Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
やさしい認証認可
Search
みのるん
PRO
June 12, 2025
Technology
31
13k
やさしい認証認可
みのるん
PRO
June 12, 2025
Tweet
Share
More Decks by みのるん
See All by みのるん
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
17
6.2k
本部長の代わりに提案書レビュー! KDDI営業が毎日使うAIエージェント「A-BOSS」開発秘話
minorun365
PRO
15
3.1k
やさしいClaude Code入門
minorun365
PRO
44
38k
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
minorun365
PRO
2
760
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
minorun365
PRO
16
6.1k
やさしいMCP入門
minorun365
PRO
197
160k
マネコン操作いらず! TerraformでAWSインフラのコーディングに入門しよう
minorun365
PRO
7
2.4k
Qiita Organizationを導入したら、アウトプッターが爆増して会社がちょっと有名になった件
minorun365
PRO
2
870
AI自体のOps 〜LLMアプリの運用、AWSサービスとOSSの使い分け〜
minorun365
PRO
12
2.2k
Other Decks in Technology
See All in Technology
Talk to Someone At Delta Airlines™️ USA Contact Numbers
travelcarecenter
0
160
伴走から自律へ: 形式知へと導くSREイネーブリングによる プロダクトチームの信頼性オーナーシップ向上 / SRE NEXT 2025
visional_engineering_and_design
3
450
Rethinking Incident Response: Context-Aware AI in Practice
rrreeeyyy
1
920
60以上のプロダクトを持つ組織における開発者体験向上への取り組み - チームAPIとBackstageで構築する組織の可視化基盤 - / sre next 2025 Efforts to Improve Developer Experience in an Organization with Over 60 Products
vtryo
3
1.9k
ClaudeCode_vs_GeminiCLI_Terraformで比較してみた
tkikuchi
1
620
Introduction to Bill One Development Engineer
sansan33
PRO
0
260
組織内、組織間の資産保護に必要なアイデンティティ基盤と関連技術の最新動向
fujie
0
250
マルチプロダクト環境におけるSREの役割 / SRE NEXT 2025 lunch session
sugamasao
1
720
データ戦略部門 紹介資料
sansan33
PRO
1
3.3k
【あのMCPって、どんな処理してるの?】 AWS CDKでの開発で便利なAWS MCP Servers特集
yoshimi0227
6
940
20250708オープンエンドな探索と知識発見
sakana_ai
PRO
4
1k
“日本一のM&A企業”を支える、少人数SREの効率化戦略 / SRE NEXT 2025
genda
1
260
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Designing for Performance
lara
610
69k
Adopting Sorbet at Scale
ufuk
77
9.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
990
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
Music & Morning Musume
bryan
46
6.7k
Faster Mobile Websites
deanohume
308
31k
Optimizing for Happiness
mojombo
379
70k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.9k
Transcript
やさしい認証認可 KDDIアジャイル開発センター株式会社 テックエバンジェリスト 御⽥ 稔(みのるん)
1 KDDI Agile Development Center Corporation $ whoami 御⽥ 稔(みのるん)
@minorun365 テックエバンジェリスト KDDIアジャイル開発センター株式会社(KAG) クラウドや⽣成AIで内製開発を⾏いながら 技術の楽しさを広める活動をしています AWS Community Hero AWS Samurai 2023, 2024 2024 Japan AWS Top Engineer 2024 Japan AWS All Certs Engineer Qiita 2024 Top Contributor
2 KDDI Agile Development Center Corporation ⽣成AIの登場で、 Webアプリ開発にチャレンジしたり MCPサーバーを作ってみた⼈も 増えていると思います。
3 KDDI Agile Development Center Corporation Webアプリを作るうえで とても重要な認証・認可のしくみ、 実はよく分からないまま やり過ごしていませんか…︖
4 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ Webアプリを リリースしたぞ︕ 同僚に使ってもらおう
5 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、何か 知らん⼈が使ってる…︖
6 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ あれ、こっそり 管理者操作でイタズラ してる同僚もいる…!?
