SlideShare uma empresa Scribd logo

利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

Tatsuo Kudo
Tatsuo Kudo

Prepared for FinTech協会 APIセキュリティ分科会

Internet
1 de 28
Baixar para ler offline
FinTech協会 APIセキュリティ分科会 利用者本位のAPI提供に向けたアイデンティティ(ID)標準仕様の動向 OAuth / OpenID Connect / FIDO 2016年9月28日 NRIセキュアテクノロジーズ株式会社 コンサルティング事業本部 サイバーコンサルティング部 工藤達雄 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 http://www.linkedin.com/in/tatsuokudo/ @tkudos サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とする コンサルティングに従事 自己紹介
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 2 「認証技術」と「デジタルアイデンティティ技術」
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 「認証技術」と「デジタルアイデンティティ技術」 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ連携 エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 B2Cサービスにおけるアイデンティティ技術仕様として広まりつつある “FIDO” “OAuth” “OpenID Connect” 各種API エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) “共通ID基盤” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 APIプロバイダーのIDでログイン APIプロバイダー
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 OAuth
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 OAuth登場の背景 ダイレクトチャネルはID/パスワードでログイン コンテンツ/ 機能 Webサイト モバイルAPI サービス事業者 ID/パスワード エンドユーザー ID/パスワード APP
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 OAuth登場の背景 サードパーティにAPIを公開する場合はどうするか コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ Webサイト サードパーティ モバイルAPI サードパーティ APP APP APP ID/パスワード…!?
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 12 OAuth登場の背景 ユーザーはID/パスワードをサードパーティに 預けることになる → 認証リスク サードパーティからの情報漏えいやサードパーティ自身 による不正利用の懸念が残る ユーザーはサードパーティに全権委任する ことになる → 認可リスク サードパーティは本来サービスに不要な(過剰な) APIアクセスを行うこともできてしまう 使い勝手が悪い サードパーティのアクセス有効期間を制御できない サードパーティにユーザーのID/パスワードを渡す? “When customers give out their bank passcode, they may not realize that if a rogue employee at an aggregator uses this passcode to steal money from the customer’s account, the customer, not the bank, is responsible for any loss.” --- Jamie Dimon's Letter to Shareholders, Annual Report 2015 | JPMorgan Chase & Co. http://www.jpmorganchase.com/corporate/annual -report/2015/
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 OAuth登場の背景 ID/パスワードではなく「トークン」を渡す コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ APIクライアント APP トークン 管理 ID/パスワード + 権限委譲 トークン 発行 トークン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 「アクセストークン」によるAPIアクセス認可のフレームワーク APIアクセス認可: OAuth リソースオーナー リソース サーバー APP 認可 サーバー クライアント HTML5 WEBSITE 0 0. リソースへのアクセスを リクエスト 1 1. 認可 リクエスト 2 2. ユーザー認証 & クライアントへの権限委譲の確認 3 3. OK! 4 4. アクセストークン 提供 5 5. アクセストークンを 使ってAPIアクセス
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 英国 “The Open Banking Standard” が、今後策定予定の “The Open Banking API” では OAuth 2.0 (と OpenID Connect) を採用するよう 推奨している “A core principle of this report is informed consent” 誰を認可するか、なにを認可 するか、いつまで認可を有効 にするかが重要 金融サービス分野におけるアイデンティティ技術の活用 Source: The Open Banking Standard https://www.scribd.com/doc/298569302/The-Open-Banking-Standard OAuth 2.0 in conjunction with OpenID Connect are recommended as authentication protocols of choice
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 国内外の金融機関が、すでにOAuth 2.0を活用した「金融API」の提供を 始めている 金融サービス分野におけるアイデンティティ技術の活用 (cont.) Source: Fidor API Reference http://docs.fidor.de/#understand-oauth, Documentation – APImarket https://www.bbvaapimarket.com/web/api_market/bbva/bbva-connect/documentation
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 APIへのOAuth適用のポイント 関連仕様やセキュリティのプラクティスを活用し、認可フロー、トークン管理、スコープ体系などをAPI/サービスに 最適化する「プロファイリング」が必要 OAuth (OAuth 2.0)は「プロトコル」ではなく「フレームワーク」である +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token) 認可フローにおけるセキュリティの懸念の例 (https://tools.ietf.org/html/rfc6749 の図に加筆) (A) “Web View” からの認可リクエスト(モバイルの 場合)、不正なredirect_uri、… (C) ユーザーエージェ ントすり替わり、 CSRF、リファラーか らの認可コード漏洩、 オープンリダイレクタ の悪用、他社認可サー バーの不備・不正によ る “Mix-Up Attack”、 … (D) クライアントすり替わり、認可 コード再利用・すり替え、… Slackのスコープ定義の例 Source: https://api.slack.com/docs/oauth-scopes Microsoft Azure ADのトークン有効期限の例 Source: https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-v2-tokens/
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 OpenID Connect
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 API サーバー OAuthはID連携にも使える? OAuth仕様が標準化する対象は「アクセストークン」のやりとりであり、「認証依頼」と「認証結果提供」のやりとり、 そして「認証結果」(ID情報)の定義は書かれていない エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 API サーバー OAuthはID連携にも使える? OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、認証結果や属性情報の連携、 セッション管理などのAPIを標準化 アイデンティティ連携: OpenID Connect (OIDC) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス許可要求 + 認証依頼 APIアクセス許可 + 認証結果提供 APIアクセス ユーザー認証 認証結果(IDトークン) • ID情報提供側におけるユーザ 認証イベントの情報 • エンドユーザーを識別する値 (識別子) • IDトークンの有効期限 • ユーザ認証を実施した日時 • 認証コンテクスト・クラス・ リファレンス • 認証手段リファレンス • その他(ユーザー属性など) • 署名付きJWT(Signed JSON Web Token)として表現
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 主要ID/API連携仕様がすべてOpenID Connectに収斂 OpenID Connect(cont.) Source: http://civics.com/OpenID-connect-webinar/ セキュリティ・ アサーション JSON形式の 「IDトークン」 サービス発見 シンプル、APIとの親和性、 モバイル対応 動的なクライント 登録
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 FIDO
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23 「ローカル認証」と「オンライン認証」を分離 ユーザー検証はローカルに行い、ユーザー検証結果のみがオンラインに流れる FIDO認定試験を定期的に開催し、製品・サービスの相互運用性を強化 ユーザー認証: FIDO Source: “FIDO技術のさらなる広がり” https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 24 FIDO認定製品が急速に増加 2016年6月に約200 → 同年9月に250超 FIDO (Cont.) Source: “FIDO Certification” http://www.slideshare.net/FIDOAlliance/fido-certification
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 まとめ
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 アイデンティティ技術を活用した「利用者本位のAPI提供」に向けて API サーバー エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 FIDO: 利用者が使いやすく 確実な認証手段を 活用できるようになる OAuth: 利用者が自身 の情報の第三者利用を コントロールしやすく なる OpenID Connect: 利用者が自身のIDを 他事業者の サービスでも 使えるようになる
Tatsuo Kudo tkudo@nri-secure.co.jp https://www.linkedin.com/in/tatsuokudo @tkudos

