自己紹介氏縄武尊 (Ujinawa Takeru) Work 株式会社オージス総研テミストラクトソリューション部 3 年目 ID 管理認証周りの開発 OpenID Connect, AWS Private 滋賀県彦根市出身 Copyright 2016 OGIS-

Similar documents

自己紹介氏縄武尊 (Ujinawa Takeru) Work 株式会社オージス総研テミストラクトソリューション部 4 年目認証認可 ID 管理 PKI OpenID Foundation Japan EIWGメンバー Favorite Spec: OpenID Connect, OAuth2.0

今後の認証基盤で必要となる関連技術の動向株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

- 2 Copyright (C) All Rights Reserved.

やよいの顧客管理

弥生給与/やよいの給与計算

弥生シリーズ

弥生会計プロフェッショナル/スタンダード/やよいの青色申告

弥生会計/やよいの青色申告

弥生会計ネットワーク/プロフェッショナル2ユーザー

Microsoft PowerPoint _セミナー資料（オージス）.pptx

Copyright 2008 All Rights Reserved 2

ハピタスのコピー.pages

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

- 2 Copyright (C) All Rights Reserved.

PPTテンプレート集 ver.1.0

how-to-decide-a-title

初心者にもできるアメブロカスタマイズ新2016.pages

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.14 P.15 P.16 P.16 P.17 P.19 P.20 P.22 P P P P P P P P P

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P.10 P.12 P.13 P.14 P.14 P.15 P.17 P.18 P.20 P P P P P.25 P.27 P.28 Copyright 2016 JAPAN POST BA

Copyright All Rights Reserved. -2 -!

Fuji Xerox Co., Ltd. All rights reserved.

IPA:セキュアなインターネットサーバー構築に関する調査

Microsoft Word - 最終版　バックせどりismマニュアル .docx

保存を行いたい場所 ( デスクトップ等 ) を選択し保存 (S) ボタンを押してくださいファイル名ファイル名は Jsas_TKNPrint.exe という初期値になっていますが変更することができます 2 データのダウンロードボタンを押すと指導面接用紙の一括印刷用ソフトに取り込む指導対象

PowerPoint Presentation

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.13 P.15 P.16 P.17 P.17 P.18 P.20 P.21 P.23 P P P P P P P P.31

保存を行いたい場所 ( デスクトップ等 ) を選択し保存 (S) ボタンを押してくださいファイル名ファイル名は Jsas_TSKPrint.exe という初期値になっていますが変更することができます 2 データのダウンロードボタンを押すと一括印刷用ソフトに取り込む停止及び警告認定者 (

AW-PCS認証設定手順1805

OSS活用ソリューション ThemiStruct （テミストラクト）シリーズ概要

専門研修プログラム検索システムマニュアル(一般)

SeciossLink クイックスタートガイド

<4D F736F F D20836C A F834E E E096BE8F912E646F63>

intra-mart ワークフローデザイナ

F5 ネットワークス BIG-IP CSR作成/証明書インストール手順書

Active Directory フェデレーションサービスとの認証連携

(c) PIXTA Co. Ltd. All Rights Reserved.

健康保険組合のあゆみ_top

リバースマップ原稿2

Microsoft PowerPoint - 調達ポータル_電子見積システム設定マニュアル_

URL AdobeReader Copyright (C) All Rights Reserved.

Web型iEDIシステム操作説明書

OSSTechドキュメント

Microsoft PowerPoint - 配布資料_MS様Office365セミナー講演資料 - コピー.pptx

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

第 3 版はじめに 06 年 0 月 6 日から Active!mail にログインする際は DOUBLE GATE( 多要素認証システム ) を使用して認証しますログイン認証方法は学内ネットワークを利用する場合と学外ネットワークを利用する場合で異なります学内から利用する場合

POWER EGG 3.0 Office365連携

はじめにインフォマート API の呼び出しには OAuth2.0 による認証を受ける必要があります OAuth2.0 を使うことでインフォマート API を利用するサービスはインフォマートプラットフォーム ID( 1 以下 PFID) とパスワードを保存したり処理したりすることなく PFID

P. 2 P. 4 P. 5 P. 6 P. 7 P. 8 P. 9 P P.11 P.13 P.15 P.16 P.17 P.17 P.18 P.20 P.21 P.23 P P P P P P P.30 16

(Microsoft Word - VisionPro\203C\203\223\203X\203g\203\214\201[\203V\203\207\203\223\203}\203j\203\205\203A\203\ doc)

