OpenID Connect Tech Summit Transfer of Information

Identity Conference #10

November 4, 2011

Google, Inc | Roppongi Hills Mori Tower, Tokyo, JAPAN

@kthrtty

所属：野村総合研究所

Digital Identityに関するビジネス企画および、ソリューションの企画・営業・開発・保守・運用

某メデゖゕのID連携/会員管理システム周り

某通信事業者のOpenID/Oauth対応ネタ

某省庁関連 調査・パロットプロジェクト

某生活財メーカーWebのOAuth2.0認可サーバ化

Notice

Idcon参加は7回目

@nov さんを中心に多くの方と協力して OAuth 2.0 最新版邦訳 @ GitHub やってます！

idcon#10はじまるよー。

入口のGoogle Earthフライトシュミレータやりたい！

Tatsuya Katsuhara

やべー、会社のお金で出張したのにまだ全然報告してないわー。怒られるわー。

はじめに

Idconに集まるIdentity Geeksもきっとそんな感じですよね(> <)

それでも来たいIdcon

Today’s topics

• Summary of OpenID Connect Summit

– Spec update and result of Interop

– Google Account Chooser

• Street Identity

Connect Summit Day 1 12:00-12:20 – Welcome Don Thibeau, Executive Director, The OpenID Foundation

12:20-1:00 – Overview and Update of OpenID Connect and OAuth 2.0, Mike Jones, Microsoft, Director of Identity Partnerships

1:00-3:00 – OpenID Connect Spec development (Working Group Review led by Allen Tom and Mike Jones)

–Timing goals for ratification

–Core protocol

–Dynamic RP registration and IDP discovery

–Claims

–Session Management

–Artifact Binding

–US Government OpenID Connect profile

3:20-4:00 – Open time for Technical Interop, Allen Tom & Mike Jones

4:00-4:40 – OpenID Connect: Building Test Infrastructure, Roland Hedberg

4:40-5:00 – Wrap-up, Don Thibeau, Executive Director, The OpenID Foundation

Day 2 10:00-10:20 - Welcome

Don Thibeau, Executive Director, The OpenID Foundation

10:20-11:00 - Feedback Review OpenID Connect Mike Jones, Microsoft and Allen Tom, Directors, The OpenID Foundation

11:00-11:40 - Overview and Update of Account Chooser. Scott David, K&L Gates, Basheer Tome, Independent & Eric Sachs, Google

11:40-12:20 – Migrating Users to Identity Providers From Email/Password Logins”. Eric Sachs, Google, Product Manager

1:00-1:40 – Microsoft as an RP and IDP, Speaker (TBD)

1:40-2:20 – Way Beyond Single Sign On, Greg Keegstra, Janrain

2:20-3:00 – The Value Proposition for OpenID Connect & Account Chooser in the Enterprise, Pam Dingle, Ping Identity

3:20-4:00 – Open Identity and Online Adoption, A discussion on trends in the adoption of social login among online businesses. Patrick Salyer, Gigya

4:00-4:40 – OpenID Connect & UMA Synergies, OpenID Connect and User-Managed Access (UMA) solve interestingly complementary problems. This session will explore use cases and proposals for combining them. Macie Machulak

4:40-5:00 - Wrap up Don Thibeau, Executive Director, The OpenID Foundation

OpenID Connect in 5minuites

OpenID

Connect Allen Tom

Andy Wu

Tony Nadalin

Mike Johnes Eric Sachs

David Recordon

Pamela Dingle

Chuck Mortimore

John Bradley

Nat Sakimura

Don Thibeau

OpenID Connect in 5minuites

• OAuth 2.0はクラゕントがユーザの代理(UserAgent)として保護リソースにゕクセスする標準的な方法を規定する。

• OpenID ConnectはOAuth2をベースに、「認証結果・コンテキスト情報・属性情報」を流通させる標準的なAPI群を規定する。

OpenID Connect in 5minuites

https://www.pingidentity.com/blogs/pingtalk/index.cfm/2011/8/15/OpenID-Connect-New-and-Groovy

OAuth2

認可EP

OAuth2

トークンEP

OAuth2

保護リソース

OAuth2

保護リソース Connect

IDトークン返却

Connect

UserInfo EP

Connect

CheckID EP

OpenID Connect in 5minuites • Basic Client Profile

– OAuth 2.0 / Implicit Grant

– UserInfo Endpoint

• Standard

– OAuth 2.0 / Implicit Grant, Authorization Code

– UserInfo Endpoint

• Messages

– Abstract Messaging

– Complex Claims Model

• Claims Aggrigation

• Distributed Claims

• Encrypted Claims

• Discovery

– Endpoint Discovery

– Web Finger(Email)

• Dynamic Client Registration

• Session Management

• Base Specification

– OAuth2.0

– JSON Web family

• JSON Web Token

• JSON Web Signature

• JSON Web Encryption

• JSON Web Key

– Simple Web Discovery

OpenID Connect in 5minuites

Result of Interop • Almost all

implementations are complied with “OpenID Connect Standard”.

