Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで

Avatar for 山根大生 山根大生
October 15, 2025
Technology
0
12

OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで

本スライドは以下のブログを元にしています!
https://qiita.com/yamatai12/items/defa24408720d65bbe35

参考
- https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe
- https://www.shoeisha.co.jp/book/detail/9784798159294
- https://qiita.com/masaha03/items/927abc3c6b93911fb703
- https://developers.google.com/identity/openid-connect/openid-connect?hl=ja
- https://cg-support.isr.co.jp/hc/ja/articles/4661444824473-%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%A8%E3%81%AF
- https://tech.iimon.co.jp/entry/2025/05/13/180000
- https://zenn.dev/bonvoyage/articles/5dda6a1effd022
- https://www.hitachi-solutions.co.jp/iam/saml.html
- https://www.shoeisha.co.jp/book/detail/9784798159294
- https://www.oreilly.co.jp/books/9784873116860/
- https://tech.iimon.co.jp/entry/2025/05/13/180000
- https://zenn.dev/takamin55/articles/538711ed6fd48d
- https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html

Avatar for 山根大生

山根大生

October 15, 2025
Tweet

More Decks by 山根大生

See All by 山根大生
Goで理解するJSONP(JSON with Padding)
Avatar for 山根大生 yamatai1212
0
38
OAuthは認証ではなく認可の仕組みである 🔑(完全に理解したLT)
Avatar for 山根大生 yamatai1212
1
82
OAuth登場前にあった複数サービス連携の課題🔑
Avatar for 山根大生 yamatai1212
0
21
Web標準と互換性の世界をざっくり見渡してみよう
Avatar for 山根大生 yamatai1212
0
77
Goで遊ぶHTTPミドルウェア ― X-HTTP-Method-Overrideを試してみた
Avatar for 山根大生 yamatai1212
1
130
ISの役割から具体的な業務内容を理解する_社外向け_.pdf
Avatar for 山根大生 yamatai1212
0
16
dependency-cruiserを紹介します/dependency-cruiser-description
Avatar for 山根大生 yamatai1212
1
1.7k
ESLintで命名規則のチェックをする(LT版)/eslint-naming-convention
Avatar for 山根大生 yamatai1212
1
500
1年足らずで記事を100個投稿してみた(LT版) / 100-articles-in-one-year
Avatar for 山根大生 yamatai1212
0
160

Other Decks in Technology

See All in Technology
​Vibe Coding Year in Review. From Karpathy to Real-World Agents by Niels Rolland, CEO Paatch
Avatar for Strapi vcoisne
0
120
Adminaで実現するISMS/SOC2運用の効率化 〜 アカウント管理編 〜
Avatar for shonansurvivors shonansurvivors
4
440
Where will it converge?
Avatar for Ibukun Adedeji ibknadedeji
0
210
LLM時代にデータエンジニアの役割はどう変わるか?
Avatar for Ikki Miyazaki ikkimiyazaki
6
1.2k
ユーザーの声とAI検証で進める、プロダクトディスカバリー
Avatar for SansanTech sansantech
PRO
1
130
AI時代こそ求められる設計力- AWSクラウドデザインパターン3選で信頼性と拡張性を高める-
Avatar for Ken'ichirou Kimura kenichirokimura
3
290
Azure Well-Architected Framework入門
Avatar for tomokusaba tomokusaba
1
350
プロダクトのコードから見るGoによるデザインパターンの実践 #go_night_talk
Avatar for 弁護士ドットコム bengo4com
1
2.4k
Uncle Bobの「プロフェッショナリズムへの期待」から学ぶプロの覚悟
Avatar for なかしょ nakasho
2
110
AI駆動開発を推進するためにサービス開発チームで 取り組んでいること
Avatar for おーしろ noayaoshiro
0
250
SwiftUIのGeometryReaderとScrollViewを基礎から応用まで学び直す:設計と活用事例
Avatar for Fumiya Sakai fumiyasac0921
0
160
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
190

Featured

See All Featured
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
232
18k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.1k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
27
2k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
161
23k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
189
55k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.5k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k

Transcript

  1. OAuthからOIDCへ ― 認可の仕組みが認証に拡張され るまで yamatai12 1

  2. 自己紹介 yamatai12(Webエンジニア) SNS X(taiyama1212) Qiita(yamatai12) Zenn(yamatai12) 2

  3. OAuthって、Googleログインでよく見るけど 認証の仕組みでしょ? 3

  4. 実は“認可”なんです 4

  5. 今日は以下の順で説明していきます OAuthとは → 認可と認証の違い → OIDCへ 5

  6. OAuthとは ユーザー(リソース所有者)が、外部のアプリ(クライアント)に自分の代わりにな って保護されているユーザー情報(保護対象リソース)への限定的なアクセス権を与え る仕組みのこと。 6

  7. 7

  8. OAuthは認可の仕組み 8

  9. 認可とは 何ができるか(リソースを利用すること)を許可する仕組みのこと。 9

  10. OAuthは認証の仕組みではないのか? 10

  11. 認証とは アクセスしてきたユーザーが誰であるかを特定すること そのユーザーがそのアプリケーションに存在するか確認すること 11

  12. OAuthは認証ではなく認可の仕組み(1/2) 認可サーバーから発行されるアクセストークンでは認証で確認すべき以下が確認でき ない そのユーザーが実際に認可サーバー上に存在し、認証済みであること 12

  13. OAuthは認証ではなく認可の仕組み(2/2) アクセストークンはAPI(保護対象リソース)にアクセスする為のもの ↓ つまり、ユーザーが存在するのか、誰であるのかは分からない 13

  14. 例)Google Calendar APIへのアクセス権に関する同意画面 見た目は認証(ログイン)しているようだが、 実際には「APIへのアクセス権を与える」=認可を行っている 14

