SlideShare ist ein Scribd-Unternehmen logo

CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth #openid #oidc #openbanking

Tatsuo Kudo
Tatsuo Kudo

Prepared for 「認証」について熱く語る!秋のLT大会(Around the Auth) https://majisemi.connpass.com/event/104808/ 今後の新たなユーザー認証体験のベースとなりうる OpenID Connect CIBA 仕様と、Authlete 社の取り組みについてご紹介します。

Internet
1 von 39
Downloaden Sie, um offline zu lesen
「認証」について熱く語る!秋のLT大会 (Around the Auth) 2018-11-08 CIBAの可能性 工藤達雄
In This Talk 今後の新たなユーザー認証体験の ベースとなりうる OpenID Connect CIBA 仕様と Authlete 社の取り組みについて ご紹介します。
About Me • 工藤達雄 https://www.linkedin.com/in/tatsuokudo – サン・マイクロシステムズ (1998-2008) – 野村総合研究所 (2008-2018) – OpenIDファウンデーション・ジャパン(2013-2014) – NRIセキュアテクノロジーズ (2014-2018) – Authlete (2018-) • VP of Solution Strategy
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 1 1. ログイン開始
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 2 2. 認証・認可リクエスト
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 3 3. 「ログインしてください」
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 4 4. ID/パスワード を送信
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 5 5. 認証結果・トークン
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 6 6. ログイン完了
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook API クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 7 7. トークンを使ってAPIアクセス
Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook 61 3 4 2 5 7 6. ログイン完了 API クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 2. 認証・認可リクエスト 3. 「ログインしてください」 4. ID/パスワード を送信 5. 認証結果・トークン 7. トークンを使ってAPIアクセス ユーザー デバイス 1. ログイン開始
Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ
Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用
Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用 スマートフォン
Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用 スマートフォン 認証・認可 リクエスト
Decoupling AuthN from Consumption ユーザー デスクトップ スマートフォン クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証 認証・認可 リクエスト
ユーザー スマートフォン Consumption from Another Device クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)
ユーザー スマートフォン Consumption from Another Device クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) POS端末
ユーザー スマートフォン 認証 Consumption from Another Device POS端末 クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証・認可 リクエスト
ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)
ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ オペレーター
ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証 デスクトップ オペレーター 認証・認可 リクエスト
AuthN Initiated by Client via Backchannel ユーザー 3. 認証結果・トークン 1. 対象ユーザーを指定して 認証・認可リクエスト クライアント (リライング・パーティ) 認可・APIサーバー (アイデンティティ・プロバイダー)
CIBA (Client Initiated BackchannelAuthentication) https://bitbucket.org/openid/mobile/src/default/draft-mobile-client-initiated-backchannel-authentication.xml • OpenID Foundation (OIDF) が策定中の「認証フロー」の仕様 – 2017年5月 “OIDC MODRNA* CIBA Flow 1.0” 実装者向け草案が承認 • もともとはモバイル向け – MODRNA WG にて策定が進められていた • 現在、広範なユースケースに対応するための改良が進められている – MODRNA WG と FAPI** WG** が連携 – “CIBA Core” と各種プロファイル (MODRNA, FAPI, …) の構成 (*) Mobile Operator Discovery, Registration & Authentication (**) Financial-grade API
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 0 0. ユーザーの 識別子を把握 login_hint_token id_token_hint login_hint
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 1 1. 認証 リクエスト User Identifier
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 2 2. 受付応答 AuthN Req ID
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 2’ 2’. ユーザー 認証
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 3 3. 認証結果と トークンを返却 (Poll / Ping / Push) ID Token / AT* / (RT**)
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント API (4) (4) トークン を使ってAPI アクセス (4) (4) 認証結果を 利用して処理を 実行
CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 0 0. ユーザーの 識別子を把握 login_hint_token id_token_hint login_hint 1 1. 認証 リクエスト BA EP2 2. 受付応答 2’ 2’. ユーザー 認証 API 3 (4) (4) トークン を使ってAPI アクセス (*) Access Token (**) Refresh Token 3. 認証結果と トークンを返却 (Poll / Ping / Push) (4) (4) 認証結果を 利用して処理を 実行 User Identifier AuthN Req ID ID Token / AT* / (RT**) バックチャネル認証 エンドポイント
CIBA is Gaining Momentum 😎 Source: https://www.openbanking.org.uk/wp-content/uploads/Customer-Experience-Guidelines.pdf, https://openbanking.atlassian.net/wiki/spaces/DZ/pages/642090641/Account+and+Transaction+API+Specification+-+v3.0, https://www.recruit.net/job/security-architect_london_jobs/652C3F6C7260E6D3
Authlete: BaaS for API Authorization Service https://www.authlete.com/ • BaaS (Backend as a Service)として 利用できるため導入・運用が容易 • OAuth 2.0 / OIDC関連仕様を網羅した 実装 • お客さまのフィードバックに基づき 仕様の先を行く機能群を実装 • 関連仕様の専門家集団が設計・運用 Grand Prize Winner
Solution Architecture 36 Authlete Customer’s EnvironmentAPI Clients Existing Services © 2018 Authlete, Inc. Websites Mobile Networked Devices Authorization Server Authorization Decision User Authentication Consent Management Entitlement Management API Servers / Gateways /data /function /transaction Authlete Authorization BackendAPIs Authorization Information (e.g. Tokens) Database Authorization Request API Access Authorization Status Check OAuth/OIDC Processing Request Authorization Frontend Leveraging existing services Authorization decision logic with no dependency on Authlete Separation of operation between authorization server and API servers Externalizing cumbersome OAuth/OIDC processing and token management /… OSS components available via GitHub
When it Comes to CIBA… 37 Authlete Customer’s EnvironmentClient Existing Services © 2018 Authlete, Inc. Websites Mobile Networked Devices Authorization Server Authorization Decision User Authentication Consent Management Entitlement Management API Servers / Gateways /data /function /transaction Authlete Authorization BackendAPIs Authorization Information (e.g. Tokens) Database Backchannel authn API Access Authorization Status Check OAuth/OIDC and CIBA Processing Request /… Token Authorization Frontend Authentication Device Mobile Not ification for user authn
まとめ • デバイスを「サービス利用」と「ユーザー認証」に分離 することによりユーザー認証体験の可能性が広がる • 「モバイル」と「金融API」の両分野がCIBAの標準化を 進めている • Authlete は CIBA をサポートします(予定) – そしてFIDO / WebAuthn ソリューションとの連携も…(願望)
Thanks!

