際際滷

際際滷Share a Scribd company logo

アイテ?ンティティ2.0とOAuth/OpenID Connect

?
?
Shinichi Tomita
Shinichi Tomita
1 of 21
Download to read offline
?Copyright 2014 Mashmatrix, Inc. All rights reserved. アイデンティティ2.0と OAuth/OpenID Connect Mashmatrix, Inc. www.mashmatrix.com ! Shinichi Tomita stomita@mashmatrix.com
?Copyright 2014 Mashmatrix, Inc. All rights reserved. このY創は、幄塀氏芙ウフル (http://uhuru.co.jp/) の 芙坪セミナ`にて聞喘したY創です。ウフルのご挫吭 により、巷_のSZを誼ましたので、巷_いたします。 !
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 念指のおさらい ? シングルサインオンがなぜ駅勣か ? J^?J辛 ? SAML
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 200X定は コンシュ`マWebのr旗
?Copyright 2014 Mashmatrix, Inc. All rights reserved. Weblog┘屮蹈娃の臓腹 ? 2000定旗念磯、ブログによってlでもカジュアルにWeb へコンテンツk佚が辛嬬に ? MovableTypeなどのソフトウェア、RSSなどのk婢 ? k伏した} ? ブログのコメント秘にスパムが謹くなった。 ? スパム指閲のために、コメントする繁の竃徭を苧らかにしたい ? でも方あるブログサイトにコメントする繁畠Tのログインアカ ウントを恬るo尖o尖。
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 盾Q貨とOpenIDのQ伏 ? もうみんなWebのどこかに徭蛍のサイト┘屮蹈娃を 隔ってるよね ? コメント麼にはそのサイトの隔ち麼が徭蛍であることを^ 苧してもらったらいいんじゃない ? Webのような蛍柊したh廠でも徭蛍のアイデンティティ を止_できる碧Mみ┘廛蹈肇灰襭をつくろう ? 2005定、Six Apartのメンバ`がOpenID 1.0を戻蟹
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenIDの蒙 ? World Wide Web、蛍柊h廠が寄念戻 ? lでも徭蛍のサイトでアイデンティティを麼できる ? どのサイトでも徭蛍のアイデンティティを旋喘できる ? 恷兜から仝シングルサインオン々を箔めたわけではない ? コメントするユ`ザの侭嗤するWebサイトをReすることが恷兜のC ? ユ`ザのアイデンティティはインタ`ネット貧にURLでアクセス辛嬬であ る、という覿 ? OpenID 2.0でシングルサインオン喘余にも旋喘できるように ? サイトを並念に鞠hしたりする駅勣はない ? 啜弔淵妊スカバリが碧に根まれる
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 歌深User-Centric Identity ? サイト嶄伉のアイデンティティIdentity 1.0 ? ユ`ザのアイデンティティはサイトが砿尖する ? アイデンティティのサイロ(Silo)謁に]ざされた優(Walled Garden ? ユ`ザ嶄伉のアイデンティティIdentity 2.0 ? 旋喘宀云繁がアイデンティティ秤鵑鬟灰鵐肇踪`ルする
?Copyright 2014 Mashmatrix, Inc. All rights reserved. Identity 2.0 ? 互堀プレゼンテ`ションスタイルで嗤兆 ? https://www.youtube.com/watch? v=RrpajcAgR1E ? ActiveState、SXIPI宀 ? Chuck Mort━FSFDC Identity PMは 圷SXIPに壓汐していたことも ? SXIPのクロ`ズ瘁、MicrosoftをUて、F壓 フリ` Dick Hardt
?Copyright 2014 Mashmatrix, Inc. All rights reserved. マッシュアップとOAuth ? Webサ`ビスAPIを旋喘した仝マッシュアップ々の送佩 ? パブリックなリソ`スだけでなく、アクセス隠oされたリソ`スもQいたい ? 旗尖アクセスの駅勣來?慙泙領j ? OAuth1.0: WebアプリのJ辛のためのプロトコルを併 ? Flickrなどで旋喘されていた慙淮jの碧Mみがヒント ? スコ`プによって溜jする慙泙鰆原┸苗 ? 箭砕iみzみのみきzみ辛プロフィ`ル秤鵑里滷コンタクト秤鵑眇鼻△覆 ? F壓もTwitterのAPIはOAuth1.0aで戻工されている ? なお1.0にはプロトコルに巌樋來がつかっているため、F壓は個井の1.0aを聞う べき
?Copyright 2014 Mashmatrix, Inc. All rights reserved. Facebook Connect ? Facebookの鏡徭碧で婢_されたAPI俊Aの碧Mみ ? WebサイトからgにFacebookのサ`ビスに俊Aするた めのウィジット?ボタンを喘吭 ? サ`バサイドいらず、Webサイトにファイルを崔くだけで秘 できるgさ ? JavaScript SDKもあり、}jなアプリのBも辛嬬 ? Facebookの卯k議な噸式により、謹方のサイトで聞われ るように
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0 ? OAuth 1.0の郡福 ? セキュリティS隔のため}jになってしまったプロトコル ? 徨俸兆のQいに逗困垢謇_k宀 ? OAuth 2.0 ? Facebook Connectを歌深にして、Dick HardtらがOAuth WRAPを戻 蟹 OAuth 2.0へM晒 ? 俸兆のような中宜な返gを福き、セキュリティはSSLで隠^する ? Facebookも瘁にOAuth2.0に栽わせてAPIを筝 ? Secret秤鵑魍屬弔海箸yしいJavaScriptやスマホアプリからも旋喘 できるImplicit Grant Flowも
