Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenID Connect for Identity Assurance の概要と翻訳版のご...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
OpenID Foundation Japan
February 19, 2025
Technology
0
1.1k
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介 / 20250219-BizDay17-OIDC4IDA-Intro
2025/02/19 開催
OpenID BizDay#17 発表資料
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介
株式会社オプティム 菊池佑
OpenID Foundation Japan
February 19, 2025
Tweet
Share
More Decks by OpenID Foundation Japan
See All by OpenID Foundation Japan
20251219 OpenIDファウンデーション・ジャパン紹介 / OpenID Foundation Japan Intro
oidfj
0
800
オープンソースKeycloakのMCP認可サーバの仕様の対応状況 / 20251219 OpenID BizDay #18 LT Keycloak
oidfj
0
520
中間活動報告会 人材育成WG・技術サブWG / 20250808-oidfj-eduWG-techSWG
oidfj
0
1k
技術勉強会 〜 OAuth & OIDC 入門編 / 20250528 OAuth and OIDC
oidfj
5
2.2k
次世代KYC活動報告 / 20250219-BizDay17-KYC-nextgen
oidfj
0
790
OpenID BizDay#17 KYC WG活動報告(法人) / 20250219-BizDay17-KYC-legalidentity
oidfj
0
770
OpenID BizDay#17 みんなの銀行による身元確認結果の活用 / 20250219-BizDay17-KYC-minna-no-ginko
oidfj
0
520
デジタルアイデンティティ技術 認可・ID連携・認証 応用 / 20250114-OIDF-J-EduWG-TechSWG
oidfj
3
4.3k
デジタルアイデンティティ人材育成推進ワーキンググループ 翻訳サブワーキンググループ 活動報告 / 20250114-OIDF-J-EduWG-TranslationSWG
oidfj
0
1k
Other Decks in Technology
See All in Technology
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
tatsukoni
0
130
変化するコーディングエージェントとの現実的な付き合い方 〜Cursor安定択説と、ツールに依存しない「資産」〜
empitsu
4
1k
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.3k
分析画面のクリック操作をそのままコード化 ! エンジニアとビジネスユーザーが共存するAI-ReadyなBI基盤
ikumi
0
120
ブロックテーマでサイトをリニューアルした話 / 2026-01-31 Kansai WordPress Meetup
torounit
0
300
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
66k
2026年はチャンキングを極める!
shibuiwilliam
8
1.8k
みんなだいすきALB、NLBの 仕組みから最新機能まで総おさらい / Mastering ALB & NLB: Internal Mechanics and Latest Innovations
kaminashi
0
170
We Built for Predictability; The Workloads Didn’t Care
stahnma
0
110
エンジニアとマネジメントの距離/Engineering and Management
ikuodanaka
3
700
月間数億レコードのアクセスログ基盤を無停止・低コストでAWS移行せよ!アプリケーションエンジニアのSREチャレンジ💪
miyamu
0
600
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
800
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
810
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
0
130
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
130
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
54
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.8k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
580
Believing is Seeing
oripsolob
1
44
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
440
Testing 201, or: Great Expectations
jmmastey
46
8k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
240
Transcript
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect
for Identity Assurance の 概要と翻訳版のご紹介 2025/02/19 株式会社オプティム 菊池 佑
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect
for Identity Assurance
Copyright OpenID Foundation Japan - All Rights Reserved. 2024年10月に仕様承認
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect
for Identity Assurance (OIDC4IDA, IDA) OpenID BizDay #15 資料より
