Oidc how it solves your problems

Preview:

Citation preview

Cloud Identity Summit 2013 報告

OpenID Connect は、あなたの課題をどう解いてくれるか?

2013/9/4

Nat SakimuraNomura Research InstituteChairman, The OpenID Foundation@_nat_enhttp://nat.sakimura.org/

© 2013 by Nomura Research Institute. All rights reserved.

B2E Identity

B2C IdentityG2C Identity

(source of pictures)Microsoft Office Online

G2E Identity

© 2013 by Nomura Research Institute. All rights reserved.

?「エンプラに OpenID Connect

って関係あるの?

コンシューマ向け技術じゃないの?」

© 2013 by Nomura Research Institute. All rights reserved.

Not quite.

because I have very enterprizy background…

© 2013 by Nomura Research Institute. All rights reserved.

OpenID Connect

は、エンプラ利用を念頭において作られました。(コンシューマもだけど)

クラウドサービスにアクセスガバナンスを作るのに有効です。

© 2013 by Nomura Research Institute. All rights reserved.

Qデファクトのフェデレーションとアクセスプロビジョニングプロト

コルは何?

© 2013 by Nomura Research Institute. All rights reserved.

Identity Federation

•SAML?

Account Provisionin

g•SPML?

© 2013 by Nomura Research Institute. All rights reserved.

No!

© 2013 by Nomura Research Institute. All rights reserved.

Identity Federation

•パスワード共有

Account Provisionin

g•カスタムCSV

© 2013 by Nomura Research Institute. All rights reserved.

?なぜ失敗したか?

© 2013 by Nomura Research Institute. All rights reserved.

理解するのに難しすぎ。 認知上の困難さ  -> 実装の困難さ

プロダクト間の互換性の低さ

ある大規模製造業: ▪ > 3000 partners all around the world▪Many of them were working with multiple companies▪Tried to create a SAML federation but failed.

© 2013 by Nomura Research Institute. All rights reserved.

CSV は簡単 .

• Excel あればOK!

• それに手動で編集できるよ!

パスワード共有も簡単 .

• パスワードをサポートしている全アプリケーションで使えるよ!

© 2013 by Nomura Research Institute. All rights reserved.

やったね!

© 2013 by Nomura Research Institute. All rights reserved.

?やったね???

© 2013 by Nomura Research Institute. All rights reserved.

3人以上が知っているものは秘密じゃない!

同期が崩れやすい。手動編集はリスクだ。De-provisioning? Archiving? 監査証跡は? etc…

© 2013 by Nomura Research Institute. All rights reserved.

#fail

© 2013 by Nomura Research Institute. All rights reserved.

やりなおしだ!今回は、死ぬほど簡単に!

車輪の再発明?そうだ。だけど、今回の車輪はもうちょっと丸い。

© 2013 by Nomura Research Institute. All rights reserved.

OpenID Connect& SCIM

© 2013 by Nomura Research Institute. All rights reserved.

SAML v.s. OpenID Connect

SAML Web SSO OpenID ConnectXML JSONXML Dsig JSON Web Signature

(JWS)XML Encryption JSON Web Encryption

(JWE)SAML JSON Web TokenSAML Assertion ID Token (OIDC)SOAP (mostly…) RESTSAML Web SSO Profile Standard (=OAuth 2.0

binding)SPML SCIM

© 2013 by Nomura Research Institute. All rights reserved.

identity 実体に関連する属性の集合

ISO/IEC 29115 | ITU-T X.1254

Note: distinguish identity and identifier carefully.

© 2013 by Nomura Research Institute. All rights reserved.

“identity” の例

社員番号 : A12349898

氏名 : 山田太郎役職 : 部長部署 : 財務部会社 : ABCD ホールディング場所 : NYHQ

日時 : 29130809T12:34:11Z

© 2013 by Nomura Research Institute. All rights reserved.

社員番号 : A12349898

氏名 : 山田太郎役職 : 部長部署 : 財務部会社 : ABCD ホールディング場所 : NYHQ

日時 : 29130809T12:34:11Z

logging

User interface

Access Controlinfo

© 2013 by Nomura Research Institute. All rights reserved.

Real Name

Professionalqualification

department

Geo-location

Employee number

Entity Identity Resource

Authentication

Policy Enforcement

Rules

© 2013 by Nomura Research Institute. All rights reserved.

ABAC

Based on SP800-162 figure on page viii

identityResource

Rules

entity

© 2013 by Nomura Research Institute. All rights reserved.

要件

R1

•Access Control MUST be done with the dynamic attributes

R2

•Identity MUST be provided from the authoritative source

R3

•Need to be able to provide flexible security.

R4

•Need to be dead simple.

R5

•Interoperability is the king.

R6

•Limited connection (esp. mobile) ready.

R7

•Unified technology for enterprise and consumer.

© 2013 by Nomura Research Institute. All rights reserved.

氏名

資格

部署

位置情報

社員番号

役職

Entity IdentityResource

Authentication PEP

PDP

PAP / PIP

Boss Metadata

Log Log

ApplicationAccounts

アカウント・プロビジョニング

認証e.g., OpenID/SAML

e.g., SCIM / SPML

アクセス制御(認可)e.g., XACML/ JACML?

© 2013 by Nomura Research Institute. All rights reserved.

OpenID Connect の実装経験より

© 2013 by Nomura Research Institute. All rights reserved.

ちゃんと MUST は守りましょう。

• いくつかの実装は MUST を実装せずにセキュリティ・ホールを生んでいました。 .

アクセストークンを、 ID トークン抜きで他のクライアントや機械に送らないように。• トークン置換え攻撃に脆弱になります。 • http://www.thread-safe.com/2012/01/problem-with-oauth-for-a

uthentication.html

“code” や “ token” のサーバーサイドでの処理の負荷には十分気をつけること。• ある実装では、 2000 tr/ 秒 処理しているが、このようなときには、

署名処理・暗号化処理の負荷を十分気をつける必要あり。

© 2013 by Nomura Research Institute. All rights reserved. 30

Recommended