認証・認可の基本を学ぼう前編

認証・認可の基本を学ぼう①

目次 1 . 認証と認可って
何が違う？ 2 . 認証・認可の技術的歴史 3 . O p e n I D とは 4 . O A u t h とは 5 . 認可は認証に代わりになるのか？ 6 . そして生まれた O I D C 7 . まとめ

ややこしいにゃあ認証と認可は非常に
よく似た言葉です。これは日本語に限らず、英語もそっくり。いったいどう違うのでしょうか？認証と認可って何が違う？認証： A u t h e n t i c a t i o n 認可： A u t h o r i z a t i o n

認証よく見かける説明と
しては、下記の通りとなります。相手が「誰」であるかを確認するもの。認可使うことができる「権限」を付与するもの。

認証認可もし現実世界の何
かに例えるなら … … ？ちょっとそこの君、本当にうちの社員？社員証と免許証見せてくれる？本当に本人か確認するから社員証を渡しておくね。これを入り口でかざすと、好きな会議室を使えるよ。社長室には入れないけどね

つまり、認証＝対象外
の人を除外するための仕組み。認可＝対象の人の権限を管理するための仕組み。君、うちの社員じゃないね。このビルには入れさせねえよ？社長室は役員以上の人しか入れないよ。入りたければ偉くなりな

認証認可 W e b サービスに
置き換えると … … ？ちょっとそこの君、本当にうちのサービス利用者？ IDとPW入力してもらえる？本当に本人か確認するからこのトークン渡しておくね。このトークンをAPIに渡すと、住所の参照・更新ができるよ。管理者機能は使えないけどね

認証・認可の技術的歴史インターネット黎明
期では、それぞれが好き勝手に認証・認可を実装していました。が、そのままだと不便だよねということで認証・認可の方式（プロトコル）を統一しようという動きが生まれます。これにより、認証については S A M L ・ O p e n I D 、認可については O A u t h （オーオース）、というプロトコルが誕生しました。

＜認証・認可のざっくり年表＞ 1 9 9 0 年代後半：
B a s i c 認証などが主流 2 0 0 2 年　　　： S A M L 1 . 0 発表 2 0 0 5 年　　　： S A M L が 2 . 0 を発表、 O p e n I D 1 . 0 発表 2 0 0 7 年　　　： O A u t h 1 . 0 発表、 O p e n I D が 2 . 0 を発表 2 0 1 2 年　　　： O A u t h が 2 . 0 を発表この中で今回取り扱うのは、 O p e n I D 2 . 0 と O A u t h 2 . 0 （ + 後でもうひとつ）です。 S A M L については触れません、あしからず。

OpenIDとは O p e n I D は認証
のためのプロトコルです。 2 0 0 5 年に 1 . 0 、 2 0 0 8 年に 2 . 0 が作成されました。が、実は 2 0 1 4 年にもっと有効な仕様が作成されたため、現在は廃止状態にあります。なので、こういうものが過去あったんだ、という知識程度の理解で O K です。

O p e n I D には 3 つ
の概念があります。エンドユーザー　　　　　：認証対象 R P （リライングパーティ）：ユーザーを認証したいサービス O P （ O p e n I D プロバイダー）：認証を担当するサーバーまたは I d P （ I D プロバイダー）また、 O p e n I D では I D を U R L 形式で扱うという特徴があります。

ユーザーが I D （ U R
L 形式）を入力すると、 R P は I d P を検索・特定し、 I d P に認証を依頼します。 I d P は認証結果を署名付きで R P に返し、 R P はその署名を検証して本人確認を行います。

OAuthとは O A u t h は認可の
ためのプロトコルです。 2 0 0 7 年に 1 . 0 、 2 0 1 2 年に 2 . 0 が作成されました。この O A u t h 2 . 0 が現在主流となっている認可方式です。クラベスで使っている B a r s i t a や A u t h 0 も、認可についてはこの O A u t h 2 . 0 に準拠しています。なお、 O A u t h とは O p e n A u t h o r i z a t i o n の略だったりします。