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0? (Authorization Code Flow) http://www.atmarkit.co.jp/ait/articles/1209/10/news105.html
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0? (Implicit Grant Flow) http://www.atmarkit.co.jp/ait/articles/1209/10/news105.html
?Copyright 2014 Mashmatrix, Inc. All rights reserved. ソ`シャルログイン ? 仝屡に翌何のソ`シャルサ`ビスに隠嗤しているアイデン ティティを旋喘して、ユ`ザが┘汽ぅ硲アプリにログ インできるC嬬々にする没各 ? 仝アイデンティティB亊(Identity Federation)々というZが匯 違_k宀には岷湖議でなかったことも圻咀か ? gHはOAuthなどでソ`シャルAPIへのアクセス慙泙鯣ゝ? ユ`ザのRe秤鵑鯣ゝ辰靴董献蹈哀ぅ鵝
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuthによる? 仝ソ`シャルログイン々のn} 1. 併されていない ? ユ`ザ秤鵑魯稀`ビス鏡徭のAPIを旋喘して函ってくる ? 俊Aするサ`ビスごとにクライアントの_kが駅 2.〆J辛〇を〆J^〇に旋喘 ? APIにするアクセスのJ辛を嚥えられたとしても、そのAPIから誼たユ`ザ秤鵑鬟罘` ザのJ^に旋喘してほんとにいいのか 3. API慙泙喘したスパム ? そもそもログインしたいだけなのに、なぜアクセス慙泙駅勣なの 4.圻尖麼x議にはユ`ザ`?セントリックでない ? 翌何のアイデンティティをxkできるという吭龍ではユ`ザ`?セントリックだが、 ユ`ザが販吭のアイデンティティを隔ち\べるわけではない
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connect ? レく噸式したOAuth2.0をベ`スにした、蛍柊h廠でユ` ザのシングルサインオンをgFするためのプロトコル ? 咾衫直筍 ? OAuth2を聞ったJ^よりも併されており芦伉 ? SAMLよりgなのでg廾は否叟
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connect の蒙 ? アイデンティティ秤鵑鯣ゝ辰垢襪燭瓩離好芥`プ openid を協x ? UserInfo Endpoint というユ`ザ秤鵑鯣ゝ辰垢APIのスキ` マを協xし、インタ`フェ`スをy匯 ? 愔瓦access_tokenの麿に id_token というト`クンを協x ? ユ`ザのアイデンティティを^苧する┘▲稀`ショント`クン ? JWTJSON Web Tokenを旋喘し、徨俸兆で個ざんを契峭 ? UserInfo EndpointがFirewall坪にある栽や、}方アプリをまたがって ト`クンが止_される栽などに試喘辛嬬 ? OpenID 2.0と揖に啜弔縫汽ぅ皮gのB亊を佩う碧Mみもあり vB碧
?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connectのフロ` http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? 二Iシステムを嶄伉としたシングルサインオンのk婢とはe に、コンシュ`マWebにおける勣箔からOpenIDおよび OAuthが伏まれた ? OAuthは、撹孔したFacebook Connectを歌深に、より さを嶷したOAuth2.0へとk婢した ? Facebook/Twitterの岬^により、翌何アイデンティティを旋 喘したログインという悶Yは匯違晒したが、匯圭でさまざま な}を墅んだ ? OpenID Connect による併でB亊はもっとSになるかも
?Copyright 2014 Mashmatrix, Inc. All rights reserved. 處(OpenID Connect) ? OpenID Connect を旋喘して、SalesforceをGoogleアカウ ントでログインできるようにする ? 歌深URL ? http://blog.?ect.co.jp/salesforce/2014/06/openid-connect-a?a.html ? 式k婢處升塞腕のB亊で函誼したTokenを旋喘して、Apex からGoogleのAPIを澣いてみる ? 歌深URL ? http://www.tquila.com/blog/2014/02/13/accessing-google-apis- apex-minimal-e?ort

More Related Content

アイテ?ンティティ2.0とOAuth/OpenID Connect

  • 1. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. アイデンティティ2.0と OAuth/OpenID Connect Mashmatrix, Inc. www.mashmatrix.com ! Shinichi Tomita stomita@mashmatrix.com
  • 2. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. このY創は、幄塀氏芙ウフル (http://uhuru.co.jp/) の 芙坪セミナ`にて聞喘したY創です。ウフルのご挫吭 により、巷_のSZを誼ましたので、巷_いたします。 !
