OpenID Summit Tokyo 2020が2020年1月24日に開催された。私は残念ながら参加できなかったが、公開された資料の中から興味のあるものを読み込んで、簡単に要点を整理した。
The Future of Identity
- パスワード認証(エンタープライズ環境)
- エンタープライズSSOが主流となり、Password Vault(パスワード管理システム)はPrivileged Account Managerを除いて不要となるだろう。
- パスワード認証(コンシューマ環境)
- ID連携プロトコル
- アクティブクライアント
- モバイルOSがログイン・決済の管理やパーソナルアシスタントとしてユーザーに代行して動くアクティブクライアントになるだろう。将来的にはユーザー間の繋がりの提案やユーザー行動の監視による異常検知、ユーザー行動の助言も行うようになるかもしれない。
- その他
Personal Digital Transformation and Holistic Digital Identity
- Identityの専門家はPersonal Digital Transformation (PDT) による新しい要求を認識できていなかった。
- これらの変化はゆっくりと進んだために、変化を感じ取ることができなかった。
- PDTにより物理世界でできているIdentityの扱いがデジタル世界でも求められるようになる。
- ユーザーが記憶したパスワードを入力して行うアクセス制御は最も原始的な方法である。
- IdentityはSelfness(自己の同一性、独立性)とWhoness(他と区別する特徴)に分解できる。
- 従来のIDベースのサービスは基本的なWhonessの提供であり、それぞれには以下の技術が対応する。
- Whoness:OIDC Aggregated and Distributed Claims、DIDs、OpenID SIOP
- Selfness:認証器・ウォレットアプリ、IDF Hub、Hyperledger Ariesエージェント
Enabling Large-Scale Multi-Party Federations with OpenID Connect
- 研究・教育分野では多くの大規模なIDフェデレーションが行われているが、ほとんどはShibbolethで構築したSAML2で行われている。
- OpenID Research and Education Working Groupでは研究・教育分野での利用を検討していて、Shibbolethプラグインも一部の機関で登場してきている。
- SAMLの反省点を踏まえ、スケーラブルなフェデレーションを実現するため、OpenID Connect Federationの策定が進んでいる。
次世代 IDaaS のポイントは本人確認
- Identity is the new perimeter
- Idenrity Management for Enterprise
- 社員の入社・異動・退職に対して迅速なID・アクセス権管理が求められる。
- IDaaS選定にあたっては、SaaS連携機能(プロビジョニング・フェデレーション)、ID管理機能(オンプレ連携)、セキュリティ監視サービスがポイントとなる。
- 新たな要件の発生
OIDC活⽤で⽬指す⼈やサービスがつながる世界の社会実装
- bitkey社のプラットフォームのアーキテクチャについて解説されている。
- 各社のサービスや製品をつなげるために3層構造のシステムアーキテクチャとしている。
- 4つのKey Technology
- ID Access Controller:アクションごとに必要な認証強度の管理
- ID Converter:IDaaSとして各サービスのID連携を行う
- Personal Data Protector:個人情報保護とユーザーへの同意確認
- Rights Deal & Key Gen:ID間での権利の認可と鍵生成
OpenID Connectとネイティブアプリを取り巻く仕様と動向
- Yahoo! JAPANのネイティブアプリでのシングルサインオン(SSO)
- ネイティブアプリのログインをシステムブラウザを利用してOpenID Connectで行う場合、ユーザーが普段プライベートモードや別のブラウザアプリを使っていると、ブラウザのログインセッションを活用したSSOができない。
- これを解決するため、Yahoo! JAPANでは同一ベンダーのアプリのみからアクセスできる共有ストレージを利用して、アプリ間でログインセッションを共有する仕組みを実装している。
- この仕組みは1タップログイン(2013年~、月間431万回)もしくは0タップログイン(2014年~、月間909万回)として提供している。
- Open ID Connect Native SSO for Mobile Apps
- Open ID Connect Native SSO for Mobile Apps(2019年7月にdraft 03公開)の策定が進められている。
- 仕組みはYahoo! JAPANの1タップ・0タップログインと基本的には同じ。
- SSOの概フローは以下の通り。
- アプリ1はAuthorization Endpointへのリクエストで、scopeパラメータにdevice_ssoを指定する。
- アプリ1へのToken Endpoitのレスポンスで、IDトークンと一緒にdevice_token (device_secret) が返却される。
- アプリ2は共有ストレージから取得したIDトークンとdevice_secretをToken Exchange RequestとしてToken Endpointに渡す。
- アプリ2へのToken Endpointのレスポンスで、アクセストークン、リフレッシュトークン、IDトークンが返却される。
- リフレッシュトークンはSSOセッションが無効になったタイミングで無効になる。
B2C企業向けクラウドID基盤「 SELMID 」のご紹介
パスワード利用の限界や顧客属性の保証(本人確認による情報の正確性担保など)ニーズの高まりを受けて、IDaaS製品であるSELMIDの提供と導入支援をしている。
- SELMIDはMicrosoft Azure AD B2Cを基盤として追加機能を自社開発しているとのこと。
主な提供機能