O A u t h には 4 つの
概念があります。リソースオーナー　：リソースの所有者（つまりユーザー）クライアント　　　：リソースを利用したいアプリ認可サーバー　　　：リソースの利用を認可するサーバーリソースサーバー　：リソースを管理しているサーバーリソースとは、ユーザーが持つデータのことです。では、「リソースの利用」とは具体的に何でしょう？ここは実質的に A P I と解釈して良いです。ユーザーが持つデータの C R U D を行う A P I 、その利用を許可するかどうかが認可になります。

クライアントは認可サ
ーバーにアクセス権を要求します。認可サーバーはリソースオーナーの許可をもらい、権限を付与します。許可を得たクライアントは、リソースサーバーにアクセス権を提示し、リソースを操作します。

O A u t h ではリソー
スオーナーの同意を得ることで、クライアントにアクセス権を付与（認可）します。ここでひとつ疑問が生じます。リソースオーナーに同意を得るためには、結局リソースオーナーが本人かどうか（認証）確認しておく必要があるんじゃないかと。リソース使っていいかって？全然いいよ、やっちゃって！リソースオーナーを名乗る男誰！？認可サーバー

これは基本的にその通
りで、 O A u t h の中でも認証のステップが実際には存在します。具体的には、認可サーバーがアクセス権を付与するために、本人確認として認証を行います。アクセス権が欲しい？ならIDとPW入力してもらえる？本当に本人か確認するから

ここでアクセス権を付与して良いか確認するために、認証を行う必要があります。

ただし、 O A u t h は
あくまで認可のプロトコル。認証について細かい取り決めはされていません。リソースオーナーの許可をもらうための前提として、認証してからアクセス権を渡しましょう、という流れが規定されているのみとなります。 OAuthが定めたかったのは、あくまで認可の方法なんだよね。認証はそのためのおまけ認可プロトコルだけど、だいたいの説明で認証のステップが出てくるから混乱しやすいんだよね

また、必ずしも認可の
相手がユーザーとは限りません。バッチ処理のようにシステムがリソースを処理するべく、認可を求めるケースもあります。この場合は認証という手続きは必要ありません。秘密の暗号を知っているバッチ処理秘密の暗号を知っている人は皆友達な認可サーバー

O A u t h では認可の
ために認証しておきましょうという話は出てきますが、認証の正しさをどう検証し、認証状態をどう維持するかという話は一切出てきません（ここ重要）。 O A u t h はあくまでも認可プロトコル。この前提を忘れずに！

O A u t h ではリソー
スオーナーの同意を得ることで、クライアントにアクセス権を付与（認可）します。ここでひとつ疑問が生じます。リソースオーナーに同意を得るためには、結局リソースオーナーが本人かどうか確認している（認証済）。つまり、アクセス権を持っているならそれはリソースオーナーである、とも言えるのではないかと。認可は認証に代わりになるのか？

認証認可もし現実世界の何
かに例えるなら … … ？社員証を持っている＝社員と判断できるか？え、社員証持ってるの？じゃあ間違いなくうちの会社の社員だね社員証持ってるなら、入り口でかざすと、好きな会議室を使えるよ。社長室には入れないけどね

しかし実際にはこれは
非常に大きな問題があります。何故なら社員証は盗まれてしまう可能性があるのです。社員証持っているだけで本人に間違いないと決めつけてしまうと、実際には赤の他人が社員になりすまして会社に侵入してくる恐れがあります。しかも社員証が持つアクセス権の範囲で、自由に移動が出来てしまいます。（今回例で言えば会議室どこでも入りたい放題）

