ãªãã¹ï¼ãªã©èªè¨¼å¨ããã¾ã¨ãã¦ã¿ã
ããã«ã¡ã¯ãä»æ¥ã¯è¶£åãå¤ãã¦å代ç°åºç«å³æ¸é¤¨ã«æ¥ã¦ã¿ã¾ããã
å³æ¸é¤¨ã¯æ®æ®µããã¾ãè¡ããªãã®ã§ãå°å ã®å³æ¸é¤¨ã¨ã®éãã«é©ãã§ããã é½å ã®å³æ¸é¤¨ã£ã¦åºãã綺éºã§ããã ä¹æ®µä¸ããå²ã¨è¿ããç½®ãã¦ããèµæ¸ã®ã¸ã£ã³ã«ãå¤ããå¸ã®ã¸ã£ã³ã«å¤ããç¡ç·Wifiãããé»æºãããã§ããªã使ããããã£ãã§ãã éãã§è½ã¡çããé°å²æ°ã§éãããããæ°ããã¾ãããç¡é³ãªã®ã§ç¬ãè¨ãå¤ã人ã¯æ°ãã¤ãã¦ãã ããã
ãã¦ãååã®è¨äºã«ã¤ãã¦@okeee0315ãããããããªã³ã¡ã³ããã
èªè¨¼åãã¯å¤§äºãADã®åã«èªè¨¼ã¨èªå¯ãå¿ è¦ãã / ADãªã«ãããããããªã(æ³£) - ã©ãã¾ããã®ãã¿å¸³ https://t.co/MEFI6o5qNA
— okeee (@okeee0315) 2016å¹´5æ3æ¥
ã»ã»ããADã¯ã¾ã ç¾å³ãããªãã£ãã®ã§ãæãã«å¾ãèªè¨¼å¨ããããå°ã調ã¹ã¦ã¿ããã¨ã«ã
èªè¨¼ã¨èªå¯
ææã®ãã£ãèªè¨¼ã¨èªå¯ã®éããã
- èªè¨¼
- Authentication
- æ¬äººç¢ºèª
- æ¬äººãèå¥ããIDã¨ãã¹ã¯ã¼ãã®å¯¾ãä¸è´ãããã¨ã§æ¬äººã¨ã¿ãªãå¦ç
- èªå¯(権éä»ä¸)
- Authorization
- èªè¨¼æ¸ã¿ã®ã¦ã¼ã¶ã¼ã«å¯¾ããµã¼ãã¹ã®å©ç¨ããªã½ã¼ã¹ã¸ã®æ¨©éãä¸ããå¦ç
éãã¯ãã®å³ã®æã
ãã®éããç¥ããªãã£ãã¨ãããããã¾ã£ããæèãã¦ã¾ããã§ããã ãã ããã®å¾ã®å 容ããã£ã¦ãããã¡ã«å¤§ããªãã¤ã³ãã ã£ãã¨ç¥ããã¨ã«ãªãã¾ãã
èªè¨¼ã«é¢ãããã§ãã¬ã¼ã·ã§ã³ã®æè¡ã¨ã
調ã¹ã¦ããä¸ã§åºã¦ããèªè¨¼æ¹å¼ãã¤ãã¤ãã¨
1.èªè¨¼API
- å©ç¨ãµã¤ãã«ãã°ã¤ã³ID/ãã¹ã¯ã¼ããå ¥åããªãã¦ãèªè¨¼æ å ±æä¾ãµã¤ãã®ãã°ã¤ã³ID/ãã¹ã¯ã¼ãã§èªè¨¼ããä»çµã¿
- TypeKeyèªè¨¼ãã¯ã¦ãªèªè¨¼APIçãå社ããèªè¨¼APIã¯æä¾ããã¦ãã
- æ¸å¿µç¹
2.OpenID
- èªè¨¼APIã®æ¸å¿µç¹ãææããèªè¨¼ãããã³ã«
- åæ£èªè¨¼åã·ã¹ãã ã§è¤æ°ã®èªè¨¼ãµã¼ãã¹ãå©ç¨ãããã¨ãã§ãã
- OpenIDã®ä¸»ãªç¨èª
- OpenIDã®èªè¨¼ã®æµã
- ã¦ã¼ã¶ã¯RPã«ã¢ã¯ã»ã¹ããèªèº«ã®Claimed Identifierãå ¥åãã
- RPã¯å ¥åãããClaimed Identifierãå ã«OPãæ¢ã
- RPã¯OPã¨ã®éã§å ±ééµã交æãã
- RPã¯ã¦ã¼ã¶ãOPã¸ãªãã¤ã¬ã¯ããããã¦ã¼ã¶ã®èªè¨¼ãè¦æ±ãã
- ã¦ã¼ã¶ã¯OPã«ãã°ã¤ã³ãããOPã¯Claimed IdentifierãRPã«éç¥ãã¦ããã確èªãã
- ã¦ã¼ã¶ãåæããã¨OPã¯å©ç¨è ãRPã¸ãªãã¤ã¬ã¯ããããèªè¨¼çµæãRPã«éç¥ãã
- RPã¯åãåã£ãèªè¨¼çµæã«å«ã¾ããClaimed Identifierã§ã¦ã¼ã¶ãèªè¨¼ãã
3.OAuth
- OpenIDã®èª²é¡ã解決ããããã«Twitter社ã®ãã¬ã¤ã³ã»ã¯ãã¯æ°ãã¯ããã¨ããéçºè
ãéã¾ãAPIèªå¯ãããã³ã«ã¨ãã¦éçºãã
- OpenIDã¯IDã®æã¡ä¸»ãæ¬äººã確èª(èªè¨¼)ãã¦ãããããèªè¨¼ãããIDãã©ã®ãªã½ã¼ã¹ã«ã¢ã¯ã»ã¹ã§ããã(èªå¯)ã¯ãã£ã¦ãããªã
- èªå¯(ã¢ã¯ã»ã¹æ¨©éä»ä¸)ã®ããã®ãããã³ã«ãèªè¨¼ã¯ãªãã
- OAuthãããã³ã«ã®ç¹å¾´
- APIæ¥ç¶ç¢ºèªã«ãã¼ã¯ã³ã使ããã¨