Recomendados

Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionTatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 

Recomendados

Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
OpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionOpenID TechNight Vol. 11 - Call to Action
OpenID TechNight Vol. 11 - Call to ActionTatsuo Kudo
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編Tatsuya (達也) Katsuhara (勝原)
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルMasaru Kurahayashi
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)Masaru Kurahayashi
 
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityIntroduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityTatsuya (達也) Katsuhara (勝原)
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationTatsuya (達也) Katsuhara (勝原)
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターンMasaru Kurahayashi
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_publicTatsuya (達也) Katsuhara (勝原)
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 

Mais conteúdo relacionado

Mais procurados

OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルMasaru Kurahayashi
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overviewmtisol
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターンMasaru Kurahayashi
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 

Mais procurados (20)

OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
 
Authlete overview
Authlete overviewAuthlete overview
Authlete overview
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
 
Introduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet IdentityIntroduction of Bridging IMS and Internet Identity
Introduction of Bridging IMS and Internet Identity
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
 
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
 

Destaque

API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpTatsuo Kudo
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
Nashorn in the future (English)
Nashorn in the future (English)Nashorn in the future (English)
Nashorn in the future (English)Logico
 
ITロードマッププレビュー2016
ITロードマッププレビュー2016ITロードマッププレビュー2016
ITロードマッププレビュー2016innovation info
 
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOICloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOITatsuo Kudo
 
