Enviar pesquisa
Carregar
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
•
8 gostaram
•
2,451 visualizações
Tatsuo Kudo
Seguir
Prepared for FinTech協会 APIセキュリティ分科会
Leia menos
Leia mais
Internet
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 28
Baixar agora
Baixar para ler offline
Recomendados
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
Tatsuo Kudo
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
Tatsuo Kudo
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
Tatsuo Kudo
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
Recomendados
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
Tatsuo Kudo
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
Tatsuo Kudo
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to Action
Tatsuo Kudo
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
OpenID Connect, December 2011
OpenID Connect, December 2011
Tatsuo Kudo
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
Tatsuo Kudo
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
Tatsuya (達也) Katsuhara (勝原)
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
Tatsuya (達也) Katsuhara (勝原)
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
Tatsuo Kudo
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
Authlete overview
Authlete overview
mtisol
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
Tatsuo Kudo
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
Tatsuya (達也) Katsuhara (勝原)
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
Tatsuya (達也) Katsuhara (勝原)
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Tatsuo Kudo
Mais conteúdo relacionado
Mais procurados
OpenID Connect, December 2011
OpenID Connect, December 2011
Tatsuo Kudo
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
Tatsuo Kudo
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
Tatsuya (達也) Katsuhara (勝原)
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
Tatsuya (達也) Katsuhara (勝原)
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
Tatsuo Kudo
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
Authlete overview
Authlete overview
mtisol
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
Tatsuo Kudo
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
Tatsuya (達也) Katsuhara (勝原)
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
Tatsuya (達也) Katsuhara (勝原)
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
Mais procurados
(20)
OpenID Connect, December 2011
OpenID Connect, December 2011
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」始めてみませんか? サービス・プロバイダーの立場から考える「エンタープライズ・アイデンテ...
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Authlete overview
Authlete overview
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Standard-based Identity (1)
Standard-based Identity (1)
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Destaque
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Tatsuo Kudo
Nashorn in the future (English)
Nashorn in the future (English)
Logico
ITロードマッププレビュー2016
ITロードマッププレビュー2016
innovation info
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
Tatsuo Kudo
これからのNashorn
これからのNashorn
Logico
Nashorn in the future (English)
Nashorn in the future (English)
Logico
Nashorn in the future (Japanese)
Nashorn in the future (Japanese)
Logico
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22
Sami Maekawa
Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)
Logico
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
Nov Matake
SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM,INC
APIエコノミー (金融編)
APIエコノミー (金融編)
Rasmus Ekman
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
Takeshi Mikami
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
Nov Matake
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
ブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocol
Kindai University
Banking APIとAPIエコシステム
Banking APIとAPIエコシステム
API Meetup
Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)
Toshio Taki
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
yasuhiro yoshizawa
Destaque
(20)
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Nashorn in the future (English)
Nashorn in the future (English)
ITロードマッププレビュー2016
ITロードマッププレビュー2016
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
これからのNashorn
これからのNashorn
Nashorn in the future (English)
Nashorn in the future (English)
Nashorn in the future (Japanese)
Nashorn in the future (Japanese)
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22
Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)
APIエコノミー (金融編)
APIエコノミー (金融編)
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
ブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocol
Banking APIとAPIエコシステム
Banking APIとAPIエコシステム
Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
Semelhante a 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向
Yuichi Nakamura
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
Osaka University
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
Toshihiko Yamakami
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
Nat Sakimura
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
指紋認証と「FIDO」について
指紋認証と「FIDO」について
Device WebAPI Consortium
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事
Koichi Sasaki
Api meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
Nihei Tsukasa
AIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービス
API Meetup
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
Keycloak入門
Keycloak入門
Hiroyuki Wada
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
初めてのAuth0ハンズオン
初めてのAuth0ハンズオン
Hisashi Yamaguchi
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例
IO Architect Inc.
Smfl20201001
Smfl20201001
三井住友ファイナンス&リース デジタル開発室
Low Code Development Platform.
Low Code Development Platform.
Contineo World
Semelhante a 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
(20)
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
Keycloakの最近のトピック
Keycloakの最近のトピック
指紋認証と「FIDO」について
指紋認証と「FIDO」について
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事
Api meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
AIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービス
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
Keycloak入門
Keycloak入門
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
初めてのAuth0ハンズオン
初めてのAuth0ハンズオン
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例
Smfl20201001
Smfl20201001
Low Code Development Platform.