  • 3. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 念指のおさらい ? シングルサインオンがなぜ駅勣か ? J^?J辛 ? SAML
  • 4. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 200X定は コンシュ`マWebのr旗
  • 5. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. Weblog┘屮蹈娃の臓腹 ? 2000定旗念磯、ブログによってlでもカジュアルにWeb へコンテンツk佚が辛嬬に ? MovableTypeなどのソフトウェア、RSSなどのk婢 ? k伏した} ? ブログのコメント秘にスパムが謹くなった。 ? スパム指閲のために、コメントする繁の竃徭を苧らかにしたい ? でも方あるブログサイトにコメントする繁畠Tのログインアカ ウントを恬るo尖o尖。
  • 6. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 盾Q貨とOpenIDのQ伏 ? もうみんなWebのどこかに徭蛍のサイト┘屮蹈娃を 隔ってるよね ? コメント麼にはそのサイトの隔ち麼が徭蛍であることを^ 苧してもらったらいいんじゃない ? Webのような蛍柊したh廠でも徭蛍のアイデンティティ を止_できる碧Mみ┘廛蹈肇灰襭をつくろう ? 2005定、Six Apartのメンバ`がOpenID 1.0を戻蟹
  • 7. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenIDの蒙 ? World Wide Web、蛍柊h廠が寄念戻 ? lでも徭蛍のサイトでアイデンティティを麼できる ? どのサイトでも徭蛍のアイデンティティを旋喘できる ? 恷兜から仝シングルサインオン々を箔めたわけではない ? コメントするユ`ザの侭嗤するWebサイトをReすることが恷兜のC ? ユ`ザのアイデンティティはインタ`ネット貧にURLでアクセス辛嬬であ る、という覿 ? OpenID 2.0でシングルサインオン喘余にも旋喘できるように ? サイトを並念に鞠hしたりする駅勣はない ? 啜弔淵妊スカバリが碧に根まれる
  • 8. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 歌深User-Centric Identity ? サイト嶄伉のアイデンティティIdentity 1.0 ? ユ`ザのアイデンティティはサイトが砿尖する ? アイデンティティのサイロ(Silo)謁に]ざされた優(Walled Garden ? ユ`ザ嶄伉のアイデンティティIdentity 2.0 ? 旋喘宀云繁がアイデンティティ秤鵑鬟灰鵐肇踪`ルする
  • 9. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. Identity 2.0 ? 互堀プレゼンテ`ションスタイルで嗤兆 ? https://www.youtube.com/watch? v=RrpajcAgR1E ? ActiveState、SXIPI宀 ? Chuck Mort━FSFDC Identity PMは 圷SXIPに壓汐していたことも ? SXIPのクロ`ズ瘁、MicrosoftをUて、F壓 フリ` Dick Hardt
  • 10. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. マッシュアップとOAuth ? Webサ`ビスAPIを旋喘した仝マッシュアップ々の送佩 ? パブリックなリソ`スだけでなく、アクセス隠oされたリソ`スもQいたい ? 旗尖アクセスの駅勣來?慙泙領j ? OAuth1.0: WebアプリのJ辛のためのプロトコルを併 ? Flickrなどで旋喘されていた慙淮jの碧Mみがヒント ? スコ`プによって溜jする慙泙鰆原┸苗 ? 箭砕iみzみのみきzみ辛プロフィ`ル秤鵑里滷コンタクト秤鵑眇鼻△覆 ? F壓もTwitterのAPIはOAuth1.0aで戻工されている ? なお1.0にはプロトコルに巌樋來がつかっているため、F壓は個井の1.0aを聞う べき
  • 11. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. Facebook Connect ? Facebookの鏡徭碧で婢_されたAPI俊Aの碧Mみ ? WebサイトからgにFacebookのサ`ビスに俊Aするた めのウィジット?ボタンを喘吭 ? サ`バサイドいらず、Webサイトにファイルを崔くだけで秘 できるgさ ? JavaScript SDKもあり、}jなアプリのBも辛嬬 ? Facebookの卯k議な噸式により、謹方のサイトで聞われ るように
  • 12. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0 ? OAuth 1.0の郡福 ? セキュリティS隔のため}jになってしまったプロトコル ? 徨俸兆のQいに逗困垢謇_k宀 ? OAuth 2.0 ? Facebook Connectを歌深にして、Dick HardtらがOAuth WRAPを戻 蟹 OAuth 2.0へM晒 ? 俸兆のような中宜な返gを福き、セキュリティはSSLで隠^する ? Facebookも瘁にOAuth2.0に栽わせてAPIを筝 ? Secret秤鵑魍屬弔海箸yしいJavaScriptやスマホアプリからも旋喘 できるImplicit Grant Flowも