これからのNashorn
これからのNashornこれからのNashorn
これからのNashornLogico
 
Nashorn in the future (English)
Nashorn in the future (English)Nashorn in the future (English)
Nashorn in the future (English)Logico
 
Nashorn in the future (Japanese)
Nashorn in the future (Japanese)Nashorn in the future (Japanese)
Nashorn in the future (Japanese)Logico
 
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22Sami Maekawa
 
Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)Logico
 
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22Nov Matake
 
SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)SORACOM,INC
 
APIエコノミー (金融編)
APIエコノミー (金融編)APIエコノミー (金融編)
APIエコノミー (金融編)Rasmus Ekman
 
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化Takeshi Mikami
 
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22Nov Matake
 
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connectアイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID ConnectShinichi Tomita
 
ブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocolブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocolKindai University
 
Banking APIとAPIエコシステム
Banking APIとAPIエコシステムBanking APIとAPIエコシステム
Banking APIとAPIエコシステムAPI Meetup
 
Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)Toshio Taki
 
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1yasuhiro yoshizawa
 

Destaque (20)

API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
Nashorn in the future (English)
Nashorn in the future (English)Nashorn in the future (English)
Nashorn in the future (English)
 
ITロードマッププレビュー2016
ITロードマッププレビュー2016ITロードマッププレビュー2016
ITロードマッププレビュー2016
 
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOICloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
 
これからのNashorn
これからのNashornこれからのNashorn
これからのNashorn
 
Nashorn in the future (English)
Nashorn in the future (English)Nashorn in the future (English)
Nashorn in the future (English)
 
Nashorn in the future (Japanese)
Nashorn in the future (Japanese)Nashorn in the future (Japanese)
Nashorn in the future (Japanese)
 
NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22NIST SP 800-63A #idcon vol.22
NIST SP 800-63A #idcon vol.22
 
Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)Nashorn: JavaScript Running on Java VM (English)
Nashorn: JavaScript Running on Java VM (English)
 
NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22NIST SP 800-63-3 #idcon vol.22
NIST SP 800-63-3 #idcon vol.22
 
SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)SORACOM Bootcamp Rec1 - SORACOM Air (1)
SORACOM Bootcamp Rec1 - SORACOM Air (1)
 
APIエコノミー (金融編)
APIエコノミー (金融編)APIエコノミー (金融編)
APIエコノミー (金融編)
 
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
青空文庫アイデアソン アプリ分科会 API提供・オープンソース化
 
NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22NIST SP 800-63C #idcon vol.22
NIST SP 800-63C #idcon vol.22
 
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connectアイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
 
ブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocolブロックチェインとOpen asset protocol
ブロックチェインとOpen asset protocol
 
Banking APIとAPIエコシステム
Banking APIとAPIエコシステムBanking APIとAPIエコシステム
Banking APIとAPIエコシステム
 
Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)Fintechにおける オープンイノベーションの最新動向(2015年8月)
Fintechにおける オープンイノベーションの最新動向(2015年8月)
 
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
三菱東京UFJ銀行 Fintech Challenge 2015キックオフイベント基調講演資料#1
 

Semelhante a 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向Yuichi Nakamura
 
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectYAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectRyo Ito
 
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンスたかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンスOsaka University
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)Toshihiko Yamakami
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WGNat Sakimura
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事Koichi Sasaki
 
Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 gincoNihei Tsukasa
 
AIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービスAIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービスAPI Meetup
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説Takashi Yahata
 
初めてのAuth0ハンズオン
初めてのAuth0ハンズオン初めてのAuth0ハンズオン
初めてのAuth0ハンズオンHisashi Yamaguchi
 
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例IO Architect Inc.
 
