oidc how it solves your problems
Post on 28-May-2015
3.051 Views
Preview:
TRANSCRIPT
Cloud Identity Summit 2013 報告
OpenID Connect は、あなたの課題をどう解いてくれるか?
2013/9/4
Nat SakimuraNomura Research InstituteChairman, The OpenID Foundation@_nat_enhttp://nat.sakimura.org/
© 2013 by Nomura Research Institute. All rights reserved.
B2E Identity
B2C IdentityG2C Identity
(source of pictures)Microsoft Office Online
G2E Identity
© 2013 by Nomura Research Institute. All rights reserved.
?「エンプラに OpenID Connect
って関係あるの?
コンシューマ向け技術じゃないの?」
© 2013 by Nomura Research Institute. All rights reserved.
Not quite.
because I have very enterprizy background…
© 2013 by Nomura Research Institute. All rights reserved.
OpenID Connect
は、エンプラ利用を念頭において作られました。(コンシューマもだけど)
クラウドサービスにアクセスガバナンスを作るのに有効です。
© 2013 by Nomura Research Institute. All rights reserved.
Qデファクトのフェデレーションとアクセスプロビジョニングプロト
コルは何?
© 2013 by Nomura Research Institute. All rights reserved.
Identity Federation
•SAML?
Account Provisionin
g•SPML?
© 2013 by Nomura Research Institute. All rights reserved.
No!
© 2013 by Nomura Research Institute. All rights reserved.
Identity Federation
•パスワード共有
Account Provisionin
g•カスタムCSV
© 2013 by Nomura Research Institute. All rights reserved.
?なぜ失敗したか?
© 2013 by Nomura Research Institute. All rights reserved.
理解するのに難しすぎ。 認知上の困難さ -> 実装の困難さ
プロダクト間の互換性の低さ
ある大規模製造業: ▪ > 3000 partners all around the world▪Many of them were working with multiple companies▪Tried to create a SAML federation but failed.
© 2013 by Nomura Research Institute. All rights reserved.
CSV は簡単 .
• Excel あればOK!
• それに手動で編集できるよ!
パスワード共有も簡単 .
• パスワードをサポートしている全アプリケーションで使えるよ!
© 2013 by Nomura Research Institute. All rights reserved.
やったね!
© 2013 by Nomura Research Institute. All rights reserved.
?やったね???
© 2013 by Nomura Research Institute. All rights reserved.
3人以上が知っているものは秘密じゃない!
同期が崩れやすい。手動編集はリスクだ。De-provisioning? Archiving? 監査証跡は? etc…
© 2013 by Nomura Research Institute. All rights reserved.
#fail
© 2013 by Nomura Research Institute. All rights reserved.
やりなおしだ!今回は、死ぬほど簡単に!
車輪の再発明?そうだ。だけど、今回の車輪はもうちょっと丸い。
© 2013 by Nomura Research Institute. All rights reserved.
OpenID Connect& SCIM
© 2013 by Nomura Research Institute. All rights reserved.
SAML v.s. OpenID Connect
SAML Web SSO OpenID ConnectXML JSONXML Dsig JSON Web Signature
(JWS)XML Encryption JSON Web Encryption
(JWE)SAML JSON Web TokenSAML Assertion ID Token (OIDC)SOAP (mostly…) RESTSAML Web SSO Profile Standard (=OAuth 2.0
binding)SPML SCIM
© 2013 by Nomura Research Institute. All rights reserved.
identity 実体に関連する属性の集合
ISO/IEC 29115 | ITU-T X.1254
Note: distinguish identity and identifier carefully.
© 2013 by Nomura Research Institute. All rights reserved.
“identity” の例
社員番号 : A12349898
氏名 : 山田太郎役職 : 部長部署 : 財務部会社 : ABCD ホールディング場所 : NYHQ
日時 : 29130809T12:34:11Z
© 2013 by Nomura Research Institute. All rights reserved.
社員番号 : A12349898
氏名 : 山田太郎役職 : 部長部署 : 財務部会社 : ABCD ホールディング場所 : NYHQ
日時 : 29130809T12:34:11Z
logging
User interface
Access Controlinfo
© 2013 by Nomura Research Institute. All rights reserved.
Real Name
Professionalqualification
department
Geo-location
Employee number
Entity Identity Resource
Authentication
Policy Enforcement
Rules
© 2013 by Nomura Research Institute. All rights reserved.
ABAC
Based on SP800-162 figure on page viii
identityResource
Rules
entity
© 2013 by Nomura Research Institute. All rights reserved.
要件
R1
•Access Control MUST be done with the dynamic attributes
R2
•Identity MUST be provided from the authoritative source
R3
•Need to be able to provide flexible security.
R4
•Need to be dead simple.
R5
•Interoperability is the king.
R6
•Limited connection (esp. mobile) ready.
R7
•Unified technology for enterprise and consumer.
© 2013 by Nomura Research Institute. All rights reserved.
氏名
資格
部署
位置情報
社員番号
役職
Entity IdentityResource
Authentication PEP
PDP
PAP / PIP
Boss Metadata
Log Log
ApplicationAccounts
アカウント・プロビジョニング
認証e.g., OpenID/SAML
e.g., SCIM / SPML
アクセス制御(認可)e.g., XACML/ JACML?
© 2013 by Nomura Research Institute. All rights reserved.
OpenID Connect の実装経験より
© 2013 by Nomura Research Institute. All rights reserved.
ちゃんと MUST は守りましょう。
• いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んでいました。 .
アクセストークンを、 ID トークン抜きで他のクライアントや機械に送らないように。• トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for-a
uthentication.html
“code” や “ token” のサーバーサイドでの処理の負荷には十分気をつけること。• ある実装では、 2000 tr/ 秒 処理しているが、このようなときには、
署名処理・暗号化処理の負荷を十分気をつける必要あり。
© 2013 by Nomura Research Institute. All rights reserved. 30
top related