Low Code Development Platform.
Mais de Tatsuo Kudo
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Tatsuo Kudo
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
Tatsuo Kudo
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Tatsuo Kudo
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
Tatsuo Kudo
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
Tatsuo Kudo
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
Tatsuo Kudo
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Tatsuo Kudo
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
オープン API と Authlete のソリューション
オープン API と Authlete のソリューション
Tatsuo Kudo
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
Tatsuo Kudo
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
Tatsuo Kudo
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
Tatsuo Kudo
Trends in Banking APIs
Trends in Banking APIs
Tatsuo Kudo
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
Tatsuo Kudo
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
Tatsuo Kudo
Mais de Tatsuo Kudo
(19)
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
オープン API と Authlete のソリューション
オープン API と Authlete のソリューション
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
Trends in Banking APIs
Trends in Banking APIs
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
1.
FinTech協会 APIセキュリティ分科会 利用者本位のAPI提供に向けたアイデンティティ(ID)標準仕様の動向 OAuth /
OpenID Connect / FIDO 2016年9月28日 NRIセキュアテクノロジーズ株式会社 コンサルティング事業本部 サイバーコンサルティング部 工藤達雄 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
2.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 http://www.linkedin.com/in/tatsuokudo/ @tkudos サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とする コンサルティングに従事 自己紹介
3.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 2 「認証技術」と「デジタルアイデンティティ技術」
4.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 3 「認証技術」と「デジタルアイデンティティ技術」 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証
5.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 4 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ連携 エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
6.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 5 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
7.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 6 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
8.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 7 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
9.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 8 B2Cサービスにおけるアイデンティティ技術仕様として広まりつつある “FIDO” “OAuth” “OpenID Connect” 各種API エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) “共通ID基盤” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 APIプロバイダーのIDでログイン APIプロバイダー
10.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 9 OAuth
11.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 10 OAuth登場の背景 ダイレクトチャネルはID/パスワードでログイン コンテンツ/ 機能 Webサイト モバイルAPI サービス事業者 ID/パスワード エンドユーザー ID/パスワード APP
12.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 11 OAuth登場の背景 サードパーティにAPIを公開する場合はどうするか コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ Webサイト サードパーティ モバイルAPI サードパーティ APP APP APP ID/パスワード…!?
13.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 12 OAuth登場の背景 ユーザーはID/パスワードをサードパーティに 預けることになる → 認証リスク サードパーティからの情報漏えいやサードパーティ自身 による不正利用の懸念が残る ユーザーはサードパーティに全権委任する ことになる → 認可リスク サードパーティは本来サービスに不要な(過剰な) APIアクセスを行うこともできてしまう 使い勝手が悪い サードパーティのアクセス有効期間を制御できない サードパーティにユーザーのID/パスワードを渡す? “When customers give out their bank passcode, they may not realize that if a rogue employee at an aggregator uses this passcode to steal money from the customer’s account, the customer, not the bank, is responsible for any loss.” --- Jamie Dimon's Letter to Shareholders, Annual Report 2015 | JPMorgan Chase & Co. http://www.jpmorganchase.com/corporate/annual -report/2015/
