Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装

OpenID Connect Self-Issued IdPを応用したSingle Sign Onの実装

2018/03/23 OpenID TechNight Vol.15での、入来の講演資料になります

Recruit Technologies

March 29, 2018
Tweet

More Decks by Recruit Technologies

Other Decks in Technology

Transcript

  1. TechNight #15 – OpenID Connect Self-Issued IdP を応用した Single Sign

    On の実装 リクルートテクノロジーズ IDP部 シニアアーキテクト 入來 隼也
  2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 1 自己紹介 入來

    隼也(いりき しゅんや) 金融SE->楽天-> リクルートテクノロジーズ ITソリューション統括本部 ID・ポイント部 セキュリティT、アーキT シニアアーキテクト(黒•みたいな制度)
  3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2 セキュリティT・アーキT •

    プロトコル • OAuth2.0 • Open ID Connect • Oath token introspection • JWT-formatted Access Token • Proof Key for Code Exchange(PKCE) etc... • セキュリティ • ログイン履歴 • ログインアラート • 2段階認証(メール・認証アプリ) etc... • そのほか • サイトサポート
  4. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5 リクルートにおけるIDへの取り組み •

    グループ会社の40以上のサービスに共通IDを提供 • OpenID Connect及びOAuth2.0対応の認証認可機能を提供 OpenID Connect OAuth2.0
  5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 7 アジェンダ 1.

    スマホアプリに求めるもの 2. iOS での実現方法 3. 標準仕様 4. Self-issued IdP 5. リクルート独自の仕組み 6. 実装(処理フロー) 7. Androidでは
  6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 9 スマホアプリに求めるもの ・ログインしっぱなしにしたい

    ・複数のアプリでログインを共有したい ・端末のアンロックの仕組みと連動したい (Touch ID, Face ID etc.)
  7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 11 Shared KeyChainを利用する

    ・他社アプリからアクセスされない ※同一の版元の場合、情報が共有できる (App ID Prefixが同一) ・端末アンロックの連動が可能 必要なこと: ・安全に認証を提供 Bearer Tokenだと通信途中が。。。 秘密鍵を使った認証(毎回通信内容が変わる)
  8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 13 標準仕様 •

    Universal Authentication Frameworkの略称 FIDO (W3C Web Authentication) UAF • 携帯端末などをIDPにする規格 OIDC Self-issued IdP 端末上に秘密鍵があることをサーバー側に証明する手段として使える標準仕様
  9. (C) Recruit Technologies Co.,Ltd. All rights reserved. 15 OIDC Self-issued

    IdP OpenID Connect coreで定義。 Self-Issued OpenID Provider.(端末がIDPになる仕様) http://openid.net/specs/openid-connect-core-1_0.html#SelfIssued [概要] ・Issuer :https://self-issued.me を利用 ・署名付きID Tokenの生成方法 ・公開鍵で署名の検証方法
  10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 16 OIDC Self-issued

    IdP ID TOKEN { "iss": "https://self-issued.me", "sub":端末上の鍵ペアの JWK Thumbprint “aud”:リクルートIDサーバーの Callback URL “nonce”:リクルートIDサーバが生成したnonce, “exp”: ID_TOKENの有効期限, “iat”: ID_TOKENの発行時刻, “sub_jwk”: { “kty”:“RSA”, “n”: “・・・・・・" } } (端末上の鍵ペアの公開鍵 JWK) この値が毎回違う
  11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 17 OIDC Self-issued

    IdP OIDC Self-issued を利用した実装ポイント ・[端末]で鍵ペア(private,public)をつくる ・[サーバ](ID/PASSと引き換え)public鍵(thumbprint)を登録 ・[サーバ]2回目以降の認証は署名付きID_TOKENの検証実施 Private key public key thumbprint ・user + thumbprint ID_TOKEN ・ID_TOKEN検証
  12. (C) Recruit Technologies Co.,Ltd. All rights reserved. 18 OIDC Self-issued

    IdP なぜ安全なの?? ・秘密鍵が端末から出ない ・毎回異なるID_TOKENで認証される(nonce) ・そのID_TOKENに署名付けれるのは秘密鍵だけ
  13. (C) Recruit Technologies Co.,Ltd. All rights reserved. 20 リクルート独自の取り組み •

    各アプリがShared KeyChain を利用 • キラーアプリがあれば、そのアプリをself-issued OPにできる • リクルートのキラーアプリは。。。。 • リクルートIDを利用するアプリ向けにSDKを提供 • Shared KeyChainのやりとりを隠蔽 • 特徴:WebViewでログイン画面提供 • Redirect Hook利用(コンテキストスイッチ防止) • オプションで Self-issued IdP が利用可能 • PKCE(Proof key for Code) • セキュリティ
  14. (C) Recruit Technologies Co.,Ltd. All rights reserved. 21 実装(処理フロー) •

    OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
  15. (C) Recruit Technologies Co.,Ltd. All rights reserved. 22 OpenID Conectのフロー

    Application Authorization Server Authorization Code Authorization Request
  16. (C) Recruit Technologies Co.,Ltd. All rights reserved. 23 SDKを入れた時のフロー SDK:

    Redirect Hookを利用してパラメー タなど付与。 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP SDK利用 = フローを変えずSSO・指紋認証が可能 Authorization Code
  17. (C) Recruit Technologies Co.,Ltd. All rights reserved. 24 実装(処理フロー) •

    OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
  18. (C) Recruit Technologies Co.,Ltd. All rights reserved. 25 初回時のログイン(鍵登録)フロー 1.

