Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで

Avatar for 山根大生 山根大生
October 15, 2025
Technology
0
22

OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで

本スライドは以下のブログを元にしています!
https://qiita.com/yamatai12/items/defa24408720d65bbe35

参考
- https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe
- https://www.shoeisha.co.jp/book/detail/9784798159294
- https://qiita.com/masaha03/items/927abc3c6b93911fb703
- https://developers.google.com/identity/openid-connect/openid-connect?hl=ja
- https://cg-support.isr.co.jp/hc/ja/articles/4661444824473-%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E3%81%A8%E3%81%AF
- https://tech.iimon.co.jp/entry/2025/05/13/180000
- https://zenn.dev/bonvoyage/articles/5dda6a1effd022
- https://www.hitachi-solutions.co.jp/iam/saml.html
- https://www.shoeisha.co.jp/book/detail/9784798159294
- https://www.oreilly.co.jp/books/9784873116860/
- https://tech.iimon.co.jp/entry/2025/05/13/180000
- https://zenn.dev/takamin55/articles/538711ed6fd48d
- https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html

Avatar for 山根大生

山根大生

October 15, 2025
Tweet

More Decks by 山根大生

See All by 山根大生
Goで理解するJSONP(JSON with Padding)
Avatar for 山根大生 yamatai1212
0
38
OAuthは認証ではなく認可の仕組みである 🔑(完全に理解したLT)
Avatar for 山根大生 yamatai1212
1
84
OAuth登場前にあった複数サービス連携の課題🔑
Avatar for 山根大生 yamatai1212
0
26
Web標準と互換性の世界をざっくり見渡してみよう
Avatar for 山根大生 yamatai1212
0
77
Goで遊ぶHTTPミドルウェア ― X-HTTP-Method-Overrideを試してみた
Avatar for 山根大生 yamatai1212
1
130
ISの役割から具体的な業務内容を理解する_社外向け_.pdf
Avatar for 山根大生 yamatai1212
0
16
dependency-cruiserを紹介します/dependency-cruiser-description
Avatar for 山根大生 yamatai1212
1
1.7k
ESLintで命名規則のチェックをする(LT版)/eslint-naming-convention
Avatar for 山根大生 yamatai1212
1
500
1年足らずで記事を100個投稿してみた(LT版) / 100-articles-in-one-year
Avatar for 山根大生 yamatai1212
0
160

Other Decks in Technology

See All in Technology
ACA でMAGI システムを社内で展開しようとした話
Avatar for Yuji Masaoka | まっぴぃ mappie_kochi
1
320
「AI駆動PO」を考えてみる - 作る速さから価値のスループットへ:検査・適応で未来を開発 / AI-driven product owner. scrummat2025
Avatar for yosuke nagai yosuke_nagai
3
830
Geospatialの世界最前線を探る [2025年版]
Avatar for Yasunori Kirimoto dayjournal
1
220
「使い方教えて」「事例教えて」じゃもう遅い! Microsoft 365 Copilot を触り倒そう!
Avatar for Taichi Nakamura taichinakamura
0
360
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
2
610
社内お問い合わせBotの仕組みと学び
Avatar for Tomoyuki Nishimura nish01
1
580
OCI Network Firewall 概要
Avatar for oracle4engineer oracle4engineer
PRO
2
7.9k
"プロポーザルってなんか怖そう"という境界を超えてみた@TSUDOI by giftee Tech #1
Avatar for shilo shilo113
0
180
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
3
5.5k
防災デジタル分野での官民共創の取り組み (2)DIT/CCとD-CERTについて
Avatar for Masakatsu Sugii ditccsugii
0
250
社内報はAIにやらせよう / Let AI handle the company newsletter
Avatar for Jumpei Sakatsu saka2jp
8
1.4k
Wasmのエコシステムを使った ツール作成方法
Avatar for asuka askua
0
130

Featured

See All Featured
Visualization
Avatar for Eitan Lees eitanlees
149
16k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.6k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
185
22k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.8k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
900
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k

Transcript

  1. OAuthからOIDCへ ― 認可の仕組みが認証に拡張され るまで TECH PLAY主催LT大会 #2 yamatai12 1

  2. 自己紹介 yamatai12(Webエンジニア) SNS X(taiyama1212) Qiita(yamatai12) Zenn(yamatai12) 2