この問題は W e b 上で
も起きます。アクセス権を持っている＝本人だから認証済、という認証方式を採用しているアプリがあったとします。何らかの方法でアクセス権を盗まれてしまった場合、本人になりすましてアプリにログインすることが可能です。オレオレ、そうオレだよ。ほらアクセス権あるだろ？リソースオーナーを名乗る男本当に本人なのかにゃあ。でもアクセス権持ってるし、認証済でいいか…… クライアント

この問題を防ぐには、
きちんと本人かどうか確認（＝認証）が必要です。え、社員証持ってるの？じゃあ免許証も見せてもらえる？内容一致しているか確認するから

しかし残念ながら、一
部の著名なサービスにおいてもアクセス権を持っている＝本人とみなす、という認証方式が採用されていました。これを俗に O A u t h 認証と言います。なんで一人で認証も認可もやらなあかんねん。ワイは認可プロトコルなんやで…… OAuth認証のポーズ

あれ、そういえば O p
e n I D はどうした？と思うかもしれません。 O p e n I D は認証プロトコルなので、認証としてはこちらを使うのが筋なように思えますが、 I D が U R L 形式というのが扱い辛い仕様が複雑などの理由により、「 O p e n I D + O A u t h とするより、 O A u t h で認証もしちゃった方が楽じゃね？」という判断になることが多かったようです。

O A u t h の共同著者
からも、 O A u t h はあくまで認可プロトコルなので認証には使わないで欲しい、という発言がなされましたが、利便性の都合で O A u t h 認証は流行しました。また、前述の通り、 O A u t h は認可プロトコルであることから認証についての取り決めをしておらず、「じゃあどう認証すればいいのさ？」をきちんと定義出来ていなかったという問題もありました。

OAuth OpenID Connect OAuth OpenID Connect このよう
な背景から 2 0 1 4 年に誕生したのが O p e n I D C o n n e c t （ O I D C ）です。 O A u t h の仕組みをベースに策定された拡張仕様で、認証方法の取り決めが明確化されています。そして生まれたOIDC 別定義 ※OAuthに認証の仕様が追加された訳ではなく、 OAuthの拡張仕様（OAuthとは別枠扱い）という点に注意

つまり、 O I D C （拡
張仕様）と O A u t h （土台）を組み合わせることで実質的に認証認可のプロトコルになります。認証も認可も扱える。最強ですね！

名前からも分かる通り
、 O p e n I D を意識した設計となっており、認証に関わる用語が O p e n I D と一緒だったりします。 O p e n I D O I D C 役割認証対象エンドユーザーユーザーを認証したいサービスリライングパーティ（ R P ）認証を担当するサーバー O p e n I D プロバイダー（ O P ）または I D プロバイダー（ I d P ）

O A u t h （認可）と
は用語が一致しない点に注意が必要です。リソースオーナー　：リソースの所有者（つまりユーザー）クライアント　　　：リソースを利用したいアプリ認可サーバー　　　：リソースの利用を認可するサーバーリソースサーバー　：リソースを管理しているサーバーここが混乱を招きやすい点になりますので、認証（ O I D C ）の話なのか認可（ O A u t h ）の話なのか、意識しながら内容を確認すると良いでしょう。

まとめ認証は「誰」を確認
し、対象外の人を除外するための仕組み認可は対象の人の「権限」を管理するための仕組み O p e n I D は認証プロトコル、 O A u t h は認可プロトコル O p e n I D は仕様が複雑・扱いづらいため流行らなかった O A u t h は認可プロトコルなのに認証で使われることがあった（セキュリティリスクがある間違った使い方）上記状況を改善するため、 O A u t h の仕組みをベースに策定された認証プロトコルが O p e n I D C o n n e c t （ O I D C ）

長くなったのは前編・
後編に分割することにしました。次回は下記について説明できたらいいなと思っています。 O A u t h の認可フロー O I D C の認証フロー認証認可を狙った攻撃とその対策ご清聴ありがとうございました。 Thank you!!

認証・認可の基本を学ぼう前編

認証・認可の基本を学ぼう前編

More Decks by kaza

Other Decks in Programming

Featured

Transcript