 端末認証を利用したログインフロー amr
共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverは nonce,amrをSelf-issued OPに送信 amr=touchId, fido,FaceID amr:認証方式 (Authentication Methods References) Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 37 端末認証を利用したログインフロー共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP amr 3. 署名付きID_TOKEN作成受け取ったnonce,amr(実際に行った認証方式)を含めて署名付きID_TOKENを作成 Id_token 端末認証を実施 Authorization Code

(C) Recruit Technologies Co.,Ltd. All rights reserved. 38 端末認証を利用したログインフロー共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済みのthumbprint、公開鍵、署名を検証送ったnonceか検証 amr を確認(Self-issued OP側で行った認証方式を確認。必要に応じてID/PASSによる認証実施) Id_token Authorization Code

OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン（鍵登録）フロー • ２回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー

(C) Recruit Technologies Co.,Ltd. All rights reserved. 40 PKCE:認可コード横取り攻撃への対抗策 Application
Authorization Server Authorization Code Authorization Request 横取り ▪PKCE 発行された認可コードをクライアントアプリケーションが受け取るとき、悪意あるアプリケーションがその認可コードを横取りするという攻撃への対策 (authorization code interception attack) RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) OAuth RS(バックエンドサーバ) Authorization Code Authorization Code

Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪authZリクエスト code_challenge、をAuthorization Requestに付与（リクルートIDは暗号化しているため、 code_challengeは暗号値、 code_challenge_method=S256を追加） code_challenge=aZw1Qb…

Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪Token endpint リクエスト code_verifier をtoken endpointへ送信 Token endpointでは、code_challenge ,code_verifier を検証. リクルートIDの場合： code_challenge=S256(code_verifier) code_verifier=qw31 code_verifier=qw31 code_challenge=aZw1Qb…

OpenID Connect Self-Issued IdPを応用したSingle Sign ...

OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装

More Decks by Recruit Technologies

Other Decks in Technology

Featured

Transcript