Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装
Search
Recruit Technologies
March 29, 2018
Technology
4
4.4k
OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装
2018/03/23 OpenID TechNight Vol.15での、入来の講演資料になります
Recruit Technologies
March 29, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
570
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
10k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.4k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.8k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
40k
【RTC新人研修 】 TPS
rtechkouhou
1
39k
Android Boot Camp 2020
rtechkouhou
0
40k
HTML/CSS
rtechkouhou
10
48k
TypeScript Bootcamp 2020
rtechkouhou
9
44k
Other Decks in Technology
See All in Technology
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
4
400
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
620
web-application-security
matsuihidetoshi
0
170
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
250
私が trocco を推す理由
__allllllllez__
1
220
On Your Data を超えていく!
hirotomotaguchi
2
680
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
290
本当のAWS基礎
toru_kubota
0
520
開発パフォーマンスを最大化するための開発体制
ham0215
2
410
Cracking the KubeCon CfP
inductor
2
250
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
520
Featured
See All Featured
A Philosophy of Restraint
colly
197
16k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
How STYLIGHT went responsive
nonsquared
92
4.8k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
Done Done
chrislema
178
15k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Transcript
TechNight #15 – OpenID Connect Self-Issued IdP を応用した Single Sign
On の実装 リクルートテクノロジーズ IDP部 シニアアーキテクト 入來 隼也
(C) Recruit Technologies Co.,Ltd. All rights reserved. 1 自己紹介 入來
隼也(いりき しゅんや) 金融SE->楽天-> リクルートテクノロジーズ ITソリューション統括本部 ID・ポイント部 セキュリティT、アーキT シニアアーキテクト(黒•みたいな制度)
(C) Recruit Technologies Co.,Ltd. All rights reserved. 2 セキュリティT・アーキT •
プロトコル • OAuth2.0 • Open ID Connect • Oath token introspection • JWT-formatted Access Token • Proof Key for Code Exchange(PKCE) etc... • セキュリティ • ログイン履歴 • ログインアラート • 2段階認証(メール・認証アプリ) etc... • そのほか • サイトサポート
(C) Recruit Technologies Co.,Ltd. All rights reserved. 3 はじめに
(C) Recruit Technologies Co.,Ltd. All rights reserved. 4 リクルートのサービス紹介 日常生活や人生に関わる
サービスを展開
(C) Recruit Technologies Co.,Ltd. All rights reserved. 5 リクルートにおけるIDへの取り組み •
グループ会社の40以上のサービスに共通IDを提供 • OpenID Connect及びOAuth2.0対応の認証認可機能を提供 OpenID Connect OAuth2.0
(C) Recruit Technologies Co.,Ltd. All rights reserved. 6 OpenIDファンデーションへの参加 •
OpenID Certificationを近々取得予定
(C) Recruit Technologies Co.,Ltd. All rights reserved. 7 アジェンダ 1.
スマホアプリに求めるもの 2. iOS での実現方法 3. 標準仕様 4. Self-issued IdP 5. リクルート独自の仕組み 6. 実装(処理フロー) 7. Androidでは
(C) Recruit Technologies Co.,Ltd. All rights reserved. 8 スマホアプリに求めるもの
(C) Recruit Technologies Co.,Ltd. All rights reserved. 9 スマホアプリに求めるもの ・ログインしっぱなしにしたい
・複数のアプリでログインを共有したい ・端末のアンロックの仕組みと連動したい (Touch ID, Face ID etc.)