Low Code Development Platform.
Low Code Development Platform.Low Code Development Platform.
Low Code Development Platform.Contineo World
 

Semelhante a 利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向 (20)

Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向Keycloakの紹介と最新開発動向
Keycloakの紹介と最新開発動向
 
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID ConnectYAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
 
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンスたかがAPI,されどAPI、シナジーで広がるビジネスチャンス
たかがAPI,されどAPI、シナジーで広がるビジネスチャンス
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
APIエコノミーとは何か? それはどこへ続く道なのか(2017年) (in Japanese)
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事IoT案件を70件やってみて分かった事
IoT案件を70件やってみて分かった事
 
Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
 
AIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービスAIoTプラットフォーム Web APIサービス
AIoTプラットフォーム Web APIサービス
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
 
初めてのAuth0ハンズオン
初めてのAuth0ハンズオン初めてのAuth0ハンズオン
初めてのAuth0ハンズオン
 
Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例Otrsによるシステム運用管理の導入事例
Otrsによるシステム運用管理の導入事例
 
Smfl20201001
Smfl20201001Smfl20201001
Smfl20201001
 
Low Code Development Platform.
Low Code Development Platform.Low Code Development Platform.
Low Code Development Platform.
 

Mais de Tatsuo Kudo

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Tatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021Tatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyTatsuo Kudo
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizdayTatsuo Kudo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Tatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可Tatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOITatsuo Kudo
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIsTatsuo Kudo
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisumTatsuo Kudo
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 

Mais de Tatsuo Kudo (19)

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューション
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIs
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
 