Copyright OpenID Foundation Japan - All Rights Reserved. eKYC-IDA specs
OpenID Connect for Identity Assurance (OIDC4IDA, IDA) OpenID Connect の仕組みを使い、本人確認済みの情報を連携するための仕様 OpenID Connect for Identity Assurance OpenID Identity Assurance Schema Definition OpenID Connect for Identity Assurance Claims Registration OpenID Attachments (*) OpenID Connect JOSE OAuth 2.0 OpenID Connect Authority claims extension (*) OpenID Connect Advanced Syntax for claims (*) (*) は発表時点での DRAFT 仕様 FAPI 1.0/2.0
Copyright OpenID Foundation Japan - All Rights Reserved. IDA の出来た背景
eIDAS 等により、電子的な本人確認の需要が急速に拡大 → ユーザーの本人確認が、どのように行われたかを伝達するインターフェースの標準化が必要 https://lists.openid.net/pipermail/openid-specs-ab/2019-February/007212.html http://openid.net/wordpress- content/uploads/2020/05/OpenID_Connect_4_Identity_Assurance_overview_20200515.pdf
Copyright OpenID Foundation Japan - All Rights Reserved. IDA が実現していること
現状の OpenID Connect は RP が OP を包括的に信頼する前提となっている IDA では何を持って確認/検証した属性かを示すことで、暗黙的な信頼に根拠を持たせられる https://openid.net/wg/ekyc-ida/
Copyright OpenID Foundation Japan - All Rights Reserved. IDA の使い方ざっくり理解
• RP → OP(認証要求) • claims パラメータ or scope 値 を利用して、必要な属性や本人確認に関する情報を要求 • OP → RP(認証応答) • UserInfo エンドポイント or ID Token の claim として返却 • 集約クレーム (aggregated claims)・分散クレーム (distributed claims) を使用することも可能 IDA 利用時は、OpenID Connect のリクエスト・レスポンスを以下のように利用する
Copyright OpenID Foundation Japan - All Rights Reserved. IDA のリクエスト/レスポンス例
GET /authorize? response_type=code&scope=openid &… &claims=%7B%22… { "userinfo": { "verified_claims": { "verification": { "trust_framework": { "value: "jp_aml" } }, "claims": { "family_name": null, "given_name": null, "birthdate": null } } } } { "sub": "248289761001", "verified_claims": { "verification": { "trust_framework": "jp_aml" }, "claims": { "family_name": "山田", "given_name": "太郎", "birthdate": "1970-01-01” } } }
Copyright OpenID Foundation Japan - All Rights Reserved. 仕様詳細は… https://openid.net/specs/openid-connect-4-identity-assurance-1_0-final.html
Copyright OpenID Foundation Japan - All Rights Reserved.
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect
for Identity Assurance の 翻訳版を公開しました (翻訳にご協力いただきました KYC WG 有志メンバーのみなさま、ありがとうございます!)
Copyright OpenID Foundation Japan - All Rights Reserved. IDA 仕様読み方(の前に)
• 仕様が 4 分割(5 分割)された • 背景 • IDA 仕様が読みにくいという声が上がったこと • VC 等の他の領域で IDA 仕様として検討していた要素が活用できること • 分割された仕様のうち、”OpenID Connect txn claim 1.0” については、紆余曲折あって消滅 • ISO/IEC 対応が行われた • OpenID Connect が ISO/IEC として出版されることに合わせて、IDA も予め ISO の文章構造に合わ せておくこととなった(#1363) • 要件レベルの程度感を表す副詞や、一部の用語が異なる • RFC の MUST 相当が ISO の SHALL 相当になっている他、翻訳のニュアンスを多少変更している Implementer’s Draft 4 (ID-4) から最終版の間で大きな差分が入っているため、ID-4 以前を読 んでいた方は注意が必要
Copyright OpenID Foundation Japan - All Rights Reserved. IDA 仕様の読み方
IDA は、以下の役割を持つ 4 つの仕様で構成 OpenID Connect for Identity Assurance IDA 仕様における OIDC の使い方を定義 OpenID Identity Assurance Schema Definition 検証済み属性とその検証 方法の表現方法を定義 OpenID Connect for Identity Assurance Claims Registration OIDC 標準 claim に加え て、自然人のアイデン ティティに関する claim を定義 OpenID Attachments (Draft) JSON ペイロード内でバ イナリデータを表現する 方法を定義
