OSSTechプレゼンテーション

Similar documents
OSSTechドキュメント

intra-mart Accel Platform

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Microsoft Word - Gmail-mailsoft_ docx

OpenAM(OpenSSO) のご紹介

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

OSSTechプレゼンテーション

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

はじめに インフォマート API の呼び出しには OAuth2.0 による認証を受ける必要があります OAuth2.0 を使うことで インフォマート API を利用するサービスは インフォマートプラットフォーム ID( 1 以下 PFID) とパスワードを保存したり処理したりすることなく PFID

CA Federation ご紹介資料

スライド 1

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

自己紹介 所属部署 生産革新ソリューション開発二部 OSS 推進グループ OSSを使ったシステム構築から運用までワンストップでサポート対象 OSSは50 種類以上 私の担当 各種 OSSの技術的サポート OpenAM OpenIDMの導入支援 OpenAM OpenIDMの機能拡張 バグ修正も実施

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

PowerPoint プレゼンテーション

OSSTech OpenSSO社内勉強会資料

FUJITSU Cloud Service K5 認証サービス サービス仕様書

はじめに 本資料の目的 SAML の認証方式の指定について把握する Service Provider(SP) 側の視点 利用する IdP に認証方式を指定 Identity Provider(IdP) 側の視点 SP に実施した認証方式の応答 OpenAM の実装を把握する OpenAM を SP

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

Microsoft PowerPoint - 【資料3】Open ID概要.ppt

jp-tax-mfa_guide

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Microsoft Word - Gmail-mailsoft設定2016_ docx

IBM 次世代クラウド・プラットフォーム コードネーム “BlueMix”ご紹介

GRIDY SFA Google Apps カレンダー連携 操作ガイド (1.0 版 ) 2016 年 3 月 16 日 KDDI 株式会社

設定ガイド

POWER EGG 3.0 Office365連携

Splashtopスタートガイド

How to Use the PowerPoint Template

オープンソース・ソリューション・テクノロジ株式会社

SinfonexIDaaS機能概要書

SpringSecurity

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Googleカレンダー連携_管理者マニュアル

変更履歴 日付 Document ver. 変更箇所 変更内容 06/7/.00 - 新規作成 06/8/9.0 管理プロファイルを登録する Web フィルタリング の記載を追加 07//6.0 全体 連絡先ポリシーを共有アドレス帳に変更 全体 参照 以下 等に係る記載揺れの統一 07/0/.03

自己紹介 氏縄武尊 (Ujinawa Takeru) Work 株式会社オージス総研テミストラクトソリューション部 4 年目認証 認可 ID 管理 PKI OpenID Foundation Japan EIWGメンバー Favorite Spec: OpenID Connect, OAuth2.0

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

KDDI ビジネスメール 一般ユーザ用カスタマーコントロール操作ガイド Ver.2.04 Copyright , KDDI Corporation All rights reserved 1

勉強会の流れ Google API の概要 デモ curl で実際に体験 Copyright 2010 SRA OSS, Inc. Japan All rights reserved. 2

OSSTechプレゼンテーション

Plone Web Plone OpenID 1.4 Gracie Gracie OpenID Python Plone GNU GPL Plone Gracie Password Authentication Module (PAM) UNIX OpenID 1. OpenID 2 OpenID

目次 FSLS 操作手引き ( お客様編 ). 概要. 画面遷移 4. ログイン 5 4. 購入履歴の絞り込み 6 5. 購入履歴情報の CSV ダウンロード 7 6. 購入明細情報の表示 ~ ライセンス条件表示 8 7. 購入履歴情報への管理キーワードの設定 購入履歴表示画面からの場合

HP Touchpoint Manager Windows 10 Mobile 登録手順

AW-PCS認証設定手順1805

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

版数 更新日 更新理由 /12/21 初版制定 /7/25 平成 28 年度初版制定 /8/7 平成 29 年度初版制定 /11/13 機能追加に伴い以下の箇所を更新 4 ログイン を更新 6 コメント対象情報参照 を更新 7 新規コメ

