Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CIBA詳細とCIBAで実現する社会を考えてみたかった / OpenID TechNight ...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Ayokura
February 25, 2019
Technology
2.5k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CIBA詳細とCIBAで実現する社会を考えてみたかった / OpenID TechNight Vol.16 LT
2019/2/25 の OpenID TechNight Vol.16 で話したLTの発表資料です。
CIBAを既にある程度把握している人向け、と思います。
Ayokura
February 25, 2019
More Decks by Ayokura
See All by Ayokura
多様なデジタルアイデンティティを攻撃からどうやって守るのか / 20251212
ayokura
0
720
デジタルアイデンティティの技術を学ぼう!~認証認可にまつわる標準仕様文書を読んでみよう~ / OpenID Summit Tokyo 2024
ayokura
0
1.4k
WWDC 2020 参加報告 ~ Sign in with Apple & WebAuthn まわりを中心に #openid #technight / openid-technight-17-wwdc20
ayokura
0
1.3k
公開情報から読むCloud-assisted BLE(caBLE)をつかったWebAuthn
ayokura
2
5.9k
Other Decks in Technology
See All in Technology
実装だけじゃない! CCA-F取得エンジニアが教えるClaude Code開発プロセス活用術
diggymo
2
660
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
1
4.5k
LLMやAIエージェントをソフトウェアに組み込むプラクティス
shibuiwilliam
1
360
地域 SRE コミュニティ最前線 / SRE NEXT 2026 Discussion Night Track C
muziyoshiz
0
210
SRE Next 2026 何でも屋からの脱却
bto
0
650
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
2
3.7k
キャリアの中で本を作る / Making a Book During Your Career
ak1210
0
140
ruby.wasmとPicoRuby.wasmに対応した仮想DOMライブラリを作ってる話 #kaigieffect_kaigi
sue445
PRO
0
140
シンガポールで登壇してきます
yama3133
0
120
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
2
1.5k
cccccc
moznion
0
1.9k
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
Featured
See All Featured
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2.1k
How to Think Like a Performance Engineer
csswizardry
28
2.7k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
340
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
63
55k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.4k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
Making Projects Easy
brettharned
120
6.7k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.6k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
230
Transcript
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
CIBA詳細とCIBAで実現する社会 を考えてみたかった 2019/2/25 OpenID TechNight #16 LT 株式会社レピダム 名古屋 謙彦 (あよくら @ayokura)
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
自己紹介 株式会社レピダムで社員2年目です。 (学生時代のお仕事も含めると9年目です) コード書いたり、システム管理をするエンジニアです サーバーやネットワークのおせわをするのは癒し クリスチャンです @ayokura でtwitterなどやっています ID関係は、学生時代からの趣味です 今は仕事にも役立っています(+KYC WGにいます) 簡単に安全な世の中が来てほしいです インターネット経由とか対面とか電話越しとか気にせずに サービスが受けられる時代がこないかな、と思ってます 2
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
セキュリティやネットワーク技術の研究開発を強みとし、 課題解決やビジネス実現を通じて顧客の事業成長の加速に 貢献する 株式会社レピダム 3 開発力 専門性 HUB力 事業ニーズ ・事業会社 ・自治体 ・新規ビジネス エッジの効いた技術で顧客のビジネスを加速 技術シーズ ・企業研究所 ・標準化団体 ・大学 事業ニーズを次世代の技術開発へ
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
CIBAとは Client Initiated Backchannel Authenticaton 最近Implementer’s Draftになりました https://openid.net/2019/02/04/implementers-draft- of-openid-connect-client-initiated-backchannel- authentication-ciba-core-approved/ Total votes: 58 (out of 270 members = 21% > 20% quorum requirement) ……これ20%下回ったらどうなってたんだろう……。 その他、直前のLTをご参照ください m(_ _ )m https://openid.net/developers/specs/ からリンクさ れているのは2017年のものという罠に注意です……。 4