7 KDDI Agile Development Center Corporation もし、認証・認可がなかったら…︖ うわあああぁぁ セキュリティ事故だ〜︕ もうおしまいだ〜〜
8 KDDI Agile Development Center Corporation こうならないために 認証・認可のプロセスがあります
9 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可
10 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること
11 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖
12 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖
13 KDDI Agile Development Center Corporation 認証・認可のプロセス 前提 識別 認証
認可 デジタルの世界に 「あなた」が いること アプリを使う 「あなた」は 誰︖ 「あなた」は 間違いなく 本物︖ あなたがアプリで やってもいい 操作は︖
14 KDDI Agile Development Center Corporation 各プロセスを 追ってみましょう
15 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2
16 KDDI Agile Development Center Corporation 前提︓デジタルIDの存在 前提 識別 認証
認可 エンティティ ⼈間 コンピューター 属性 • ⽒名 • ⽣年⽉⽇ • WebサービスAのID • WebサービスBのID • パスワード • etc. • 型番 • シリアル番号 • ホスト名 • etc. デジタルID の例1 デジタルID の例2 Identity (⾝元) Identifier (識別⼦)
17 KDDI Agile Development Center Corporation 識別 前提 識別 認証
認可 Claudeアプリ使わせて︕ 私のユーザーIDは minorun365 です Claudeアプリ ユーザー 認証 システム 確かに存在するな。 このユーザーか…
18 KDDI Agile Development Center Corporation 認証 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな
19 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 パスワードは ******* です︕ Claudeアプリ ユーザー 認証 システム 照合成功︕ こいつは確かに minorun365 本⼈だな クレデンシャル (認証情報)
20 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔
21 KDDI Agile Development Center Corporation 認証︓クレデンシャルを使う 前提 識別 認証
認可 知識 クレデンシャルの例 所有物 ⽣体 • パスワード • 秘密の質問 • ワンタイムパスワード • 物理トークン • 指紋 • 顔 なるべく、3カテゴリのうち 複数を組み合わせよう︕ 多要素認証(MFA)
22 KDDI Agile Development Center Corporation 認可 前提 識別 認証
認可 AIチャットを 使います︕ Claudeアプリ ユーザー 認証 システム あなたは 無料ユーザーだから ⼀部の新機能はNGだけど AIチャットならOK︕
23 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する
24 KDDI Agile Development Center Corporation 認可︓アクセス制御の⽅式 前提 識別 認証
認可 RBAC (ロールベース) ABAC (属性ベース) PBAC (ポリシーベース) 社員 管理者 • 社員 • 営業部 • 男性 • 管理職 • システム部 • ⼥性 (ポリシー例) • 管理職かつ • システム部で • 平⽇⽇勤帯であれば • xxx操作を許可する ⾃由度が ⾼い 管理が ラク
25 KDDI Agile Development Center Corporation 便利な認証認可プロトコル も知っておこう︕
26 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作
27 KDDI Agile Development Center Corporation 例えば、複数サービスを⼀緒に使いたいとき… API Web会議を作成したら、 カレンダーにも登録して︕
ユーザーの代理で API経由で操作 認可がそれぞれ必要︕ GoogleパスワードをZoomに渡す 必要があり、危険だし不便
28 KDDI Agile Development Center Corporation 安⼼してください、「OAuth」がありますよ API Googleの認可情報を Zoomにも⾃動連携してくれる
29 KDDI Agile Development Center Corporation これ、便利じゃん︕ なんならZoomへのログインも Googleアカウントにまとめたい︕
30 KDDI Agile Development Center Corporation 認可プロトコルOAuthを、認証にも拡張した「OIDC」 API Googleの認証情報でZoomにもログインできるため、 ZoomのID・パスワード管理が不要に︕
31 KDDI Agile Development Center Corporation ブラウザで別サービス連携操作するやつは、どっちも「Open」と覚えよう︕ API • 認証︓OIDC(OpenID
Connect) • 認可︓OAuth(Open Authorization)
32 KDDI Agile Development Center Corporation 社内システムでも 「別のIDでログイン」できたら便利かも︖
33 KDDI Agile Development Center Corporation エンプラでは、認証プロトコル「SAML」で社内SSOを実現している Entra IDや Active
Directory 社内システム (勤怠管理など) 認証情報を連携してくれる ログインは1回 だけでOK︕
34 KDDI Agile Development Center Corporation 実はエンプラSSOも、SAMLからOIDCへ移⾏が進んでいます Entra IDや Active
Directory 社内システム (勤怠管理など) OIDCで認証連携する⽅が モダンでメリットが多い OIDCにも対応︕ 既存レガシーが 移⾏のネック
35 KDDI Agile Development Center Corporation SNSログインやSSOは嬉しいけど、 そもそもパスワードを覚えるのが⼤変︕
36 KDDI Agile Development Center Corporation パスワードレス認証(FIDOシリーズ) クレデンシャルを デバイスに保存 クレデンシャルを
クラウドで同期 WebAuthn パスキー (今の主流) 具体例 • Yahoo! Japan • Windows Hello • YubiKey 具体例 • Apple ID • Googleアカウント • Microsoftアカウント
37 KDDI Agile Development Center Corporation まとめ
38 KDDI Agile Development Center Corporation 認証認可を便利にするプロトコルまとめ 認証 認可 OAuth
API連携 OIDC SNSログイン & エンプラSSO SAML 昔のエンプラSSO WebAuthn/パスキー パスワードレス認証 拡張
39 KDDI Agile Development Center Corporation 参考⽂献 • Software Design
2020年11⽉号(技術評論社) • パスキーのすべて(技術評論社)
Be a Change Leader. アジャイルに⼒を与え 共に成⻑し続ける社会を創る
minorun365
travelcarecenter
visional_engineering_and_design
rrreeeyyy
vtryo
tkikuchi
sansan33
fujie
sugamasao
yoshimi0227
%20(1).jpg){kind=avatar}
sakana_ai
genda
samlambert
lara
ufuk
sergeychernyshev
eileencodes
keavy
caitiem20
bryan
deanohume
mojombo
chriscoyier
zakiyama