PowerPoint Presentation

ステップ 1:Cisco Spark にサインアップして試してみよう 1. Spark のホームページ ( で電子メールアドレスを入力し 指示に従って Spark アカウントを作成します 注 : 自身の電子メールアカウントにアクセスして Spar

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

gtld 動向 ~GDPR 対応は RDAP で ~ Kentaro Mori, JPRS DNS Summer Day 2018 Copyright 2018 株式会社日本レジストリサービス

スライド 1

03. クイックマニュアル [Agent 導入編 ] AnyClutch Remote 接続先 PC への設定の方法 遠隔から使いたい PC への AnyClutch Remote の Agent を導入する手順となります 導入にはコンピューター管理者権限を持っているアカウントで行う必要がございます

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

WTM2019SingleSignOn

PowerPoint プレゼンテーション

Active Directory フェデレーションサービスとの認証連携

製品概要

KS_GoogleApps_guide

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

Microsoft Word - HULFT-WebConnectサービス仕様書_V2.2_改訂版

UAC UAC Widows 7 OK Windows8.1/10-9

Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc

PowerPoint プレゼンテーション

UMIN INDICE Lower level data communication protocol for CDISC ODM規約

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Microsoft PowerPoint - サイバートラストデバイスID F5 BIG-IP Edge Client連携のご紹介.ppt [互換モード]

メールソフト設定ガイド

SeciossLink クイックスタートガイド

目次. ご利用上の注意. アプリをインストールする. アプリを起動する. アプリの初期設定を行う. アプリのログインパスワードを変更する 6. アプリのメニューを操作する 7. ステータスを送信する 8. 定期位置通知間隔を変更する 9. 随時検索をする 0. メッセージ連絡をする. メッセージの連

管理者マニュアル

スライド 1

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

索引

目次 1 はじめに NTT コミュニケーションズビジネスポータルとは ご利用の流れ 事前準備をする 初めてログインする Arcstar IP Voice の設定変更 契約変更をする ログアウトする..

目次 ログイン ログイン お知らせ画面... 3 チェック結果の表示 / 新規作成 / 更新 / データ出力 チェック結果一覧の表示 新規作成 チェック結果の検索 チェック結果の詳

つくば市 様

PowerPoint プレゼンテーション

Microsoft PowerPoint - ABC_2011_1_9_yoichiro.pptx

2 WHITE PAPER: OAUTH ca.com/jp OAuth 3 OAuth 4 OAuth 6 OAuth OAuth 8 CA API Gateway OAuth 9 OAuth Toolkit 10 CA API Gateway 2-legged OAuth 3-leg

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

目次 既存アカウントにモバイルライセンスキーコードを追加 ライセンスキーコードを追加 ポータルへモバイルデバイスを追加 電話番号の入力ルール /AU 端末の制限 ( 留意事項 ) ダウンロードリンクの通知 (SMS 配信 )/ 子デバイスキー生成 モバイルデバイスへのソフトウェアダウンロード ダウン

< お客さま完結タイプ > ストレスチェックシステム操作マニュアル ストレスチェック受検者向け 2017 年 5 月 cc_ver Sompo Risk Management & Health Care Inc.