Empfohlen

OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 

Empfohlen

OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティHiroshi Hayakawa
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demoRyo Ito
 
OAuth認証について
OAuth認証についてOAuth認証について
OAuth認証についてYoshifumi Sato
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜Masaru Kurahayashi
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 

Weitere ähnliche Inhalte

Was ist angesagt?

PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティHiroshi Hayakawa
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014Takashi Yahata
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demoRyo Ito
 
OAuth認証について
OAuth認証についてOAuth認証について
OAuth認証についてYoshifumi Sato
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!de:code 2017
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜Masaru Kurahayashi
 

Was ist angesagt? (20)

PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overview
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
 
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティOAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demo
 
OAuth認証について
OAuth認証についてOAuth認証について
OAuth認証について
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
 

Ähnlich wie CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth #openid #oidc #openbanking

API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門土岐 孝平
 
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?deflis
 
plusbenlly meetiup how-to-use
plusbenlly meetiup how-to-useplusbenlly meetiup how-to-use
plusbenlly meetiup how-to-useKohji Fujishima
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)Yoko TAMADA
 
金融向けoへの認証の導入
金融向けoへの認証の導入 金融向けoへの認証の導入
金融向けoへの認証の導入FIDO Alliance
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面KentaEndoh
 
Kong meetup tokyo 2018.10.26 ブリスコラ
Kong meetup tokyo 2018.10.26 ブリスコラKong meetup tokyo 2018.10.26 ブリスコラ
Kong meetup tokyo 2018.10.26 ブリスコラbriscola-tokyo
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーLINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーNaohiro Fujie
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにNat Sakimura
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Toru Yamaguchi
 