利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向

  • 1. FinTech協会 APIセキュリティ分科会 利用者本位のAPI提供に向けたアイデンティティ(ID)標準仕様の動向 OAuth / OpenID Connect / FIDO 2016年9月28日 NRIセキュアテクノロジーズ株式会社 コンサルティング事業本部 サイバーコンサルティング部 工藤達雄 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
  • 2. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1 工藤達雄 http://www.linkedin.com/in/tatsuokudo/ @tkudos サン・マイクロシステムズ (1998~2008) 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~2014) NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とする コンサルティングに従事 自己紹介
  • 3. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 2 「認証技術」と「デジタルアイデンティティ技術」
  • 4. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 「認証技術」と「デジタルアイデンティティ技術」 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証
  • 5. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ連携 エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
  • 6. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
  • 7. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー 「認証技術」と「デジタルアイデンティティ技術」 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 8. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 9. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 B2Cサービスにおけるアイデンティティ技術仕様として広まりつつある “FIDO” “OAuth” “OpenID Connect” 各種API エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) “共通ID基盤” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 APIプロバイダーのIDでログイン APIプロバイダー
  • 10. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 OAuth
  • 11. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 OAuth登場の背景 ダイレクトチャネルはID/パスワードでログイン コンテンツ/ 機能 Webサイト モバイルAPI サービス事業者 ID/パスワード エンドユーザー ID/パスワード APP
  • 12. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 OAuth登場の背景 サードパーティにAPIを公開する場合はどうするか コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ Webサイト サードパーティ モバイルAPI サードパーティ APP APP APP ID/パスワード…!?
  • 13. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 12 OAuth登場の背景 ユーザーはID/パスワードをサードパーティに 預けることになる → 認証リスク サードパーティからの情報漏えいやサードパーティ自身 による不正利用の懸念が残る ユーザーはサードパーティに全権委任する ことになる → 認可リスク サードパーティは本来サービスに不要な(過剰な) APIアクセスを行うこともできてしまう 使い勝手が悪い サードパーティのアクセス有効期間を制御できない サードパーティにユーザーのID/パスワードを渡す? “When customers give out their bank passcode, they may not realize that if a rogue employee at an aggregator uses this passcode to steal money from the customer’s account, the customer, not the bank, is responsible for any loss.” --- Jamie Dimon's Letter to Shareholders, Annual Report 2015 | JPMorgan Chase & Co. http://www.jpmorganchase.com/corporate/annual -report/2015/
  • 14. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 OAuth登場の背景 ID/パスワードではなく「トークン」を渡す コンテンツ/ 機能 Webサイト モバイルAPIID/パスワード エンドユーザー ID/パスワード 外部向け API サービス事業者 サードパーティ APIクライアント APP トークン 管理 ID/パスワード + 権限委譲 トークン 発行 トークン
  • 15. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 「アクセストークン」によるAPIアクセス認可のフレームワーク APIアクセス認可: OAuth リソースオーナー リソース サーバー APP 認可 サーバー クライアント HTML5 WEBSITE 0 0. リソースへのアクセスを リクエスト 1 1. 認可 リクエスト 2 2. ユーザー認証 & クライアントへの権限委譲の確認 3 3. OK! 4 4. アクセストークン 提供 5 5. アクセストークンを 使ってAPIアクセス
  • 16. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 英国 “The Open Banking Standard” が、今後策定予定の “The Open Banking API” では OAuth 2.0 (と OpenID Connect) を採用するよう 推奨している “A core principle of this report is informed consent” 誰を認可するか、なにを認可 するか、いつまで認可を有効 にするかが重要 金融サービス分野におけるアイデンティティ技術の活用 Source: The Open Banking Standard https://www.scribd.com/doc/298569302/The-Open-Banking-Standard OAuth 2.0 in conjunction with OpenID Connect are recommended as authentication protocols of choice
  • 17. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 国内外の金融機関が、すでにOAuth 2.0を活用した「金融API」の提供を 始めている 金融サービス分野におけるアイデンティティ技術の活用 (cont.) Source: Fidor API Reference http://docs.fidor.de/#understand-oauth, Documentation – APImarket https://www.bbvaapimarket.com/web/api_market/bbva/bbva-connect/documentation
  • 18. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 APIへのOAuth適用のポイント 関連仕様やセキュリティのプラクティスを活用し、認可フロー、トークン管理、スコープ体系などをAPI/サービスに 最適化する「プロファイリング」が必要 OAuth (OAuth 2.0)は「プロトコル」ではなく「フレームワーク」である +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token) 認可フローにおけるセキュリティの懸念の例 (https://tools.ietf.org/html/rfc6749 の図に加筆) (A) “Web View” からの認可リクエスト(モバイルの 場合)、不正なredirect_uri、… (C) ユーザーエージェ ントすり替わり、 CSRF、リファラーか らの認可コード漏洩、 オープンリダイレクタ の悪用、他社認可サー バーの不備・不正によ る “Mix-Up Attack”、 … (D) クライアントすり替わり、認可 コード再利用・すり替え、… Slackのスコープ定義の例 Source: https://api.slack.com/docs/oauth-scopes Microsoft Azure ADのトークン有効期限の例 Source: https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-v2-tokens/
  • 19. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 OpenID Connect
  • 20. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 API サーバー OAuthはID連携にも使える? OAuth仕様が標準化する対象は「アクセストークン」のやりとりであり、「認証依頼」と「認証結果提供」のやりとり、 そして「認証結果」(ID情報)の定義は書かれていない エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
  • 21. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 API サーバー OAuthはID連携にも使える? OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、認証結果や属性情報の連携、 セッション管理などのAPIを標準化 アイデンティティ連携: OpenID Connect (OIDC) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス許可要求 + 認証依頼 APIアクセス許可 + 認証結果提供 APIアクセス ユーザー認証 認証結果(IDトークン) • ID情報提供側におけるユーザ 認証イベントの情報 • エンドユーザーを識別する値 (識別子) • IDトークンの有効期限 • ユーザ認証を実施した日時 • 認証コンテクスト・クラス・ リファレンス • 認証手段リファレンス • その他(ユーザー属性など) • 署名付きJWT(Signed JSON Web Token)として表現
  • 22. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 主要ID/API連携仕様がすべてOpenID Connectに収斂 OpenID Connect(cont.) Source: http://civics.com/OpenID-connect-webinar/ セキュリティ・ アサーション JSON形式の 「IDトークン」 サービス発見 シンプル、APIとの親和性、 モバイル対応 動的なクライント 登録
  • 23. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 FIDO
  • 24. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23 「ローカル認証」と「オンライン認証」を分離 ユーザー検証はローカルに行い、ユーザー検証結果のみがオンラインに流れる FIDO認定試験を定期的に開催し、製品・サービスの相互運用性を強化 ユーザー認証: FIDO Source: “FIDO技術のさらなる広がり” https://fidoalliance.org/wp-content/uploads/FIDOTokyoSeminar-gomi-112015-ja.pdf
  • 25. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 24 FIDO認定製品が急速に増加 2016年6月に約200 → 同年9月に250超 FIDO (Cont.) Source: “FIDO Certification” http://www.slideshare.net/FIDOAlliance/fido-certification
  • 26. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 まとめ
  • 27. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 アイデンティティ技術を活用した「利用者本位のAPI提供」に向けて API サーバー エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 FIDO: 利用者が使いやすく 確実な認証手段を 活用できるようになる OAuth: 利用者が自身 の情報の第三者利用を コントロールしやすく なる OpenID Connect: 利用者が自身のIDを 他事業者の サービスでも 使えるようになる