TypeAご利用ソフトV5.2

pontab23_0721.indd

% 11.1% +6.% 4, % %+12.2% 54,16 6.6% EV7, ,183 Copyright 216 JAPAN POST GROUP. All Rights Reserved. 1

intra-mart Accel Collaboration — Collaboration共通ユーザ操作ガイド第7版

目次 API 公開の課題なぜAPI 管理が必要なのか API 管理のベストプラクティス IBM API Connect を使ったAPI 管理オージス総研のAPI 運用サービスの紹介 Copyright 2017 OGIS-RI Co., Ltd. All rights reserved. 2

操作マニュアル

SILAND.JP テンプレート集

注意インストール中にユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります表示された場合ははいをクリックしてインストールを進めてくださいなお管理者以外の場合管理者への昇格を求める UAC 画面が表示される場合がありますので管理者アカウントのパ

受講マニュアル

1. 主な機能追加項目以下の検索項目をサポートしました書誌全文検索コマンド検索国内査定日最新の査定日 ( 登録査定日または拒絶査定日 ) を検索します査定種別最新の登録拒絶査定または査定なしを検索します審査最終処分日最新の審査最終処分日を検索します審査最終処分種別最新の審

Microsoft Word - Android認証設定手順（AnyConnect) doc

< A89B98CB98E B9691F88A6D F81798CC2906C817A91808DEC837D836A B5F76312E302E786C7378>

管理者マニュアル

Googleカレンダー連携_管理者マニュアル

改版履歴版数日付内容担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

Copyright 2008 NIFTY Corporation All rights reserved. 2

株式会社インターナショナルシステムリサーチ International Systems Research Co. CloudGate UNO secured by Cybertrust デバイス ID 証明書インストールマニュアル Windows 用 Ver [ 目次 ] はじめに 1

Microsoft Word - Android認証設定手順（EAP-TLS)1105.doc

FUJITSU Cloud Service for OSS 認証サービスサービス仕様書

Active! mail 6 操作マニュアル株式会社トランスウエア Copyright TransWare Co. All rights reserved.

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

1. 契約ごとに 1 つのファイルを作成する場合作成する電子的控除証明書等の種類に応じてラジオボタンを選択してください画面に入力して 1 件ずつ作成するを選択し生命保険会社等の名称生命保険会社等の法人番号及び証明日を入力してください法人番号は任意項目です 1 メイン画面 ❸ ❹ ❸ 契約

クライアント証明書導入マニュアル

AppsME(kintone)_セットアップガイド

[ ][ ] HTML [ ] HTML HTML

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using con

Microsoft Word - Amazon Pay オペレーションマニュアル.docx

受講マニュアル

Fortinet 社 FortiExplorer 操作マニュアル株式会社ネットワークバリューコンポネンツ第一版 Page1 Network Value Components Ltd. Copyright (c)2012 Network Value Components Ltd. All Righ

自己紹介氏縄武尊 (Ujinawa Takeru) ThemiStruct 認証技術グループ技術開発 (Inventory 認証等 ) OpenID Connect OpenID Foundation Japan Enterprise Identity WG 2

薬剤画像ダウンロードの環境薬剤画像のダウンロードを行うには以下の内容を満たした環境が必要です満たしていない場合正常に薬剤画像のダウンロードを行うことが出来ませんのでご注意くださいブラウザについて薬剤画像ダウンロードページは Internet Explorer( 以下 IE と記載 )

自己紹介八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーションジャパン Enterprise Ident

クライアント証明書インストールマニュアル

PowerPoint プレゼンテーション

Twitter Copyright All Rights Reserved 2

Transcription:

OpenID Certification Conformance Test ことはじめ ( 苦労したこと苦労しないために知っておきたいこと ) 株式会社オージス総研サービス事業本部テミストラクトソリューション部氏縄武尊 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14

自己紹介氏縄武尊 (Ujinawa Takeru) Work 株式会社オージス総研テミストラクトソリューション部 3 年目 ID 管理認証周りの開発 OpenID Connect, AWS Private 滋賀県彦根市出身 Twitter: @uji52 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 2

私の仕事 : ThemiStruct ( テミストラクト ) シングルサインオン認証基盤 ID 管理電子証明書発行管理つくってますサーバーレスで動く統合認証基盤 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 3

Conformance Test 苦労したポイント Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 4

Conformance Test の画面ボタンを押したらテストが走る詳細なログも見られる理解できれば修正も簡単 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 5

Conformance Test の画面 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 6

Conformance Test の画面テスト自体は事前知識があれば案外簡単 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 7

今回お話すること (Conformance Test で苦労した点 ) テストの進め方テスト項目の確認ログの確認方法読み方失敗が分かりにくいテストケース実例を挙げながらデモ形式で紹介 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 8