Copyright OpenID Foundation Japan - All Rights Reserved. IDA 各仕様の役割分担
GET /authorize? response_type=code &… &claims=%7B%22… { "userinfo": { "verified_claims": { "verification": { "trust_framework": { "value: "jp_aml" } }, "claims": { "family_name": null, "given_name": null, "birthdate": null } } } } { "sub": "248289761001", "verified_claims": { "verification": { "trust_framework": "jp_aml" }, "claims": { "family_name": "山田", "given_name": "太郎", "birthdate": "1970-01-01” } } } OpenID Identity Assurance Schema Definition OpenID Connect for Identity Assurance Claims Registration OpenID Connect Core OpenID Connect for Identity Assurance
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect
for Identity Assurance Claims Registration OpenID Connect Core で規定される Claim に加えて、以下の Claim を既定 Claim Description place_of_birth エンドユーザーの出生地 place_of_birth/country 国 place_of_birth/region (日本でいうところの)都道府県 place_of_birth/locality (日本でいうところの)市区町村 nationalities エンドユーザーの国籍 birth_family_name エンドユーザーが生まれたとき、あるいは少なくとも子供の時から持っている姓 birth_given_name エンドユーザーが生まれたとき, 、あるいは少なくとも子供の時から持っている名前 birth_middle_name エンドユーザーが生まれたとき、あるいは少なくとも子供の時から持っているミドルネーム salutation エンドユーザの敬称 title エンドユーザの肩書 msisdn 携帯電話番号 also_known_as 別名/仮名 (※ その他、”address” claim のサブフィールドに “country_code” が追加される)
Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Identity
Assurance Schema Definition ”verified_claims” 配下の要素 • “claims”: エンドユーザーに関する、本人確認済 claim • 利用する claim は OpenID Connect for Identity Assurance Claims Registration にて定義 • “verification”: 本人確認プロセスに関する情報 • 以下のような情報を含む • trust_framework: 本人確認プロセスを管理するトラストフレームワーク • assurance_level: 本人確認プロセスの assurance level • assurance_process: 本人確認プロセスのプロセス情報(サブ要素あり) • time: 本人確認が行われた日時 • verification_process: 行われた本人確認プロセスを一意に識別する値 • evidence: 本人確認のエビデンス(サブ要素あり) “verified_claims”と呼ばれるコンテナ要素によって、Claim とその検証に関連するメタデータ、 及び検証のエビデンスを表現
Copyright OpenID Foundation Japan - All Rights Reserved. 策定中のその他 IDA
仕様 • OpenID Attachments • JSON ペイロード内でバイナリデータを表現する方法を定義した仕様 • 本人確認に利用した ID ドキュメント(≒ 身分証明書)を、画像等のバイナリ形式で伝達する際に利用することを想定 • OpenID Connect Authority claims extension • 他の自然人または法人に対する、行為権限の表現(「代理」の表現)を定義した仕様 • 主に法人ユースケースにおいて、行為者である自然人が(法人に変わって行為する ) 権限を持っているか否かを表現する 、といった使い方を想定 • OpenID Connect Advanced Syntax for claims (ASC) • RP が claim の要件をより具体的に指定する方法を定義した仕様 • 現時点では Selective Abort/Omit と Transformed Claims という 2 つの機能が提案されている • 年齢そのものではなく”◯歳以上 (Yes/No)” を返す等 、データ最小化の原則を達成するための利用を想定 まだ Final となっていない、以下の仕様の策定が eKYC-IDA WG にて継続中
Copyright OpenID Foundation Japan - All Rights Reserved. https://www.openid.or.jp/news/2024/10/openid-connect-for-identity-assurance.html
Copyright OpenID Foundation Japan - All Rights Reserved.
SiteGround - Reliable hosting with speed, security, and support you can count on.
oidfj
tatsukoni
empitsu
sansan33
ikumi
torounit
shibuiwilliam
kaminashi
stahnma
.jpg){kind=avatar}
ikuodanaka
miyamu
rvirus0817
tammyeverts
chriscoyier
minecr
baasie
tanoku
techseoconnect
reverentgeek
oripsolob
jmmastey
skipperchong