- ãã¼ã¯ã³ã¯ã¦ã¼ã¶ã¼ã®åæã«åºã¥ãã¦ãµã¼ãã¹ãããã¤ããããµã¼ãã¹ãæä¾ãããµã¤ãã«ä»ä¸ããã
- OAuthã®ç¨èª
- OAuth 1.0ã¨2.0ã®éã
- OAuth 1.0ã®èª²é¡
- èªè¨¼ã¨ç½²åã®ä»çµã¿ãè¤é
- Webã¢ããªã®ã¿ã対象ã¨ããã¹ã¯ããã/ã¢ãã¤ã«ã¢ããªã®å¯¾å¿ãå¾®å¦
- OAuth Clientããªã¯ã¨ã¹ããã¼ã¯ã³ã®ä¿ç®¡ã«ããã¹ã±ã¼ã«æã®ããã©ã¼ãã³ã¹ä½ä¸
- OAuth 2.0ã®ç¹å¾´
- HTTPSãå¿ é ã«ãç½²åãªãã§ãã¼ã¯ã³åå¾ãå¯è½
- Webã¢ããªå«ã4ã¤ã®ã¯ã©ã¤ã¢ã³ããããã¡ã¤ã«ãä»æ§å
- ã¢ã¯ã»ã¹ãã¼ã¯ã³ã®ã¿ã§ãªã½ã¼ã¹ã«ã¢ã¯ã»ã¹å¯è½
- OAuth 1.0ã®èª²é¡
4.OpenID Connect
- OAuth 2.0ã®æ¡å¼µç
- èªè¨¼ãèªå¯ããããããã¨ãåã
- ã¦ã¼ã¶ã¼ã®å±æ§æ å ±(ã¦ã¼ã¶ã¼èå¥åãæ°åãæ§å¥ãçå¹´ãä½æãã¡ã¼ã«ã¢ãã¬ã¹ç)ãåå¾ããæ©è½ãå«ã
- ãã¡ãã®ã¹ã©ã¤ããããªããããããã
5.SAML
- Security Assertion Markup Language
- OpenID Connectã«è¿ãèªè¨¼ãããã³ã«
- èªè¨¼æ å ±ã®ä¼é(Authentication Assertion)ãå±æ§æ å ±ã®ä¼é(Authorization Assertion)ãã¢ã¯ã»ã¹å¶å¾¡æ å ±ã®ä¼é(Authorization Decision Assertion)ã®æ©è½ããã¤
- SAMLã®ç¨èª
- IdP(Identity Provider):èªè¨¼æ å ±ãæä¾ããå´
- SP(Service Provider):èªè¨¼æ å ±ãå©ç¨ããå´
- OpenID Connectã¨ã»ã¨ãã©åãããã ãã大ããéãã¯ä¿¡é ¼é¢ä¿ã®æ§ç¯
- SPãä¿¡é ¼ããIdPã®ç»é²ã¨IdPãä¿¡é ¼ããSPã®ç»é²ãããããè¡ã
- OpenID Connectã§ã¯SP(RP)ãIdP(OP)ã«ç»é²ããã ãã ã£ãã¯ã
- SAMLãã¨ã³ãã©ç³»ã§ä½¿ãããçç±ãã
- OpenID/OAuth/SAMLã®éããã¾ã¨ãã¦ããã¹ã©ã¤ãããããããã
www.slideshare.net
AWSã®ãã§ãã¬ã¼ã·ã§ã³ãµã¼ãã¹
- AD Connector:Active Directoryã®ID/ãã¹ã¯ã¼ãã使ããªã
- Amazon Cognito:ã½ã¼ã·ã£ã«èªè¨¼ãããã¤ãã¼ã®ID/ãã¹ã¯ã¼ãã使ããªã
â»Cognitoã¯ãã£ã¨ããããæ©è½ãããã©ãã§ãã¬ã¼ã·ã§ã³ã«çµããªã
西谷ããã®ããã«ãªãè³æ
www.slideshare.net
ã¾ã¨ã
ãã©ãã©ã¨èãããã¨ããåèªãããããç´ä»ããæã ã¡ãã£ã¨Active Directoryãç¾å³ãããªã£ã¦ãããããããªãããã¶ã
åèè³æ
- ZIGOROuのOpenID Short Clinic:認証と認可の違い - ITmedia エンタープライズ
- APIアクセス権を委譲するプロトコル、OAuthを知る − @IT
- 第1回 OpenIDサービスを利用して,OpenIDの仕組みを理解する:いますぐ使えるOpenID|gihyo.jp … 技術評論社
- 非技術者のためのOAuth認証(?)とOpenIDの違い入門 | @_Nat Zone
- 第6回 WebAPI,認証APIのセキュリティ:ここが危ない!Web2.0のセキュリティ|gihyo.jp … 技術評論社
- デジタル・アイデンティティ技術最新動向(1):「OAuth」の基本動作を知る (1/2) - @IT
- デジタル・アイデンティティ技術最新動向(2):RFCとなった「OAuth 2.0」――その要点は? (1/2) - @IT
- http://www.atmarkit.co.jp/fsmart/articles/OAuth2/01.html
- SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