• and doesn’t include – JSON Web Encryption

– Dynamic Client Registration

– Discovery

– Session Management

– Complex Claim Model • Claims Aggrigation

• Distributed Claims

• Encrypted Claims

Implemented

Result of Interop

RP＼IdP Nov’s IdP

@nov

Ryo’s IdP

@ritou

NRI

Tokyo’s

IdP

Edmond’s

IdP

Google

IdP

Nov’s RP o o o o o

Ryo’s RP o o o o o

NRI

Tokyo’s RP o o o o o

Edmond’s

RP

o

o

o

o

o

JanRain

RP - - - - o

ちゃんとした説明は別の機会に誰かがやってくれるはず

Got it?

Stay tuned for further updates!

• OpenID Connect – Introduction@OpenID Foundation

(http://goo.gl/wXiB8)

• OAuth 2.0 – Spec@IETF (http://goo.gl/L6IjM)

– OpenID Foundation Japan翻訳WG (http://goo.gl/PycId)

– 過去のIdcon、SocialWeb Conferenceの資料

• Json Web Family – Spec@IETF (http://goo.gl/6ttJY)

– Spec@selef-issued.info (http://goo.gl/wJOPV)

Account chooser by Eric Sachs@Google

Merging best practice(NASCAR)

https://docs.google.com/present/view?skipauth=true&id=ajkhp5hpp3tt_103f25dn5hf

この話はもう終わったので軽く流しますね！

会場に居るひとにしか分からないけれど

NASCAR problem?

• 外部IDでログンできるという価値観は、ここ数年で急速に浸透してきた。

• で、ログンするための外部IDを、どのようにユーザに選択させるのだろうか。

• IdPの数だけロゴ並べる？キリがないよ？使いづらいよ？

• どうしよう！考えよう！

Finding an optimal solution

• OpenID (ボタン押す？IdP名入力する？)

• Webfinger (メールゕドレスからIdP発見）

• InCommon (SAMLのDiscovery Service)

• InfoCard (IDカードを選択するメタフゔー)

• Operating System (多様なログン画面)

• 著名なWebサト (Yahoo,…, Google)

OpenID

Webfinger

InfoCard

注）画像はMicrosoft実装のCardSpace

InCommon

Yahoo!

Windows

Mac OS

ChromeOS…?

Solved…!?

Check it out!

• Google Identity Toolkit

– Account Chooser

• http://accountchooser.com

– Account Chooser Demonstration

• https://account-chooser.appspot.com/

Street Identity by Maciej Machulak@UMA, Google(Intern)

住所情報に代表されるようなオフランの属性とオンランのゕデンテゖテゖを結びつけるという考え方

Street Identity?

Street Identity Today

Stanford

Hospital Home

Post Office

診療

記録

3. 診療記録の申請

(入力：名前／住所)

4. 住所宛にコード(PIN)を

郵送(住所確認) 5. コード(PIN)の受け取り

6. コード(PIN)の入力

7. 診療記録の提供

1. 異国で受診 2. 本国に帰宅

$$$

Street Identity Tomorrow

Stanford

Hospital Home

Attribute

Provider

診療

記録

3. 診療記録の申請

（IdPの指定）

9. 診療記録の提供

Identity

Provider

0. 事前にIdPとAPを紐付け

4. token要求 5. 認証と同意

6. token返却

7. 住所要求 w/ token 8. 住所情報

1. 異国で受診 2. 本国に帰宅

$$$

でも、時間がなさそうなので割愛。

DEMO

https://sites.google.com/site/streetidentitylmnop/workinggroup/demo1

Street Identityを実現するための要素技術（と思っているもの）はこちら。

派生ネタ

これが揃えばかなり良い • パスワードに頼った認証からの脱却

– 高ユーザビリテゖ、NIST SP800-63 LoA2な多要素認証

• キャリゕによる対タンパ性のある認証

– さようなら、個体識別番号

– Introduction of Bridging IMS and Internet Identity • http://goo.gl/FHC7v

• OAuthベースのUser Managed Access(UMA)

– 認可サーバと保護リソースの分離

– 情報セキュリテゖ技術動向調査（2010 年上期）UMA • http://goo.gl/Q4IxH

• Trust Framework(Open Identity eXchange)

– 米国NSTICの要

ATTRIBUTE EXCHANGE SUMMIT @

WASHINGTON, D.C. (NOV 9-10)

仕様策定中らしいのでますます盛り上がる予定

最後に感想

• カンフゔレンスの開始時に参加者全員が自己紹介。

• Interactive(Interrupt, interrupt and interrupt) – ンタラクテゖブな会議。

– スラド短くて、割り込み多い。

– 国柄？土地柄？人柄？

• @_natさん大変そう – 意外に適当（その場で作っていく）＆ムチャぶり

– それぞれ（各社）思惑うずまいてる？（かもね）

ありがとうございました。

おしまい