  15. OpenID Connect(OIDC) OAuthを基盤とした認証の仕組み 15

  16. OAuthとOpenID Connect(OIDC)両者の対応表(1/4) OAuth OpenID Connect (OIDC) 説明 リソース所有 者 エンドユーザー

    自分の情報を持つ本人 クライアント リライングパーティ (RP) OpenIDプロバイダ(Googleなど)に認証 を委ねるアプリ 認可サーバー アイデンティティプロバ イダ (IdP) 認証とトークン発行を行うサーバー 保護対象リソ ース UserInfoエンドポイント ユーザー情報を持つAPI 16

  17. OAuthとOpenID Connect(OIDC)両者の対応表(2/4) OAuth OpenID Connect (OIDC) 説明 リソース所有 者 エンドユーザー

    自分の情報を持つ本人 クライアント リライングパーティ (RP) OpenIDプロバイダ(Googleなど)に認 証を委ねるアプリ 認可サーバー アイデンティティプロバ イダ (IdP) 認証とトークン発行を行うサーバー 保護対象リソ ース UserInfoエンドポイント ユーザー情報を持つAPI 17

  18. OAuthとOpenID Connect(OIDC)両者の対応表(3/4) OAuth OpenID Connect (OIDC) 説明 リソース所有 者 エンドユーザー

    自分の情報を持つ本人 クライアント リライングパーティ (RP) OpenIDプロバイダ(Googleなど)に認 証を委ねるアプリ 認可サーバー アイデンティティプロバ イダ (IdP) 認証とトークン発行を行うサーバー 保護対象リソ ース UserInfoエンドポイント ユーザー情報を持つAPI 18

  19. OAuthとOpenID Connect(OIDC)両者の対応表(4/4) OAuth OpenID Connect (OIDC) 説明 リソース所有 者 エンドユーザー

    自分の情報を持つ本人 クライアント リライングパーティ (RP) OpenIDプロバイダ(Googleなど)に認証 を委ねるアプリ 認可サーバー アイデンティティプロバ イダ (IdP) 認証とトークン発行を行うサーバー 保護対象リソ ース UserInfoエンドポイント ユーザー情報を持つAPI 19

  20. 20

  21. IDトークンとは 認可サーバーで認可された後に取得できるトークン IDトークンはリライングパーティ(クライアント)の認証の為に使われる 21

  22. IDトークンの使われ方 リライングパーティはIDトークンを検証し、 信頼できるアイデンティティプロバイダから発行された場合に ユーザーの認証を完了とする。 22

  23. スコープとは リライングパーティ(外部アプリ)が認可サーバーにアクセス権を要求する際 に指定するもの 23

  24. GoogleCloudのスコープの設定 24

  25. スコープがopenid だけだとユーザーが誰であるか分 からない スコープに openid があると 「このユーザーが認可したユーザー本人である」ことは確認できる。 しかし「誰なのか」は分からない 25

  26. UserInfoエンドポイントとは ユーザー情報を持つAPIのこと 26

  27. email と profile のスコープを追加することで リライングパーティはUserInfoエンドポイントからユーザー情報を取得できる 以下はGoogle Cloudのスコープ .../auth/userinfo.email .../auth/userinfo.profile 27

  28. なぜOIDCは「認証」と言えるのか? 「本人確認ができる」+「誰なのかが分かる」を統合的に提供し ているから 要素 保証すること IDトークン ユーザーが本人であること UserInfoエンドポイント その人が誰か 28

  29. まとめ OAuthは「できること」を許可する仕組み (認可) OIDCは「誰であるか」を確かめる仕組み (認証) OIDCはOAuthを基盤とした認証の仕組み 29

  30. 参考(speakerdeckのdescriptionに記載) https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe https://www.shoeisha.co.jp/book/detail/9784798159294 https://qiita.com/masaha03/items/927abc3c6b93911fb703 https://developers.google.com/identity/openid-connect/openid-connect?hl=ja https://cg-support.isr.co.jp/hc/ja/articles/4661444824473-アイデンティティプロバ イダーとは https://tech.iimon.co.jp/entry/2025/05/13/180000 https://zenn.dev/bonvoyage/articles/5dda6a1effd022 https://www.hitachi-solutions.co.jp/iam/saml.html

    https://www.shoeisha.co.jp/book/detail/9784798159294 30

  31. https://www.oreilly.co.jp/books/9784873116860/ https://tech.iimon.co.jp/entry/2025/05/13/180000 https://zenn.dev/takamin55/articles/538711ed6fd48d https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html 31