SlideShare a Scribd company logo

Authlete overview

M
mtisol

about Authlete

1 of 7
1
『Authlete: API 認可エンジン』のご紹介 株式会社 Authlete
2
OAuth 2.0 & OpenID Connect 2Copyright 2020 Authlete, Inc. API 提供者API 利用者 サービス利用 エンドユーザー トークン発行 でアクセス トークンの発行・管理プロトコル 認可サーバー / アイデンティティ・プロバイダー 実装・運用 トークンの発行・管理者 で ログイン Copyright 2020 Authlete, Inc.
3
DPoP OAuth 2.0 & OIDC 実装の現実 3Copyright 2020 Authlete, Inc. ‘12 ‘13 ‘14 ‘15 ‘16 ‘17 ‘18 ‘19 ’20+ RFC6750 RFC6749 RFC7636RFC6819 OIDC BCP OIDD RFC7592 RFC8414 OIDM OISM RFC8252 FAPI1 FAPI2 JARM CIBA RFC8628 OAuth 2.0 RAR PAR IDA RFC7009 RFC7662Multiple Response Type Encoding Practice Form Post Response Mode RFC7523 RFC7591 RFC8707 FAPI-CIBA RFC8705 OAuth 2.0 & OpenID Connect 関連仕様 現実1:日々追加・更新されていく関連仕様 ⇒ 実装コスト(数千万円~の開発費) ⇒ 運用コスト(OAuth 専任者が必要) 現実2:不適切な実装・運用による弊害 ⇒ サードパーティサービスとの連携を阻害 ⇒ エンドユーザーの個人情報漏洩の危険性
4
OAuth 2.0 & OIDC 実装の現実 4 認可リクエスト 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 認可リクエストの処理 ・指定されているパラメーターは適切か? ・クライアント、スコープ、リダイレクトURIの組み合わせは正しいか? ・エラーの場合にはどのようなレスポンスを返すべきか? 認可コードとトークンの生成 ・アクセストークンにどのような情報をひもづけるか? ・認可レスポンスをどのような送信するか? ・ユーザーがキャンセルした場合にはどのようなレスポンスを返すべきか? トークンリクエストの処理 ・指定されているパラメーターは適切か? ・クライアントをどのように認証するか? ・エラーの場合にはどのようなレスポンスを返すべきか? アクセストークンの検証 ・アクセストークンは利用可能か(失効していないか)? ・アクセストークンにひもづく情報をどう取得するか? ・エラーの場合にはどのようなレスポンスを返すべきか? Copyright 2020 Authlete, Inc. User User Agent Client Authorization Server Resource Server
5
Authlete に丸投げしましょう! 5 Authlete { "parameters": "response_type=code&client_id=57297408867&red irect_uri=https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fapi.authlete.com%2Fap i%2Fmock%2Fredirection%2F10167240235" }' 認可リクエストのクエリパラ メーターを「そのまま」送信 /auth/authorizationPOST Authlete { ”action”: ”INTERACTION”, ”ticket”: ”c4iy3TWGn74UZS8OEUzV9axH-9Q” ”client”: { (クライアントに関するメタデータ) }, ”service”: { (認可サーバーに関するメタデータ) }, } 次にプロセスに必要な情報を Authlete API が返却 Copyright 2020 Authlete, Inc. 例えば… 認可リクエスト 処理 認可コードと トークン生成 トークンリクエスト 処理 トークン検証 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 User User Agent Client Authorization Server Resource Server Authlete 認可リクエスト
6
Why Authlete? 6Copyright 2020 Authlete, Inc. 認可サーバー  サービスインまでの期間を大幅短縮  最新仕様に追随、セキュリティ的にも安心  好きな開発言語やフレームワークを利用  認可に特化:ID 管理、ユーザー認証、セッ ション管理、API アクセス管理、不正検出な ど他社ソリューションと組み合わせ自由  エンドユーザーの個人情報は自社で管理  ユーザー同意の UI ・フローを自在に設計  コンソールから複数認可サーバーを一括管理 Semi-hosted Architecture AUTHLETE
7
続きは 資料請求 の上、ご確認ください。 7
『Authlete: API 認可エンジン』のご紹介 株式会社 Authlete
OAuth 2.0 & OpenID Connect 2Copyright 2020 Authlete, Inc. API 提供者API 利用者 サービス利用 エンドユーザー トークン発行 でアクセス トークンの発行・管理プロトコル 認可サーバー / アイデンティティ・プロバイダー 実装・運用 トークンの発行・管理者 で ログイン Copyright 2020 Authlete, Inc.
DPoP OAuth 2.0 & OIDC 実装の現実 3Copyright 2020 Authlete, Inc. ‘12 ‘13 ‘14 ‘15 ‘16 ‘17 ‘18 ‘19 ’20+ RFC6750 RFC6749 RFC7636RFC6819 OIDC BCP OIDD RFC7592 RFC8414 OIDM OISM RFC8252 FAPI1 FAPI2 JARM CIBA RFC8628 OAuth 2.0 RAR PAR IDA RFC7009 RFC7662Multiple Response Type Encoding Practice Form Post Response Mode RFC7523 RFC7591 RFC8707 FAPI-CIBA RFC8705 OAuth 2.0 & OpenID Connect 関連仕様 現実1:日々追加・更新されていく関連仕様 ⇒ 実装コスト(数千万円~の開発費) ⇒ 運用コスト(OAuth 専任者が必要) 現実2:不適切な実装・運用による弊害 ⇒ サードパーティサービスとの連携を阻害 ⇒ エンドユーザーの個人情報漏洩の危険性
OAuth 2.0 & OIDC 実装の現実 4 認可リクエスト 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 認可リクエストの処理 ・指定されているパラメーターは適切か? ・クライアント、スコープ、リダイレクトURIの組み合わせは正しいか? ・エラーの場合にはどのようなレスポンスを返すべきか? 認可コードとトークンの生成 ・アクセストークンにどのような情報をひもづけるか? ・認可レスポンスをどのような送信するか? ・ユーザーがキャンセルした場合にはどのようなレスポンスを返すべきか? トークンリクエストの処理 ・指定されているパラメーターは適切か? ・クライアントをどのように認証するか? ・エラーの場合にはどのようなレスポンスを返すべきか? アクセストークンの検証 ・アクセストークンは利用可能か(失効していないか)? ・アクセストークンにひもづく情報をどう取得するか? ・エラーの場合にはどのようなレスポンスを返すべきか? Copyright 2020 Authlete, Inc. User User Agent Client Authorization Server Resource Server
Authlete に丸投げしましょう! 5 Authlete { "parameters": "response_type=code&client_id=57297408867&red irect_uri=https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fapi.authlete.com%2Fap i%2Fmock%2Fredirection%2F10167240235" }' 認可リクエストのクエリパラ メーターを「そのまま」送信 /auth/authorizationPOST Authlete { ”action”: ”INTERACTION”, ”ticket”: ”c4iy3TWGn74UZS8OEUzV9axH-9Q” ”client”: { (クライアントに関するメタデータ) }, ”service”: { (認可サーバーに関するメタデータ) }, } 次にプロセスに必要な情報を Authlete API が返却 Copyright 2020 Authlete, Inc. 例えば… 認可リクエスト 処理 認可コードと トークン生成 トークンリクエスト 処理 トークン検証 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 User User Agent Client Authorization Server Resource Server Authlete 認可リクエスト
Why Authlete? 6Copyright 2020 Authlete, Inc. 認可サーバー  サービスインまでの期間を大幅短縮  最新仕様に追随、セキュリティ的にも安心  好きな開発言語やフレームワークを利用  認可に特化:ID 管理、ユーザー認証、セッ ション管理、API アクセス管理、不正検出な ど他社ソリューションと組み合わせ自由  エンドユーザーの個人情報は自社で管理  ユーザー同意の UI ・フローを自在に設計  コンソールから複数認可サーバーを一括管理 Semi-hosted Architecture AUTHLETE
続きは 資料請求 の上、ご確認ください。 7
Ad

