Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
やさしい認証認可
Search
みのるん
PRO
June 12, 2025
Technology
38
14k
やさしい認証認可
みのるん
PRO
June 12, 2025
Tweet
Share
More Decks by みのるん
See All by みのるん
Bedrock AgentCoreで解き放て! Strands Agentsで構築するマルチエージェントの実装Tips
minorun365
PRO
12
2.9k
まだ間に合う! StrandsとBedrock AgentCoreでAIエージェント構築に入門しよう
minorun365
PRO
12
1.9k
AWSの最新サービスでAIエージェント構築に楽しく入門しよう
minorun365
PRO
14
1.7k
Strands Agents & Bedrock AgentCoreを1分でおさらい
minorun365
PRO
10
1.1k
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
19
7.6k
本部長の代わりに提案書レビュー! KDDI営業が毎日使うAIエージェント「A-BOSS」開発秘話
minorun365
PRO
17
5.9k
やさしいClaude Code入門
minorun365
PRO
46
42k
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
2
850
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
minorun365
PRO
18
6.4k
Other Decks in Technology
See All in Technology
Codexとも仲良く。CodeRabbit CLIの紹介
moongift
PRO
1
260
Introduction to Bill One Development Engineer
sansan33
PRO
0
300
dbtとBigQuery MLで実現する リクルートの営業支援基盤のモデル開発と保守運用
recruitengineers
PRO
3
150
OpenTelemetry が拡げる Gemini CLI の可観測性
phaya72
2
920
HR Force における DWH の併用事例 ~ サービス基盤としての BigQuery / 分析基盤としての Snowflake ~@Cross Data Platforms Meetup #2「BigQueryと愉快な仲間たち」
ryo_suzuki
0
250
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
2.2k
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.2k
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
12
81k
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
310
OSSで50の競合と戦うためにやったこと
yamadashy
3
570
事業開発におけるDify活用事例
kentarofujii
4
1.1k
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3k
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
BBQ
matthewcrist
89
9.8k
Site-Speed That Sticks
csswizardry
13
910
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.2k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Building Better People: How to give real-time feedback that sticks.
wjessup
369
20k
Become a Pro
speakerdeck
PRO
29
5.6k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.7k
Speed Design
sergeychernyshev
32
1.2k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
990
Making Projects Easy
brettharned
120
6.4k
Visualization
eitanlees
149
16k
Transcript
やさしい認証認可 KDDIアジャイル開発センター株式会社 テックエバンジェリスト 御⽥ 稔(みのるん)
1 KDDI Agile Development Center Corporation $ whoami 御⽥ 稔(みのるん)
@minorun365 テックエバンジェリスト KDDIアジャイル開発センター株式会社(KAG) クラウドや⽣成AIで内製開発を⾏いながら 技術の楽しさを広める活動をしています AWS Community Hero AWS Samurai 2023, 2024 2024 Japan AWS Top Engineer 2024 Japan AWS All Certs Engineer Qiita 2024 Top Contributor
2 KDDI Agile Development Center Corporation ⽣成AIの登場で、 Webアプリ開発にチャレンジしたり MCPサーバーを作ってみた⼈も 増えていると思います。
3 KDDI Agile Development Center Corporation Webアプリを作るうえで とても重要な認証・認可のしくみ、 実はよく分からないまま やり過ごしていませんか…︖
4 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ Webアプリを リリースしたぞ︕ 同僚に使ってもらおう
5 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、何か 知らん⼈が使ってる…︖
6 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、こっそり 管理者操作でイタズラ してる同僚もいる…!?
7 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ うわあああぁぁ セキュリティ事故だ〜︕ もうおしまいだ〜〜
8 KDDI Agile Development Center Corporation こうならないために 認証・認可のプロセスがあります
9 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可
10 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること
11 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖
12 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖
13 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖ あなたがアプリで やってもいい 操作は︖
14 KDDI Agile Development Center Corporation 各プロセスを 追ってみましょう
15 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2
16 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2 Identity (⾝元) Identifier (識別⼦)
17 KDDI Agile Development Center Corporation 識別 前提 識別 認証
認可 Claudeアプリ使わせて︕ 私のユーザーIDは minorun365 です Claudeアプリ ユーザー 認証 システム 確かに存在するな。 このユーザーか…
18 KDDI Agile Development Center Corporation 認証 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな
19 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな クレデンシャル (認証情報)
20 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔
21 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔 なるべく、3カテゴリのうち 複数を組み合わせよう︕ 多要素認証(MFA)
22 KDDI Agile Development Center Corporation 認可 前提 識別 認証
認可 AIチャットを 使います︕ Claudeアプリ ユーザー 認証 システム あなたは 無料ユーザーだから ⼀部の新機能はNGだけど AIチャットならOK︕
23 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する
24 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する ⾃由度が ⾼い 管理が ラク
25 KDDI Agile Development Center Corporation 便利な認証認可プロトコル も知っておこう︕
26 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作
27 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作 認可がそれぞれ必要︕ GoogleパスワードをZoomに渡す 必要があり、危険だし不便
28 KDDI Agile Development Center Corporation 安⼼してください、「OAuth」がありますよ API Googleの認可情報を Zoomにも⾃動連携してくれる
29 KDDI Agile Development Center Corporation これ、便利じゃん︕ なんならZoomへのログインも Googleアカウントにまとめたい︕
30 KDDI Agile Development Center Corporation 認可プロトコルOAuthを、認証にも拡張した「OIDC」 API Googleの認証情報でZoomにもログインできるため、 ZoomのID・パスワード管理が不要に︕
31 KDDI Agile Development Center Corporation ブラウザで別サービス連携操作するやつは、どっちも「Open」と覚えよう︕ API • 認証︓OIDC(OpenID
Connect) • 認可︓OAuth(Open Authorization)
32 KDDI Agile Development Center Corporation 社内システムでも 「別のIDでログイン」できたら便利かも︖
33 KDDI Agile Development Center Corporation エンプラでは、認証プロトコル「SAML」で社内SSOを実現している Entra IDや Active
Directory 社内システム (勤怠管理など) 認証情報を連携してくれる ログインは1回 だけでOK︕
34 KDDI Agile Development Center Corporation 実はエンプラSSOも、SAMLからOIDCへ移⾏が進んでいます Entra IDや Active
Directory 社内システム (勤怠管理など) OIDCで認証連携する⽅が モダンでメリットが多い OIDCにも対応︕ 既存レガシーが 移⾏のネック
35 KDDI Agile Development Center Corporation SNSログインやSSOは嬉しいけど、 そもそもパスワードを覚えるのが⼤変︕
36 KDDI Agile Development Center Corporation パスワードレス認証(FIDOシリーズ) クレデンシャルを デバイスに保存 クレデンシャルを
クラウドで同期 WebAuthn パスキー (今の主流) 具体例 • Yahoo! Japan • Windows Hello • YubiKey 具体例 • Apple ID • Googleアカウント • Microsoftアカウント
37 KDDI Agile Development Center Corporation まとめ
38 KDDI Agile Development Center Corporation 認証認可を便利にするプロトコルまとめ 認証 認可 OAuth
API連携 OIDC SNSログイン & エンプラSSO SAML 昔のエンプラSSO WebAuthn/パスキー パスワードレス認証 拡張
39 KDDI Agile Development Center Corporation 参考⽂献 • Software Design
2020年11⽉号(技術評論社) • パスキーのすべて(技術評論社)
Be a Change Leader. アジャイルに⼒を与え 共に成⻑し続ける社会を創る