(C) Recruit Technologies Co.,Ltd. All rights reserved. 10 iOS での実現方法
(C) Recruit Technologies Co.,Ltd. All rights reserved. 11 Shared KeyChainを利用する
・他社アプリからアクセスされない ※同一の版元の場合、情報が共有できる (App ID Prefixが同一) ・端末アンロックの連動が可能 必要なこと: ・安全に認証を提供 Bearer Tokenだと通信途中が。。。 秘密鍵を使った認証(毎回通信内容が変わる)
(C) Recruit Technologies Co.,Ltd. All rights reserved. 12 標準仕様
(C) Recruit Technologies Co.,Ltd. All rights reserved. 13 標準仕様 •
Universal Authentication Frameworkの略称 FIDO (W3C Web Authentication) UAF • 携帯端末などをIDPにする規格 OIDC Self-issued IdP 端末上に秘密鍵があることをサーバー側に証明する手段として使える標準仕様
(C) Recruit Technologies Co.,Ltd. All rights reserved. 14 OIDC Self-issued
IdP
(C) Recruit Technologies Co.,Ltd. All rights reserved. 15 OIDC Self-issued
IdP OpenID Connect coreで定義。 Self-Issued OpenID Provider.(端末がIDPになる仕様) http://openid.net/specs/openid-connect-core-1_0.html#SelfIssued [概要] ・Issuer :https://self-issued.me を利用 ・署名付きID Tokenの生成方法 ・公開鍵で署名の検証方法
(C) Recruit Technologies Co.,Ltd. All rights reserved. 16 OIDC Self-issued
IdP ID TOKEN { "iss": "https://self-issued.me", "sub":端末上の鍵ペアの JWK Thumbprint “aud”:リクルートIDサーバーの Callback URL “nonce”:リクルートIDサーバが生成したnonce, “exp”: ID_TOKENの有効期限, “iat”: ID_TOKENの発行時刻, “sub_jwk”: { “kty”:“RSA”, “n”: “・・・・・・" } } (端末上の鍵ペアの公開鍵 JWK) この値が毎回違う
(C) Recruit Technologies Co.,Ltd. All rights reserved. 17 OIDC Self-issued
IdP OIDC Self-issued を利用した実装ポイント ・[端末]で鍵ペア(private,public)をつくる ・[サーバ](ID/PASSと引き換え)public鍵(thumbprint)を登録 ・[サーバ]2回目以降の認証は署名付きID_TOKENの検証実施 Private key public key thumbprint ・user + thumbprint ID_TOKEN ・ID_TOKEN検証
(C) Recruit Technologies Co.,Ltd. All rights reserved. 18 OIDC Self-issued
IdP なぜ安全なの?? ・秘密鍵が端末から出ない ・毎回異なるID_TOKENで認証される(nonce) ・そのID_TOKENに署名付けれるのは秘密鍵だけ
(C) Recruit Technologies Co.,Ltd. All rights reserved. 19 リクルート独自の取り組み
(C) Recruit Technologies Co.,Ltd. All rights reserved. 20 リクルート独自の取り組み •
各アプリがShared KeyChain を利用 • キラーアプリがあれば、そのアプリをself-issued OPにできる • リクルートのキラーアプリは。。。。 • リクルートIDを利用するアプリ向けにSDKを提供 • Shared KeyChainのやりとりを隠蔽 • 特徴:WebViewでログイン画面提供 • Redirect Hook利用(コンテキストスイッチ防止) • オプションで Self-issued IdP が利用可能 • PKCE(Proof key for Code) • セキュリティ
(C) Recruit Technologies Co.,Ltd. All rights reserved. 21 実装(処理フロー) •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
(C) Recruit Technologies Co.,Ltd. All rights reserved. 22 OpenID Conectのフロー
Application Authorization Server Authorization Code Authorization Request
(C) Recruit Technologies Co.,Ltd. All rights reserved. 23 SDKを入れた時のフロー SDK:
Redirect Hookを利用してパラメー タなど付与。 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP SDK利用 = フローを変えずSSO・指紋認証が可能 Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 24 実装(処理フロー) •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
(C) Recruit Technologies Co.,Ltd. All rights reserved. 25 初回時のログイン(鍵登録)フロー 1.
鍵ペアを作成(Keychain) 公開鍵のthumbprintを Authorization Requestに付与 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint Authorization Code Private key Public Key
(C) Recruit Technologies Co.,Ltd. All rights reserved. 26 初回時のログイン(鍵登録)フロー 2.
nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 27 初回時のログイン(鍵登録)フロー 3.