Ähnlich wie CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth #openid #oidc #openbanking (20)

API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
 
plusbenlly meetiup how-to-use
plusbenlly meetiup how-to-useplusbenlly meetiup how-to-use
plusbenlly meetiup how-to-use
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
 
金融向けoへの認証の導入
金融向けoへの認証の導入 金融向けoへの認証の導入
金融向けoへの認証の導入
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
 
Kong meetup tokyo 2018.10.26 ブリスコラ
Kong meetup tokyo 2018.10.26 ブリスコラKong meetup tokyo 2018.10.26 ブリスコラ
Kong meetup tokyo 2018.10.26 ブリスコラ
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルーLINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルー
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
 
Atndapi
AtndapiAtndapi
Atndapi
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのためにFAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのために
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
 

Mehr von Tatsuo Kudo

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Tatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021Tatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyTatsuo Kudo
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizdayTatsuo Kudo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Tatsuo Kudo
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可Tatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOITatsuo Kudo
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIsTatsuo Kudo
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisumTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 

Mehr von Tatsuo Kudo (17)

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIs
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 

CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth #openid #oidc #openbanking

  • 1. 「認証」について熱く語る!秋のLT大会 (Around the Auth) 2018-11-08 CIBAの可能性 工藤達雄
  • 2. In This Talk 今後の新たなユーザー認証体験の ベースとなりうる OpenID Connect CIBA 仕様と Authlete 社の取り組みについて ご紹介します。
  • 3. About Me • 工藤達雄 https://www.linkedin.com/in/tatsuokudo – サン・マイクロシステムズ (1998-2008) – 野村総合研究所 (2008-2018) – OpenIDファウンデーション・ジャパン(2013-2014) – NRIセキュアテクノロジーズ (2014-2018) – Authlete (2018-) • VP of Solution Strategy
  • 4. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス
  • 5. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 1 1. ログイン開始
  • 6. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 2 2. 認証・認可リクエスト
  • 7. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 3 3. 「ログインしてください」
  • 8. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 4 4. ID/パスワード を送信
  • 9. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 5 5. 認証結果・トークン
  • 10. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 6 6. ログイン完了
  • 11. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook API クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) ユーザー デバイス 7 7. トークンを使ってAPIアクセス
  • 12. Typical AuthN/AuthZ Flow from a Device Source: Connpass, Facebook 61 3 4 2 5 7 6. ログイン完了 API クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 2. 認証・認可リクエスト 3. 「ログインしてください」 4. ID/パスワード を送信 5. 認証結果・トークン 7. トークンを使ってAPIアクセス ユーザー デバイス 1. ログイン開始
  • 13. Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ
  • 14. Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用
  • 15. Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用 スマートフォン
  • 16. Decoupling AuthN from Consumption ユーザー クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ 利用 スマートフォン 認証・認可 リクエスト
  • 17. Decoupling AuthN from Consumption ユーザー デスクトップ スマートフォン クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証 認証・認可 リクエスト
  • 18. ユーザー スマートフォン Consumption from Another Device クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)
  • 19. ユーザー スマートフォン Consumption from Another Device クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) POS端末
  • 20. ユーザー スマートフォン 認証 Consumption from Another Device POS端末 クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証・認可 リクエスト