Oracle9iAS Release 2 (9.0.2) セキュリティ機能概要

Microsoft Word - 【掲載用】True Keyマニュアル_1.0版_ r2.docx

home-unit2_quickguide_ras_v1.1

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Thunderbird 利用 Windows Mac 共通 Thunderbird を利用した移行は Web メールのフォルダを階層化している場合 移行ができない場合があります この場合の移行は Outlook を利用した移行で行ってください メールの移行マニュアル 本書は Office 365 導

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

Looxcie SNS 連携手順書 Looxcie アプリケーション (Looxcie Moments) を使用すると YouTube Facebook Twitter へ簡単に動画をアップルすること ができます 内容 1.YouTube への動画アップロード Facebook への動

目次

SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

Transcription:

Copyright 2012 Open Source Solution Technology, Corp. 1 OAuth 入門 2012 年 4 月 24 日辻口鷹耶 オープンソース ソリューション テクノロジ株式会社 http://www.osstech.co.jp/

Copyright 2012 Open Source Solution Technology, Corp. 2 目次 OAuth について OAuthの背景 OAuthの歴史プロトコル概要 (OAuth2.0) OpenAM における OAuth

OAuth について Copyright 2012 Open Source Solution Technology, Corp. 3

Copyright 2012 Open Source Solution Technology, Corp. 4 OAuth の背景 ユーザ OAuth 登場以前は 写真共有サービスにある写真を印刷サービスで印刷したい 印刷サービス 写真共有サービス 写真データ

Copyright 2012 Open Source Solution Technology, Corp. 5 OAuth の背景 ユーザ 写真共有サービスへのアクセス権限を印刷サービスに委譲 ユーザと同じ権限で写真共有サービスにアクセス 印刷サービス ユーザ ID/ パスワード 写真共有サービス 写真データ

Copyright 2012 Open Source Solution Technology, Corp. 6 OAuth の背景 ユーザ 印刷サービス アクセス権限の委譲の問題点 : 後の使用のために クライアント ( 印刷サービス ) にもパスワードを保存しなければならない リソースサーバー ( 写真共有サービス ) はパスワード認証をサポートする必要がある ユーザと同じ権限のため リソース ( 写真 ) に対する権限を限定できない 情報漏えいのリスクが大きい 写真共有サービス ユーザ ID/ パスワード OAuth 登場写真データ

Copyright 2012 Open Source Solution Technology, Corp. 7 OAuth とは クライアント対してリソースオーナーが同意することで限定されたアクセス権を委譲するための認可のプロトコル パスワードを共有することなく ユーザ ( リソースオーナー ) がクライアントにリソースの使用を許可することが可能になる アクセス権限を限定できる

Copyright 2012 Open Source Solution Technology, Corp. 8 OAuth を利用すると ユーザ アクセス権限の一部を印刷サービスに委譲 限定された権限で写真共有サービスにアクセス 印刷サービス 写真共有サービス 写真データ

Copyright 2012 Open Source Solution Technology, Corp. 9 OAuth での役割 リソースオーナー リソースの所有者です リソースへのアクセスを許可します リソースサーバー リソースを保持するサーバーです 資格情報 ( アクセストークン ) を提示したアクセス要求に応答します クライアント リソースオーナーの代理としてリソースにアクセスするアプリケーションです 認可サーバー リソースオーナーの認証し アクセストークンをクライアントに発行するサーバーです

Copyright 2012 Open Source Solution Technology, Corp. 10 OAuth での役割 ( 例 :Facebook) Facebook ユーザ リソースオーナー Facebook 連携アプリ クライアント Facebook 認可サーバー リソースサーバー

Copyright 2012 Open Source Solution Technology, Corp. 11 OAuth の歴史 2007/10 OAuth Core 1.0 2009/6 OAuth Core 1.0 RevisionA OAuth1.0 2010/4 RFC 5849 The OAuth 1.0 Protocol 2010/4 The OAuth 2.0 Protocol draft-ietf-oauth-v2-00 OAuth WRAP OAuth2.0 2012/3 The OAuth 2.0 Authorization Protocol draft-ietf-oauth-v2-25

Copyright 2012 Open Source Solution Technology, Corp. 12 OAuth1.0 の課題 Eran Hammer 氏の Introducing OAuth 2.0 より 署名と複雑な認証 仕様で求められる暗号化手法が複雑で実装しにくい WEB アプリケーション以外で上手く機能しなかった 策定当初はデスクトップアプリやモバイルデバイスのフローもあったが すべて機能するようにマージした結果 機能しなかった スケールしにくい 捨てられる一時認証情報を保持しておく必要がある クライアントの認証情報とアクセストークンを同時に使用するため 認可サーバーとリソースサーバーを分けにくい