    鍵ペアを作成(Keychain) 公開鍵のthumbprintを Authorization Requestに付与 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint Authorization Code Private key Public Key
  19. (C) Recruit Technologies Co.,Ltd. All rights reserved. 26 初回時のログイン(鍵登録)フロー 2.

    nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce Authorization Code
  20. (C) Recruit Technologies Co.,Ltd. All rights reserved. 27 初回時のログイン(鍵登録)フロー 3.

    署名付きID_TOKEN作成 受け取ったnonceを含めて署名付 きID_TOKENを作成 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token Authorization Code
  21. (C) Recruit Technologies Co.,Ltd. All rights reserved. 28 初回時のログイン(鍵登録)フロー 4.

    署名検証 Authorization Serverが受け 取ったthumbprint、公開鍵、署 名を検証送ったnonceか検証 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP Id_token ※登録はtoken endpointのタイミング ID/PASSで認証 Authorization Code
  22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 29 実装(処理フロー) •

    OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
  23. (C) Recruit Technologies Co.,Ltd. All rights reserved. 30 2回目以降のログイン(SSO)フロー 1.

    authZリクエストを送信 公開鍵のthumbprint、 login_hintをAuthorization Requestに付与 (登録済みのアカウントを確認) 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP thumbprint login_hint Authorization Code
  24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 31 2回目以降のログイン(SSO)フロー 共通SDK

    Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverはnonce をSelf-issued OPに送信 Authorization Code
  25. (C) Recruit Technologies Co.,Ltd. All rights reserved. 32 2回目以降のログイン(SSO)フロー 共通SDK

    Authorization Request Application Authorization Server Authorization Request Self-issued OP 3. 署名付きID_TOKEN作成 受け取ったnonceを含めて署名付 きID_TOKENを作成 Id_token Authorization Code
  26. (C) Recruit Technologies Co.,Ltd. All rights reserved. 33 2回目以降のログイン(SSO)フロー 共通SDK

    Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済 みのthumbprint、公開鍵、署名 を検証送ったnonceか検証 Id_token Authorization Code
  27. (C) Recruit Technologies Co.,Ltd. All rights reserved. 34 実装(処理フロー) •

    OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を利用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
  28. (C) Recruit Technologies Co.,Ltd. All rights reserved. 35 端末認証を利用したログインフロー acr=urn:recruit:acr:stdauth

    acr:認証コンテキストクラス (Authentication Context Class Reference) 共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP 1. authZリクエストを送信 公開鍵のthumbprint、 login_hint, acr をAuthorization Requestに付与 thumbprint login_hint acr Authorization Code
  29. (C) Recruit Technologies Co.,Ltd. All rights reserved. 36 端末認証を利用したログインフロー amr

    共通SDK Authorization Request Application Authorization Server Authorization Request Self-issued OP nonce 2. nonceを送信 Authorization Serverは nonce,amrをSelf-issued OPに 送信 amr=touchId, fido,FaceID amr:認証方式 (Authentication Methods References) Authorization Code
  30. (C) Recruit Technologies Co.,Ltd. All rights reserved. 37 端末認証を利用したログインフロー 共通SDK

    Authorization Request Application Authorization Server Authorization Request Self-issued OP amr 3. 署名付きID_TOKEN作成 受け取ったnonce,amr(実際に 行った認証方式)を含めて署名付 きID_TOKENを作成 Id_token 端末認証を実施 Authorization Code
  31. (C) Recruit Technologies Co.,Ltd. All rights reserved. 38 端末認証を利用したログインフロー 共通SDK

    Authorization Request Application Authorization Server Authorization Request Self-issued OP 4. 署名検証 Authorization Serverが登録済 みのthumbprint、公開鍵、署名 を検証送ったnonceか検証 amr を確認(Self-issued OP側で 行った認証方式を確認。必要に 応じてID/PASSによる認証実施) Id_token Authorization Code
  32. (C) Recruit Technologies Co.,Ltd. All rights reserved. 39 実装(処理フロー) •

    OpenID Connectのフローと SDKを入れた時のログインフロー • 初回時のログイン(鍵登録)フロー • 2回目以降のログイン(SSO)フロー • 端末認証を使用したログインフロー • 追加で実施しているセキュリティ(PKCE)フロー
  33. (C) Recruit Technologies Co.,Ltd. All rights reserved. 40 PKCE:認可コード横取り攻撃への対抗策 Application

    Authorization Server Authorization Code Authorization Request 横取り ▪PKCE 発行された認可コードをクライアン トアプリケーションが受け取るとき、 悪意あるアプリケーションがその認 可コードを横取りするという攻撃へ の対策 (authorization code interception attack) RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) OAuth RS(バックエンドサーバ) Authorization Code Authorization Code
  34. (C) Recruit Technologies Co.,Ltd. All rights reserved. 41 PKCE:認可コード横取り攻撃への対抗策 Application

    Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪authZリクエスト code_challenge、 をAuthorization Requestに付与 (リクルートIDは暗号化しているため、 code_challengeは暗号値、 code_challenge_method=S256を追加) code_challenge=aZw1Qb…
  35. (C) Recruit Technologies Co.,Ltd. All rights reserved. 42 PKCE:認可コード横取り攻撃への対抗策 Application

    Authorization Server Authorization Code Authorization Request 横取り OAuth RS(バックエンドサーバ) Authorization Code Authorization Code ▪Token endpint リクエスト code_verifier をtoken endpointへ送信 Token endpointでは、code_challenge ,code_verifier を検証. リクルートIDの場合: code_challenge=S256(code_verifier) code_verifier=qw31 code_verifier=qw31 code_challenge=aZw1Qb…
  36. (C) Recruit Technologies Co.,Ltd. All rights reserved. 44 iOS の

    Shared KeyChain 相当のものがない… 初回にインストールされたアプリを当該端末上で IdP 化 その他のアプリは当該 IdP アプリを AccountManager 経由で 呼び出す Androidに対するSSOの取り組み