Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
やさしい認証認可
Search
みのるん
PRO
June 12, 2025
Technology
31
13k
やさしい認証認可
みのるん
PRO
June 12, 2025
Tweet
Share
More Decks by みのるん
See All by みのるん
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
15
5.5k
本部長の代わりに提案書レビュー! KDDI営業が毎日使うAIエージェント「A-BOSS」開発秘話
minorun365
PRO
14
2.7k
やさしいClaude Code入門
minorun365
PRO
44
37k
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
2
730
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
minorun365
PRO
16
6k
やさしいMCP入門
minorun365
PRO
191
150k
マネコン操作いらず! TerraformでAWSインフラのコーディングに入門しよう
minorun365
PRO
7
2.4k
Qiita Organizationを導入したら、アウトプッターが爆増して会社がちょっと有名になった件
minorun365
PRO
2
850
AI自体のOps 〜LLMアプリの運用、AWSサービスとOSSの使い分け〜
minorun365
PRO
11
2.2k
Other Decks in Technology
See All in Technology
A2Aのクライアントを自作する
rynsuke
1
220
OpenHands🤲にContributeしてみた
kotauchisunsun
1
480
ひとり情シスなCTOがLLMと始めるオペレーション最適化 / CTO's LLM-Powered Ops
yamitzky
0
450
生成AI時代の開発組織・技術・プロセス 〜 ログラスの挑戦と考察 〜
itohiro73
1
340
KubeCon + CloudNativeCon Japan 2025 Recap
ren510dev
1
260
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
3
1.3k
Github Copilot エージェントモードで試してみた
ochtum
0
110
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
26k
AI導入の理想と現実~コストと浸透〜
oprstchn
0
120
ドメイン特化なCLIPモデルとデータセットの紹介
tattaka
1
230
本が全く読めなかった過去の自分へ
genshun9
0
640
GitHub Copilot の概要
tomokusaba
1
140
Featured
See All Featured
Unsuck your backbone
ammeep
671
58k
A Modern Web Designer's Workflow
chriscoyier
694
190k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
46
9.6k
Designing for Performance
lara
609
69k
A Tale of Four Properties
chriscoyier
160
23k
Gamification - CAS2011
davidbonilla
81
5.3k
The Language of Interfaces
destraynor
158
25k
Raft: Consensus for Rubyists
vanstee
140
7k
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.6k
4 Signs Your Business is Dying
shpigford
184
22k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Transcript
やさしい認証認可 KDDIアジャイル開発センター株式会社 テックエバンジェリスト 御⽥ 稔(みのるん)
1 KDDI Agile Development Center Corporation $ whoami 御⽥ 稔(みのるん)
@minorun365 テックエバンジェリスト KDDIアジャイル開発センター株式会社(KAG) クラウドや⽣成AIで内製開発を⾏いながら 技術の楽しさを広める活動をしています AWS Community Hero AWS Samurai 2023, 2024 2024 Japan AWS Top Engineer 2024 Japan AWS All Certs Engineer Qiita 2024 Top Contributor
2 KDDI Agile Development Center Corporation ⽣成AIの登場で、 Webアプリ開発にチャレンジしたり MCPサーバーを作ってみた⼈も 増えていると思います。
3 KDDI Agile Development Center Corporation Webアプリを作るうえで とても重要な認証・認可のしくみ、 実はよく分からないまま やり過ごしていませんか…︖
4 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ Webアプリを リリースしたぞ︕ 同僚に使ってもらおう
5 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、何か 知らん⼈が使ってる…︖
6 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、こっそり 管理者操作でイタズラ してる同僚もいる…!?
7 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ うわあああぁぁ セキュリティ事故だ〜︕ もうおしまいだ〜〜
8 KDDI Agile Development Center Corporation こうならないために 認証・認可のプロセスがあります
9 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可
10 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること
11 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖
12 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖
13 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖ あなたがアプリで やってもいい 操作は︖
14 KDDI Agile Development Center Corporation 各プロセスを 追ってみましょう
15 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2
16 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2 Identity (⾝元) Identifier (識別⼦)
17 KDDI Agile Development Center Corporation 識別 前提 識別 認証
認可 Claudeアプリ使わせて︕ 私のユーザーIDは minorun365 です Claudeアプリ ユーザー 認証 システム 確かに存在するな。 このユーザーか…
18 KDDI Agile Development Center Corporation 認証 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな
19 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな クレデンシャル (認証情報)
20 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔
21 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔 なるべく、3カテゴリのうち 複数を組み合わせよう︕ 多要素認証(MFA)
22 KDDI Agile Development Center Corporation 認可 前提 識別 認証
認可 AIチャットを 使います︕ Claudeアプリ ユーザー 認証 システム あなたは 無料ユーザーだから ⼀部の新機能はNGだけど AIチャットならOK︕
23 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する
24 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する ⾃由度が ⾼い 管理が ラク
25 KDDI Agile Development Center Corporation 便利な認証認可プロトコル も知っておこう︕
26 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作
27 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作 認可がそれぞれ必要︕ GoogleパスワードをZoomに渡す 必要があり、危険だし不便
28 KDDI Agile Development Center Corporation 安⼼してください、「OAuth」がありますよ API Googleの認可情報を Zoomにも⾃動連携してくれる
29 KDDI Agile Development Center Corporation これ、便利じゃん︕ なんならZoomへのログインも Googleアカウントにまとめたい︕
30 KDDI Agile Development Center Corporation 認可プロトコルOAuthを、認証にも拡張した「OIDC」 API Googleの認証情報でZoomにもログインできるため、 ZoomのID・パスワード管理が不要に︕
31 KDDI Agile Development Center Corporation ブラウザで別サービス連携操作するやつは、どっちも「Open」と覚えよう︕ API • 認証︓OIDC(OpenID
Connect) • 認可︓OAuth(Open Authorization)
32 KDDI Agile Development Center Corporation 社内システムでも 「別のIDでログイン」できたら便利かも︖
33 KDDI Agile Development Center Corporation エンプラでは、認証プロトコル「SAML」で社内SSOを実現している Entra IDや Active
Directory 社内システム (勤怠管理など) 認証情報を連携してくれる ログインは1回 だけでOK︕
34 KDDI Agile Development Center Corporation 実はエンプラSSOも、SAMLからOIDCへ移⾏が進んでいます Entra IDや Active
Directory 社内システム (勤怠管理など) OIDCで認証連携する⽅が モダンでメリットが多い OIDCにも対応︕ 既存レガシーが 移⾏のネック
35 KDDI Agile Development Center Corporation SNSログインやSSOは嬉しいけど、 そもそもパスワードを覚えるのが⼤変︕
36 KDDI Agile Development Center Corporation パスワードレス認証(FIDOシリーズ) クレデンシャルを デバイスに保存 クレデンシャルを
クラウドで同期 WebAuthn パスキー (今の主流) 具体例 • Yahoo! Japan • Windows Hello • YubiKey 具体例 • Apple ID • Googleアカウント • Microsoftアカウント
37 KDDI Agile Development Center Corporation まとめ
38 KDDI Agile Development Center Corporation 認証認可を便利にするプロトコルまとめ 認証 認可 OAuth
API連携 OIDC SNSログイン & エンプラSSO SAML 昔のエンプラSSO WebAuthn/パスキー パスワードレス認証 拡張
39 KDDI Agile Development Center Corporation 参考⽂献 • Software Design
2020年11⽉号(技術評論社) • パスキーのすべて(技術評論社)
Be a Change Leader. アジャイルに⼒を与え 共に成⻑し続ける社会を創る