デモ Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 9

Conformance Test のコツテストケース毎に期待される結果を知る既にCertifiedなOPのログを見る Conformance Profilesと実行ログをよく読むログとスペックを見比べて修正するリクエストレスポンス共に実行ログに出ている不正な値の場合は大体スペックにそれっぽい記載がある Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 10

ご清聴ありがとうございましたお問い合わせ先株式会社オージス総研 TEL: 03-6712-1201 / 06-6871-7998 mail: info@ogis-ri.co.jp Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 11

Appendix( デモ中の画面 ) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 12

テスト項目 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 13

認定された Conformance Profile Conformance Test のログがダウンロードできる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 14

Conformance Profile の確認ができる資料 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 15

Conformance Profile 毎に要求されるテストの内容 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 16

no err や SHOULD 等の要求もあることを頭に入れておく Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 17

事前準備 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 18

テストインスタンスの作成 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 19

https://openid.net/certification/testing/ Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 20

Issuer URL の設定 https://op.example.com/oidc/.well-known/openid-configuration 赤い部分だけ ( 末尾の "/" はあってもなくても OK) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 21

Test InstanceID を入力作成が完了するとインスタンスの初期設定画面に遷移 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 22

既に登録されている場合設定の修正やテスト画面に遷移できる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 23

初期設定 (Provider) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 24

Well-know エンドポイントの有無を確認 yes/no Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 25

<Issuer URL>/.well-known/openid-configuration で設定が完了 (yes の場合 ) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 26

それぞれの項目を選択して値を入力 (no の場合 ) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 27

表示する項目の指定 (no の場合 ) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 28

初期設定 (Client) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 29

Dynamic Client Registration がある場合 (yes) 特に入力は不要 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 30

Dynamic Client Registration が無い場合 (no) Client ID/Secret を発行して入力 Redirect URI は提供される Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 31

デフォルトの subject type と response type を設定対応している JWT の形式を設定 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 32

テスト用の request parameter を設定 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 33

Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 34

実際にテストする Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 35

Conformance Test 用のインスタンス RP として動いて動作を確認してくれる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 36

Discovery のテストが一番シンプルなので初めてのテストの場合はオススメ Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 37

正常に動作すると緑になる ( 全部緑にするのが目的じゃないことに再度注意 ) Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 38

このボタンを押すことでログが確認できる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 39

テストの情報 ( 実行時間テスト名等 ) テスト項目毎の結果一覧 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 40

実際のリクエストとレスポンス Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 41

テストの成否 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 42

実際のテスト Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 43

実際に叩いてみるテスト OP-Discovery-Config Well-known を実際に叩いてみる OP-Discovery-JWKs Base64url エンコード部分で実際にエラーを解消してみる OP-Response-code 複数のエラーケースが存在する場合を見てみる OP-scope-email, phone no errで良いケースを見てみる OP-redirect_uri-NotReg レスポンスが返ってこないケースを見てみる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 44

OP-Discovery-Config ( 一番分かりやすいテストケース ) Well-knownエンドポイントを叩いて実際にログを見てみる結果は 40-42 ページの通り Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 45

OP-Discovery-JWKs ( 簡単なエラーを直してみる ) Well-known の後にjwks_uri を叩くテスト Base64urlエンコードしたkeyを返却すべき Base64エンコードで実装したものを修正する Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 46

( 修正前 )Base64 エンコードした key を返却 ( 修正後 )Base64url エンコードした key を返却 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 47

OP-Response-Missing (response_type が空のエラーケース ) エラー返却のパターンが 2 通り 1. エラーを RP に返却するエラーレスポンスの形式をしっかり守ること ( どちらで対応しても良い ) 2. End-User にエラー画面を返す ( スクショ必須 ) 他の OP の Certification 結果が見れるので参考に Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 48

(1) エラーを RP に送る or (2)End-User にエラー画面を返す (2) の場合はスクリーンショットも送ること Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 49

エラーレスポンスが RP に返却されていることを確認 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 50

OP-scope-email, phone ( エラーになっていなければ良いケース ) OP-scope-email デモ環境で対応済みな Scope OP-scope-phone デモ環境では未対応な Scope Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 51

こっち Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 52

こっち well-known にて phone scope が許可されていない phone_number, phone_number_verified が取得できない Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 53

OP-redirect_uri-NotReg (OP からレスポンスが返却されないケース ) redirect_uri が間違っているケースレスポンスが無い状態でログが止まっている結果はincompleteになるスクリーンショットを送る必要がある Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 54

ブラウザがエラー画面になっていることを確認 Conformance Test の Status は Incomplete になる Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 55

Incomplete になっている ( 正しい ) OK になっているレスポンスが返却されていないことを確認 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 56

ログの取得 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 57

https://op.certification.openid.net:6xxxx/log Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 58

Copyright 2016 OGIS-RI Co., Ltd. All rights reserved. 2016/12/16 Tech Night Vol.14 59