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
Agenda OAuth 2.0 Device FlowとCIBAを比べてみて OAuth 2.0 Device Flow CIBAと違うところ その他CIBAの仕様で気になったところ OPが認証したいユーザーを識別する方法 User Code Privacy Considerations 願望 5
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow draft-ietf-oauth-device-flow まだRFCになってない拡張 Googleが「Youtube on TV」で使っているはず ゲーム機とかテレビとかの、キーボード入力が難しかったり、 Webブラウザがないような環境で使います 6
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow 7
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow 8
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow 9
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow 10
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow~CIBAと違うところ ユーザーとデバイスの紐づけの情報を送る側が違う Device Flowでは、デバイスの一時的な識別子(verification code)を、ユーザーがAuthorization Serverに入力 ユーザーのセッションとverification codeが紐づけられて認可画 面がでる 紐づけに使う情報を送るのはユーザー CIBAでは、RPが認証を始める時点でユーザーを識別できる情報 (ヒント)をOPに送信する エンドユーザーの認証デバイス(Authentication Device)には OPからプッシュ通知などで認証するかが飛ぶ 紐づけに使う情報を送るのはRP 11
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OAuth 2.0 Device Flow~CIBAと違うところ この観点でまとめてる人あんまいない、やったーと思ってい たのですが…… @ritou さんのブログにまとまってました https://ritou.hatenablog.com/entry/2018/12/29/224 452 12
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
Agenda OAuth 2.0 Device FlowとCIBAを比べてみて OAuth 2.0 Device Flow CIBAと違うところ その他CIBAの仕様で気になったところ OPが認証したいユーザーを識別する方法 User Code Privacy Considerations 願望 13
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
OPが認証したいユーザーを識別する方法 RPがAuthentication Request時にユーザーを識別する ためのヒントを送る 3種類のヒント id_token_hint 過去に発行されたID Tokenをヒントにする login_hint_token トークンとしてヒント情報を送る(JWT形式?) login_hint 上のいずれでもないケース。たぶん文字列で送るはず どれか一つが必須、二つ以上あってはならない 14
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
User Code エンドユーザーとOPのみが知る秘密のコード 仕様上はOPTIONAL Authentication Requestを受けたOPが、ユーザーのAD に認証要求を送るか判断するのに使う なぜ必要? ヒントにメールアドレスを使っている場合などで、本人以外が認証 要求を送れる ⇒寝ているときなどに唐突にデバイス通知で起こされるかも この辺の問題は他のパスワードレスな認証の手段でもあるはず 本人以外が認証要求を送るのが難しければ不要、のはず 15
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
15. Privacy Considerations 認証時ヒントとしてユーザーを識別できる情報をRPに渡す 電話番号・メールアドレスといった、静的かつグローバルな 識別子を利用する場合、プライバシー的によろしくない。 対応策としては過去のID Tokenをヒントとして使ったり、 ADからCDに転送された使い捨てユーザーIDを使ったり、 Discovery Serviceを使うみたいなのがあるらしい。 ADからCDに転送された使い捨てユーザーID 認証アプリ側に一度だけ使えるユーザーIDを表示してそれを打ち 込んでもらう または、QRコードしておいてスキャンしてもらう ⇒プライバシー要素でなくても、QRコード使う形は便利そう…… 16
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
Agenda OAuth 2.0 Device FlowとCIBAを比べてみて OAuth 2.0 Device Flow CIBAと違うところ その他CIBAの仕様で気になったところ OPが認証したいユーザーを識別する方法 User Code Privacy Considerations 願望 17
https://lepidum.co.jp/ Copyright © 2004-2019 Lepidum Co. Ltd. All rights reserved.
願望~こんなところで使えたら楽しい 既存の認証がなかったソリューションへの認証追加 バーコードを使うようなポイントカード・図書館カードの拡張 ポイント利用時や、本の予約時など、より精密に認証が必要な時に利用する と幸せなのでは 同様にしてFelica IDm等をIDとして使って認証は別に追加など できるかも とはいえその手のケースでは手間を省くのが目的なので難しいかも 既存の物理トークンを用いた仕組みへの二要素追加 クレジットカードのオーソリ等で、オーソリ通らない場合に電話がか かってくるのではなく、通知が飛んで来て処理できる 一定額超えたら手動で承認 18