OAuth2.0 では 署名と複雑な認証 独自の暗号化は行わず HTTPSを利用してセキュリティを確保 WEBアプリケーション以外で上手く機能しなかった WEBアプリケーション以外のフローも仕様化された スケールしにくい 長期間有効なアクセストークンを発行するのではなく 一時的なトークンを発行して認可状態を継続できるようになった サーバーは認可サーバーとリソースサーバーに役割が分離された Copyright 2012 Open Source Solution Technology, Corp. 13

プロトコル概要 (OAuth2.0) Copyright 2012 Open Source Solution Technology, Corp. 14

Copyright 2012 Open Source Solution Technology, Corp. 15 基本フロー クライアント リソースオーナー 認可サーバー リソースサーバー 認可リクエスト 認可グラント 認可グラント リソースオーナーから認可を取得する 認可サーバーでクライアントを認証し 認可グラントと引き換えにアクセストークンを取得する アクセストークン アクセストークン アクセストークンを提示してリソースにアクセスする リソース

Copyright 2012 Open Source Solution Technology, Corp. 16 フロー ( 認可コード ) リソースオーナー (& ユーザエージェント ) クライアント認可サーバー リソースサーバー ブラウザ 認可コード クライアントが WEB アプリケーションのケースでは クライアントは認可サーバーを通して認可グラントを取得するフローとなっている 認可コード アクセストークン アクセストークン リソース

Copyright 2012 Open Source Solution Technology, Corp. 17 フロー ( 認可コード ) リソースオーナー (& ユーザエージェント ) クライアント認可サーバー リソースサーバー ブラウザ (D) (A) (B) (C) 認可コード (A) クライアントへのアクセス等 リソースオーナーの操作によりリソースへアクセスする必要性の発生します (B) 認可要求 認可コード アクセストークン アクセストークン クライアントはユーザーエージェントを認可サーバー ( 認可エンドポイント ) にリダイレクトします リソース

Copyright 2012 Open Source Solution Technology, Corp. 18 フロー ( 認可コード ) リソースオーナー (& ユーザエージェント ) クライアント認可サーバー リソースサーバー ブラウザ (D) (A) (B) (C) 認可コード (C) 認可 認可サーバーはリソースオーナーを認証し アクセスの許可 / 拒否をたずねます (D) 認可コード返却 認可コード アクセストークン アクセストークン アクセスが許可された場合 認可サーバーはユーザーエージェントをクライアントにリダイレクトします その際 認可コードを URL に付加します リソース

OpenAM における OAuth Copyright 2012 Open Source Solution Technology, Corp. 19

Copyright 2012 Open Source Solution Technology, Corp. 20 ロードマップ OpenAM10.0 OAuth 認証機能が追加された OpenAM10.1 OAuth プロバイダ機能が追加される

Copyright 2012 Open Source Solution Technology, Corp. 21 OAuth2.0 Authentication Module OAuth に対応しているサービスのユーザで認証できる認証モジュール OAuth2.0 に対応しているサービスの例 Facebook Google Apps Windows Live etc 取得したユーザ情報は設定により様々な取り扱いが可能 データストアの既存ユーザにマッピング匿名ユーザにマッピングセッション情報として保存データストアに保存

Copyright 2012 Open Source Solution Technology, Corp. 22 設定 OAuth プロバイダに OpenAM をアプリケーションとして登録する 例は Windows Live アカウントで認証する際のものです

Copyright 2012 Open Source Solution Technology, Corp. 23 設定 OpenAM の管理コンソールで OAuth 認証モジュールを作成する