  • 13. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0? (Authorization Code Flow) http://www.atmarkit.co.jp/ait/articles/1209/10/news105.html
  • 14. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuth 2.0? (Implicit Grant Flow) http://www.atmarkit.co.jp/ait/articles/1209/10/news105.html
  • 15. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. ソ`シャルログイン ? 仝屡に翌何のソ`シャルサ`ビスに隠嗤しているアイデン ティティを旋喘して、ユ`ザが┘汽ぅ硲アプリにログ インできるC嬬々にする没各 ? 仝アイデンティティB亊(Identity Federation)々というZが匯 違_k宀には岷湖議でなかったことも圻咀か ? gHはOAuthなどでソ`シャルAPIへのアクセス慙泙鯣ゝ? ユ`ザのRe秤鵑鯣ゝ辰靴董献蹈哀ぅ鵝
  • 16. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OAuthによる? 仝ソ`シャルログイン々のn} 1. 併されていない ? ユ`ザ秤鵑魯稀`ビス鏡徭のAPIを旋喘して函ってくる ? 俊Aするサ`ビスごとにクライアントの_kが駅 2.〆J辛〇を〆J^〇に旋喘 ? APIにするアクセスのJ辛を嚥えられたとしても、そのAPIから誼たユ`ザ秤鵑鬟罘` ザのJ^に旋喘してほんとにいいのか 3. API慙泙喘したスパム ? そもそもログインしたいだけなのに、なぜアクセス慙泙駅勣なの 4.圻尖麼x議にはユ`ザ`?セントリックでない ? 翌何のアイデンティティをxkできるという吭龍ではユ`ザ`?セントリックだが、 ユ`ザが販吭のアイデンティティを隔ち\べるわけではない
  • 17. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connect ? レく噸式したOAuth2.0をベ`スにした、蛍柊h廠でユ` ザのシングルサインオンをgFするためのプロトコル ? 咾衫直筍 ? OAuth2を聞ったJ^よりも併されており芦伉 ? SAMLよりgなのでg廾は否叟
  • 18. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connect の蒙 ? アイデンティティ秤鵑鯣ゝ辰垢襪燭瓩離好芥`プ openid を協x ? UserInfo Endpoint というユ`ザ秤鵑鯣ゝ辰垢APIのスキ` マを協xし、インタ`フェ`スをy匯 ? 愔瓦access_tokenの麿に id_token というト`クンを協x ? ユ`ザのアイデンティティを^苧する┘▲稀`ショント`クン ? JWTJSON Web Tokenを旋喘し、徨俸兆で個ざんを契峭 ? UserInfo EndpointがFirewall坪にある栽や、}方アプリをまたがって ト`クンが止_される栽などに試喘辛嬬 ? OpenID 2.0と揖に啜弔縫汽ぅ皮gのB亊を佩う碧Mみもあり vB碧
  • 19. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. OpenID Connectのフロ` http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
  • 20. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. まとめ ? 二Iシステムを嶄伉としたシングルサインオンのk婢とはe に、コンシュ`マWebにおける勣箔からOpenIDおよび OAuthが伏まれた ? OAuthは、撹孔したFacebook Connectを歌深に、より さを嶷したOAuth2.0へとk婢した ? Facebook/Twitterの岬^により、翌何アイデンティティを旋 喘したログインという悶Yは匯違晒したが、匯圭でさまざま な}を墅んだ ? OpenID Connect による併でB亊はもっとSになるかも
  • 21. ?Copyright 2014 Mashmatrix, Inc. All rights reserved. 處(OpenID Connect) ? OpenID Connect を旋喘して、SalesforceをGoogleアカウ ントでログインできるようにする ? 歌深URL ? http://blog.?ect.co.jp/salesforce/2014/06/openid-connect-a?a.html ? 式k婢處升塞腕のB亊で函誼したTokenを旋喘して、Apex からGoogleのAPIを澣いてみる ? 歌深URL ? http://www.tquila.com/blog/2014/02/13/accessing-google-apis- apex-minimal-e?ort