  3. OAuthって、Googleログインでよく見るけど 認証の仕組みでしょ? 3

  4. 実は“認可”なんです 4

  5. 今日は以下の順で説明していきます OAuthとは → 認可と認証の違い → OIDCへ 5

  6. OAuthとは ユーザー(リソース所有者)が、外部のアプリ(クライアント)に自分の代わりにな って保護されているユーザー情報(保護対象リソース)への限定的なアクセス権を与え る仕組みのこと。 6

  7. 7

  8. OAuthは認可の仕組み 8

  9. 認可とは 何ができるか(リソースを利用すること)を許可する仕組みのこと。 9

  10. OAuthは認証の仕組みではないのか? 10

  11. 認証とは アクセスしてきたユーザーが誰であるかを特定すること そのユーザーがそのアプリケーションに存在するか確認すること 11

  12. OAuthは認証ではなく認可の仕組み(1/2) 認可サーバーから発行されるアクセストークンでは、以下が確認できない その認可したユーザーが実際に認可サーバー上に存在していること(認証済みである こと) 12

  13. OAuthは認証ではなく認可の仕組み(2/2) アクセストークンはAPI(保護対象リソース)にアクセスする為のもの ↓ つまり、ユーザーが存在するのか、誰であるのかは分からない 13

  14. 例)Google Calendar APIへのアクセス権に関する同意画面 見た目は認証(ログイン)しているようだが、 実際には「APIへのアクセス権を与える」=認可を行っている 14

  15. OpenID Connect(OIDC) OAuthを基盤とした認証の仕組み 15

  16. OAuthとOpenID Connect(OIDC)両者の対応表(1/4) 説明 OAuth OpenID Connect (OIDC) 自分の情報を持つ本人 リソース所有者 エンドユーザー

    認可後にトークンを受け取るア プリ クライアント リライングパーティ (RP) トークン発行を行うサーバー 認可サーバー アイデンティティプロバイダ (IdP) ユーザー情報を持つAPI 保護対象リソー ス UserInfoエンドポイント 16

  17. OAuthとOpenID Connect(OIDC)両者の対応表(2/4) 説明 OAuth OpenID Connect (OIDC) 自分の情報を持つ本人 リソース所有者 エンドユーザー

    認可後にトークンを受け取るア プリ クライアント リライングパーティ (RP) トークン発行を行うサーバー 認可サーバー アイデンティティプロバイダ (IdP) ユーザー情報を持つAPI 保護対象リソー ス UserInfoエンドポイント 17

  18. OAuthとOpenID Connect(OIDC)両者の対応表(3/4) 説明 OAuth OpenID Connect (OIDC) 自分の情報を持つ本人 リソース所有者 エンドユーザー

    認可後にトークンを受け取るア プリ クライアント リライングパーティ (RP) トークン発行を行うサーバー 認可サーバー アイデンティティプロバイダ (IdP) ユーザー情報を持つAPI 保護対象リソー ス UserInfoエンドポイント 18

  19. OAuthとOpenID Connect(OIDC)両者の対応表(4/4) 説明 OAuth OpenID Connect (OIDC) 自分の情報を持つ本人 リソース所有者 エンドユーザー

    認可後にトークンを受け取るア プリ クライアント リライングパーティ (RP) トークン発行を行うサーバー 認可サーバー アイデンティティプロバイダ (IdP) ユーザー情報を持つAPI 保護対象リソー ス UserInfoエンドポイント 19

  20. 20

  21. IDトークンとは 認可サーバーで認可された後に取得できるトークン IDトークンはリライングパーティ(クライアント)の認証の為に使われる 21

  22. IDトークンの使われ方 リライングパーティはIDトークンを検証し、 信頼できるアイデンティティプロバイダから発行された場合に ユーザーの認証を完了とする。 22

  23. スコープとは リライングパーティ(外部アプリ)が認可サーバーにアクセス権を要求する際 に指定するもの 23

  24. GoogleCloudのスコープの設定 24

  25. スコープがopenid だけだとユーザーが誰であるか分 からない スコープに openid があると 「このユーザーが認可したユーザー本人である」ことは確認できる。 しかし「誰なのか」は分からない 25

  26. UserInfoエンドポイントとは ユーザー情報を持つAPIのこと 26

  27. email と profile のスコープを追加することで リライングパーティはUserInfoエンドポイントからユーザー情報を取得できる 27

  28. なぜOIDCは「認証」と言えるのか? 「本人確認ができる」+「誰なのかが分かる」を統合的に提供し ているから 要素 保証すること IDトークン ユーザーが本人であること UserInfoエンドポイント その人が誰か 28

  29. まとめ OAuthは「できること」を許可する仕組み (認可) OIDCは「誰であるか」を確かめる仕組み (認証) OIDCはOAuthを基盤とした認証の仕組み 29

  30. 参考(speakerdeckのdescriptionに記載) https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe https://www.shoeisha.co.jp/book/detail/9784798159294 https://qiita.com/masaha03/items/927abc3c6b93911fb703 https://developers.google.com/identity/openid-connect/openid-connect?hl=ja https://cg-support.isr.co.jp/hc/ja/articles/4661444824473-アイデンティティプロバ イダーとは https://tech.iimon.co.jp/entry/2025/05/13/180000 https://zenn.dev/bonvoyage/articles/5dda6a1effd022 https://www.hitachi-solutions.co.jp/iam/saml.html

    https://www.shoeisha.co.jp/book/detail/9784798159294 30

  31. https://www.oreilly.co.jp/books/9784873116860/ https://tech.iimon.co.jp/entry/2025/05/13/180000 https://zenn.dev/takamin55/articles/538711ed6fd48d https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html 31