Recommended

これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
 
マイクロWebアプリケーション - Developers.IO 2016
マイクロWebアプリケーション - Developers.IO 2016マイクロWebアプリケーション - Developers.IO 2016
マイクロWebアプリケーション - Developers.IO 2016
都元ダイスケ Miyamoto
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
 
IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告IETF94 M2M Authentication関連報告
IETF94 M2M Authentication関連報告
Masaru Kurahayashi
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
Tatsuo Kudo
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
安全なID連携のハウツー
安全なID連携のハウツー安全なID連携のハウツー
安全なID連携のハウツー
Masaru Kurahayashi
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
 
Authentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest KeycloakAuthentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 

More Related Content

What's hot (20)

『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
Tatsuo Kudo
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
安全なID連携のハウツー
安全なID連携のハウツー安全なID連携のハウツー
安全なID連携のハウツー
Masaru Kurahayashi
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
 
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect![SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
 
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devloveOAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
Tatsuo Kudo
 
Standard-based Identity (1)
Standard-based Identity (1)Standard-based Identity (1)
Standard-based Identity (1)
Masaru Kurahayashi
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
安全なID連携のハウツー
安全なID連携のハウツー安全なID連携のハウツー
安全なID連携のハウツー
Masaru Kurahayashi
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
OpenID Foundation Japan
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Tatsuo Kudo
 
Idcon11 implicit demo
Idcon11 implicit demoIdcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
 

Similar to Authlete overview (20)

Authentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest KeycloakAuthentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
 
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
ssuser033561
 
Advancement of FIDO Technology
Advancement of FIDO TechnologyAdvancement of FIDO Technology
Advancement of FIDO Technology
FIDO Alliance
 
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Tatsuo Kudo
 
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
Kentaro Ebisawa
 
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
Kazuya Sugimoto
 
OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
 
IETF96 Update oauth tokbind
IETF96 Update oauth tokbindIETF96 Update oauth tokbind
IETF96 Update oauth tokbind
Kaoru Maeda
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Toru Yamaguchi
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
 
Authentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest KeycloakAuthentication and Authorization of The Latest Keycloak
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijpAPI提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
 
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
ssuser033561
 
Advancement of FIDO Technology
Advancement of FIDO TechnologyAdvancement of FIDO Technology
Advancement of FIDO Technology
FIDO Alliance
 
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Tatsuo Kudo
 
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
Kentaro Ebisawa
 
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
#decode19 #MW04 誰のための API? Azure デベロッパーにもエンド ユーザーにも嬉しいAPI エコシステム活用アプローチ
Kazuya Sugimoto
 
OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
Tatsuo Kudo
 
IETF96 Update oauth tokbind
IETF96 Update oauth tokbindIETF96 Update oauth tokbind
IETF96 Update oauth tokbind
Kaoru Maeda
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Toru Yamaguchi
 
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
 
Ad

Authlete overview

  • 2. OAuth 2.0 & OpenID Connect 2Copyright 2020 Authlete, Inc. API 提供者API 利用者 サービス利用 エンドユーザー トークン発行 でアクセス トークンの発行・管理プロトコル 認可サーバー / アイデンティティ・プロバイダー 実装・運用 トークンの発行・管理者 で ログイン Copyright 2020 Authlete, Inc.
  • 3. DPoP OAuth 2.0 & OIDC 実装の現実 3Copyright 2020 Authlete, Inc. ‘12 ‘13 ‘14 ‘15 ‘16 ‘17 ‘18 ‘19 ’20+ RFC6750 RFC6749 RFC7636RFC6819 OIDC BCP OIDD RFC7592 RFC8414 OIDM OISM RFC8252 FAPI1 FAPI2 JARM CIBA RFC8628 OAuth 2.0 RAR PAR IDA RFC7009 RFC7662Multiple Response Type Encoding Practice Form Post Response Mode RFC7523 RFC7591 RFC8707 FAPI-CIBA RFC8705 OAuth 2.0 & OpenID Connect 関連仕様 現実1:日々追加・更新されていく関連仕様 ⇒ 実装コスト(数千万円~の開発費) ⇒ 運用コスト(OAuth 専任者が必要) 現実2:不適切な実装・運用による弊害 ⇒ サードパーティサービスとの連携を阻害 ⇒ エンドユーザーの個人情報漏洩の危険性
  • 4. OAuth 2.0 & OIDC 実装の現実 4 認可リクエスト 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 認可リクエストの処理 ・指定されているパラメーターは適切か? ・クライアント、スコープ、リダイレクトURIの組み合わせは正しいか? ・エラーの場合にはどのようなレスポンスを返すべきか? 認可コードとトークンの生成 ・アクセストークンにどのような情報をひもづけるか? ・認可レスポンスをどのような送信するか? ・ユーザーがキャンセルした場合にはどのようなレスポンスを返すべきか? トークンリクエストの処理 ・指定されているパラメーターは適切か? ・クライアントをどのように認証するか? ・エラーの場合にはどのようなレスポンスを返すべきか? アクセストークンの検証 ・アクセストークンは利用可能か(失効していないか)? ・アクセストークンにひもづく情報をどう取得するか? ・エラーの場合にはどのようなレスポンスを返すべきか? Copyright 2020 Authlete, Inc. User User Agent Client Authorization Server Resource Server
  • 5. Authlete に丸投げしましょう! 5 Authlete { "parameters": "response_type=code&client_id=57297408867&red irect_uri=https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fapi.authlete.com%2Fap i%2Fmock%2Fredirection%2F10167240235" }' 認可リクエストのクエリパラ メーターを「そのまま」送信 /auth/authorizationPOST Authlete { ”action”: ”INTERACTION”, ”ticket”: ”c4iy3TWGn74UZS8OEUzV9axH-9Q” ”client”: { (クライアントに関するメタデータ) }, ”service”: { (認可サーバーに関するメタデータ) }, } 次にプロセスに必要な情報を Authlete API が返却 Copyright 2020 Authlete, Inc. 例えば… 認可リクエスト 処理 認可コードと トークン生成 トークンリクエスト 処理 トークン検証 認可レスポンス トークン リクエスト トークン レスポンス API リクエスト API レスポンス ユーザー認証・ アクセス承認 User User Agent Client Authorization Server Resource Server Authlete 認可リクエスト
  • 6. Why Authlete? 6Copyright 2020 Authlete, Inc. 認可サーバー  サービスインまでの期間を大幅短縮  最新仕様に追随、セキュリティ的にも安心  好きな開発言語やフレームワークを利用  認可に特化:ID 管理、ユーザー認証、セッ ション管理、API アクセス管理、不正検出な ど他社ソリューションと組み合わせ自由  エンドユーザーの個人情報は自社で管理  ユーザー同意の UI ・フローを自在に設計  コンソールから複数認可サーバーを一括管理 Semi-hosted Architecture AUTHLETE