14.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 13 OAuth登場の背景 ID/パスワードではなく「トークン」を渡す コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ APIクライアント APP トークン 管理 ID/パスワード + 権限委譲 トークン 発行 トークン
15.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 14 「アクセストークン」によるAPIアクセス認可のフレームワーク APIアクセス認可: OAuth リソースオーナー リソース サーバー APP 認可 サーバー クライアント HTML5 WEBSITE 0 0. リソースへのアクセスを リクエスト 1 1. 認可 リクエスト 2 2. ユーザー認証 & クライアントへの権限委譲の確認 3 3. OK! 4 4. アクセストークン 提供 5 5. アクセストークンを 使ってAPIアクセス
16.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 15 英国 “The Open Banking Standard” が、今後策定予定の “The Open Banking API” では OAuth 2.0 (と OpenID Connect) を採用するよう 推奨している “A core principle of this report is informed consent” 誰を認可するか、なにを認可 するか、いつまで認可を有効 にするかが重要 金融サービス分野におけるアイデンティティ技術の活用 Source: The Open Banking Standard https://www.scribd.com/doc/298569302/The-Open-Banking-Standard OAuth 2.0 in conjunction with OpenID Connect are recommended as authentication protocols of choice
17.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 16 国内外の金融機関が、すでにOAuth 2.0を活用した「金融API」の提供を 始めている 金融サービス分野におけるアイデンティティ技術の活用 (cont.) Source: Fidor API Reference http://docs.fidor.de/#understand-oauth, Documentation – APImarket https://www.bbvaapimarket.com/web/api_market/bbva/bbva-connect/documentation
18.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 17 APIへのOAuth適用のポイント 関連仕様やセキュリティのプラクティスを活用し、認可フロー、トークン管理、スコープ体系などをAPI/サービスに 最適化する「プロファイリング」が必要 OAuth (OAuth 2.0)は「プロトコル」ではなく「フレームワーク」である +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token) 認可フローにおけるセキュリティの懸念の例 (https://tools.ietf.org/html/rfc6749 の図に加筆) (A) “Web View” からの認可リクエスト(モバイルの 場合)、不正なredirect_uri、… (C) ユーザーエージェ ントすり替わり、 CSRF、リファラーか らの認可コード漏洩、 オープンリダイレクタ の悪用、他社認可サー バーの不備・不正によ る “Mix-Up Attack”、 … (D) クライアントすり替わり、認可 コード再利用・すり替え、… Slackのスコープ定義の例 Source: https://api.slack.com/docs/oauth-scopes Microsoft Azure ADのトークン有効期限の例 Source: https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-v2-tokens/
19.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 18 OpenID Connect
20.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 19 API サーバー OAuthはID連携にも使える? OAuth仕様が標準化する対象は「アクセストークン」のやりとりであり、「認証依頼」と「認証結果提供」のやりとり、 そして「認証結果」(ID情報)の定義は書かれていない エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
21.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 20 API サーバー OAuthはID連携にも使える? OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、認証結果や属性情報の連携、 セッション管理などのAPIを標準化 アイデンティティ連携: OpenID Connect (OIDC) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス許可要求 + 認証依頼 APIアクセス許可 + 認証結果提供 APIアクセス ユーザー認証 認証結果(IDトークン) • ID情報提供側におけるユーザ 認証イベントの情報 • エンドユーザーを識別する値 (識別子) • IDトークンの有効期限 • ユーザ認証を実施した日時 • 認証コンテクスト・クラス・ リファレンス • 認証手段リファレンス • その他(ユーザー属性など) • 署名付きJWT(Signed JSON Web Token)として表現
22.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 21 主要ID/API連携仕様がすべてOpenID Connectに収斂 OpenID Connect(cont.) Source: http://civics.com/OpenID-connect-webinar/ セキュリティ・ アサーション JSON形式の 「IDトークン」 サービス発見 シンプル、APIとの親和性、 モバイル対応 動的なクライント 登録
23.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 22 FIDO
24.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 23 「ローカル認証」と「オンライン認証」を分離 ユーザー検証はローカルに行い、ユーザー検証結果のみがオンラインに流れる FIDO認定試験を定期的に開催し、製品・サービスの相互運用性を強化 ユーザー認証: FIDO Source: “FIDO技術のさらなる広がり” https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf
25.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 24 FIDO認定製品が急速に増加 2016年6月に約200 → 同年9月に250超 FIDO (Cont.) Source: “FIDO Certification” http://www.slideshare.net/FIDOAlliance/fido-certification
26.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 25 まとめ
27.
Copyright © NRI
SecureTechnologies, Ltd. All rights reserved. 26 アイデンティティ技術を活用した「利用者本位のAPI提供」に向けて API サーバー エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 FIDO: 利用者が使いやすく 確実な認証手段を 活用できるようになる OAuth: 利用者が自身 の情報の第三者利用を コントロールしやすく なる OpenID Connect: 利用者が自身のIDを 他事業者の サービスでも 使えるようになる
28.
Tatsuo Kudo tkudo@nri-secure.co.jp https://www.linkedin.com/in/tatsuokudo @tkudos
Baixar agora