  • 21. ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)
  • 22. ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) デスクトップ オペレーター
  • 23. ユーザー スマートフォン Consumption by Another User クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 利用 認証 デスクトップ オペレーター 認証・認可 リクエスト
  • 24. AuthN Initiated by Client via Backchannel ユーザー 3. 認証結果・トークン 1. 対象ユーザーを指定して 認証・認可リクエスト クライアント (リライング・パーティ) 認可・APIサーバー (アイデンティティ・プロバイダー)
  • 25. CIBA (Client Initiated BackchannelAuthentication) https://bitbucket.org/openid/mobile/src/default/draft-mobile-client-initiated-backchannel-authentication.xml • OpenID Foundation (OIDF) が策定中の「認証フロー」の仕様 – 2017年5月 “OIDC MODRNA* CIBA Flow 1.0” 実装者向け草案が承認 • もともとはモバイル向け – MODRNA WG にて策定が進められていた • 現在、広範なユースケースに対応するための改良が進められている – MODRNA WG と FAPI** WG** が連携 – “CIBA Core” と各種プロファイル (MODRNA, FAPI, …) の構成 (*) Mobile Operator Discovery, Registration & Authentication (**) Financial-grade API
  • 26. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント
  • 27. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 0 0. ユーザーの 識別子を把握 login_hint_token id_token_hint login_hint
  • 28. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 1 1. 認証 リクエスト User Identifier
  • 29. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 2 2. 受付応答 AuthN Req ID
  • 30. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 2’ 2’. ユーザー 認証
  • 31. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント 3 3. 認証結果と トークンを返却 (Poll / Ping / Push) ID Token / AT* / (RT**)
  • 32. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー)BA EP (*) Access Token (**) Refresh Token バックチャネル認証 エンドポイント API (4) (4) トークン を使ってAPI アクセス (4) (4) 認証結果を 利用して処理を 実行
  • 33. CIBA Flow ユーザー Consumption Device (CD) Authentication Device (AD) クライアント (リライング・ パーティ) 認可・APIサーバー (アイデンティティ・ プロバイダー) 0 0. ユーザーの 識別子を把握 login_hint_token id_token_hint login_hint 1 1. 認証 リクエスト BA EP2 2. 受付応答 2’ 2’. ユーザー 認証 API 3 (4) (4) トークン を使ってAPI アクセス (*) Access Token (**) Refresh Token 3. 認証結果と トークンを返却 (Poll / Ping / Push) (4) (4) 認証結果を 利用して処理を 実行 User Identifier AuthN Req ID ID Token / AT* / (RT**) バックチャネル認証 エンドポイント
  • 34. CIBA is Gaining Momentum 😎 Source: https://www.openbanking.org.uk/wp-content/uploads/Customer-Experience-Guidelines.pdf, https://openbanking.atlassian.net/wiki/spaces/DZ/pages/642090641/Account+and+Transaction+API+Specification+-+v3.0, https://www.recruit.net/job/security-architect_london_jobs/652C3F6C7260E6D3
  • 35. Authlete: BaaS for API Authorization Service https://www.authlete.com/ • BaaS (Backend as a Service)として 利用できるため導入・運用が容易 • OAuth 2.0 / OIDC関連仕様を網羅した 実装 • お客さまのフィードバックに基づき 仕様の先を行く機能群を実装 • 関連仕様の専門家集団が設計・運用 Grand Prize Winner
  • 36. Solution Architecture 36 Authlete Customer’s EnvironmentAPI Clients Existing Services © 2018 Authlete, Inc. Websites Mobile Networked Devices Authorization Server Authorization Decision User Authentication Consent Management Entitlement Management API Servers / Gateways /data /function /transaction Authlete Authorization BackendAPIs Authorization Information (e.g. Tokens) Database Authorization Request API Access Authorization Status Check OAuth/OIDC Processing Request Authorization Frontend Leveraging existing services Authorization decision logic with no dependency on Authlete Separation of operation between authorization server and API servers Externalizing cumbersome OAuth/OIDC processing and token management /… OSS components available via GitHub
  • 37. When it Comes to CIBA… 37 Authlete Customer’s EnvironmentClient Existing Services © 2018 Authlete, Inc. Websites Mobile Networked Devices Authorization Server Authorization Decision User Authentication Consent Management Entitlement Management API Servers / Gateways /data /function /transaction Authlete Authorization BackendAPIs Authorization Information (e.g. Tokens) Database Backchannel authn API Access Authorization Status Check OAuth/OIDC and CIBA Processing Request /… Token Authorization Frontend Authentication Device Mobile Not ification for user authn