署名付きID_TOKEN作成 受け取ったnonceを含めて署名付 きID_TOKENを作成 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 28 初回時のログイン(鍵登録)フロー 4.
署名検証 Authorization Serverが受け 取ったthumbprint、公開鍵、署 名を検証送ったnonceか検証 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token ※登録はtoken endpointのタイミング ID/PASSで認証 Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 29 実装(処理フロー) •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
(C) Recruit Technologies Co.,Ltd. All rights reserved. 30 2回目以降のログイン(SSO)フロー 1.
authZリクエストを送信 公開鍵のthumbprint、 login_hintをAuthorization Requestに付与 (登録済みのアカウントを確認) 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint login_hint Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 31 2回目以降のログイン(SSO)フロー 共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信 Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 32 2回目以降のログイン(SSO)フロー 共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP 3. 署名付きID_TOKEN作成 受け取ったnonceを含めて署名付 きID_TOKENを作成 Id_token Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 33 2回目以降のログイン(SSO)フロー 共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済 みのthumbprint、公開鍵、署名 を検証送ったnonceか検証 Id_token Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 34 実装(処理フロー) •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
(C) Recruit Technologies Co.,Ltd. All rights reserved. 35 端末認証を利用したログインフロー acr=urn:recruit:acr:stdauth
acr:認証コンテキストクラス (Authentication Context Class Reference) 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP 1. authZリクエストを送信 公開鍵のthumbprint、 login_hint, acr をAuthorization Requestに付与 thumbprint login_hint acr Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 36 端末認証を利用したログインフロー amr
共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverは nonce,amrをSelf-issued OPに 送信 amr=touchId, fido,FaceID amr:認証方式 (Authentication Methods References) Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 37 端末認証を利用したログインフロー 共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP amr 3. 署名付きID_TOKEN作成 受け取ったnonce,amr(実際に 行った認証方式)を含めて署名付 きID_TOKENを作成 Id_token 端末認証を実施 Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 38 端末認証を利用したログインフロー 共通SDK
Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済 みのthumbprint、公開鍵、署名 を検証送ったnonceか検証 amr を確認(Self-issued OP側で 行った認証方式を確認。必要に 応じてID/PASSによる認証実施) Id_token Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 39 実装(処理フロー) •
OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
(C) Recruit Technologies Co.,Ltd. All rights reserved. 40 PKCE:認可コード横取り攻撃への対抗策 Application
Authorization Server Authorization Code Authorization Request 横取り ▪PKCE 発行された認可コードをクライアン トアプリケーションが受け取るとき、 悪意あるアプリケーションがその認 可コードを横取りするという攻撃へ の対策 (authorization code interception attack) RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) OAuth RS(バックエンドサーバ) Authorization Code Authorization Code
(C) Recruit Technologies Co.,Ltd. All rights reserved. 41 PKCE:認可コード横取り攻撃への対抗策 Application
Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪authZリクエスト code_challenge、 をAuthorization Requestに付与 (リクルートIDは暗号化しているため、 code_challengeは暗号値、 code_challenge_method=S256を追加) code_challenge=aZw1Qb…
(C) Recruit Technologies Co.,Ltd. All rights reserved. 42 PKCE:認可コード横取り攻撃への対抗策 Application
Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪Token endpint リクエスト code_verifier をtoken endpointへ送信 Token endpointでは、code_challenge ,code_verifier を検証. リクルートIDの場合: code_challenge=S256(code_verifier) code_verifier=qw31 code_verifier=qw31 code_challenge=aZw1Qb…
(C) Recruit Technologies Co.,Ltd. All rights reserved. 43 Androidに対するSSOの取り組み
(C) Recruit Technologies Co.,Ltd. All rights reserved. 44 iOS の
Shared KeyChain 相当のものがない… 初回にインストールされたアプリを当該端末上で IdP 化 その他のアプリは当該 IdP アプリを AccountManager 経由で 呼び出す Androidに対するSSOの取り組み