Copyright 2012 Open Source Solution Technology, Corp. 24 設定 OAuth 認証モジュールの設定を行う OAuth プロバイダから提供されるクライアント識別子 OAuth プロバイダから提供されるクライアントのパスワード 認可コードを提供するサーバーの URL アクセストークンを提供するサーバーの URL ユーザ情報を提供するサーバーの URL ユーザ情報の要求範囲 例は Windows Live アカウントで認証する際のものです OAuth サーバーから OpenAM へリダイレクトさせる際の URL サーバー名以外は固定

Copyright 2012 Open Source Solution Technology, Corp. 25 設定 OAuth アカウントを OpenAM にマップするクラス OAuth アカウントを OpenAM にマップする際にキーとなる属性 Oauth OAuth アカウント属性を OpenAM にマップするクラス OpenAM にマップする属性 例は Windows Live アカウントで認証する際のものです

Copyright 2012 Open Source Solution Technology, Corp. 26 設定 セッションに OAuth プロバイダから取得した属性を保存するか OAuth プロバイダのプロファイルのうち Email に該当する属性 ユーザがデータストアに存在しない場合に自動でアカウントを作成するか 自動でアカウントを作成する場合にパスワードを設定しアクティベーションコードをメールで送付するか 例は Windows Live アカウントで認証する際のものです

Copyright 2012 Open Source Solution Technology, Corp. 27 設定 存在しないユーザを匿名ユーザにマップするか 匿名ユーザの名称 OAuth プロバイダのログアウトの URL ログアウトの動作を指定 例は Windows Live アカウントで認証する際のものです

Copyright 2012 Open Source Solution Technology, Corp. 28 設定 メールを送信するクラス アクティベーションコードをメールで送信する際に使われるメール設定 例は Windows Live アカウントで認証する際のものです

Copyright 2012 Open Source Solution Technology, Corp. 29 デモ OpenAM にアクセス Windows Live の認証画面へ

Copyright 2012 Open Source Solution Technology, Corp. 30 デモ アクセスの許可を問われる

Copyright 2012 Open Source Solution Technology, Corp. 31 デモ 認証成功 ここでは匿名ユーザにマップしています

Copyright 2012 Open Source Solution Technology, Corp. 32 OAuth 認証の使いどころ OAuth プロバイダは Facebook や twitter といった SNS が多い OAuth 認証モジュールの特徴は OAuth プロバイダのアカウントを OpenAM に取り込める所 不特定多数のユーザを対象としたサービスに向いている 教育機関や企業には SNS との連携は難しい

Copyright 2012 Open Source Solution Technology, Corp. 33 OAuth 認証の使いどころ OAuth 認証を利用すれば OAuth プロバイダがもつ情報を利用できる OpenAM のデータストアに持つ必要がなくなりデータの一元管理が可能になる?

Copyright 2012 Open Source Solution Technology, Corp. 34 参考文献 OAuth Community Site OAuth の仕様 http://oauth.net/ Introducting OAuth2.0 OAuth2.0 策定の背景 http://hueniverse.com/2010/05/introducing-oauth-2-0/ OAuth 2.0 Authentication (Facebook, Google, MSN, etc) OAuth 認証モジュールの概要 https://wikis.forgerock.org/confluence/display/openam/oauth+2. 0+Authentication+%28Facebook,+Google,+MSN,+etc%29

Copyright 2012 Open Source Solution Technology, Corp. 35 参考文献 OAuth 2.0 (Live Connect Developer Center) Windows LiveのOAuthの仕様 http://msdn.microsoft.com/en-us/library/live/hh243647.aspx Scopes and permissions (Live Connect Developer Center) Windows Liveのscopeの仕様 http://msdn.microsoft.com/en-us/library/live/hh243646.aspx

オープンソース ソリューション テクノロジ株式会社 http://www.osstech.co.jp/ Copyright 2012 Open Source Solution Technology, Corp. 36

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック