Presentation is loading. Please wait.

Presentation is loading. Please wait.

OpenID 勉強会 (OpenID Authentication1.1)

Published byしおり ひきぎ Modified 約 7 年前

Similar presentations

Presentation on theme: "OpenID 勉強会 (OpenID Authentication1.1)"— Presentation transcript:

1 OpenID 勉強会 (OpenID Authentication1.1)
2007年10月22日 富士通エフサス)林 正樹

2 OpenIDとは ・2005年秋 Six apart社のBrad Fitzpatric氏によって提唱
・IDとしてURLを利用した、Single sign-on を実現する  認証技術 ・OpenIDの仕様は、openid.net(  OpneID Authentication1.1

3 米国の全国紙 USA Today に掲載 Technology cuts down on Web registrations (2007年3月15日)

4 The State of OpenID Scott Kveton氏(Board Member, OpenID Foundation)から
~120 million OpenID’s (including every AOL and LiveJournal user)

5

6 OpenID Authentication1.1 (Abstract)
・OpenID Authenticationは、End Userが所有しているIdentity URLを証明する方法を提供。 ・誰でもConsumerやIdentity Providerになることが可能  decentralized sign-on system ・JavaScriptや特別なbrowsersを必要としない ・“AJAX”-styleのsetupを使った認証方法が可能。  Consumerのページにアクセスしたまま認証手順が可能 ・profile情報の交換方法については、 拡張機能(Extentions)として仕様策定が進められている。

7 Terminology ・End User: Consumerに対して、自分のIdentityを証明しようとするユーザ
    (Serviceを使うエンドユーザ) ・Identifier:     Identitifier=URL      OpenID Authentication protocolのすべてのフローはEnd Userで、所有してい      るURLを証明することである。 ・Claimed Identigfier:     Consumerによって、未だ確認されていないIdentifier(End UserのURL) ・Vertified Identifier:     End UserがConsumerに証明できたIdentifier (End UserのURL) (IDPと連携してClaimed IdentifierをConsumerが確認したIdentifier) ・Consumer:     End UserがClaimed Identifierを所有しているという証明を必要としているWeb      Serviceである。 (OpneIDの認証に対応したWeb Serviceを提供)

8 Terminology(続き) ・Identity Provider: OpenID認証サーバで、IDP、およびServerと呼ばれている。
    Consumerは、End UserがClaimed Identifierを所有しているという暗号化さ れた証明に対して、コンタクトする相手。     End UserとIDPの認証方法については、 OpenID Authenticaitonの範囲外 ・User-Agent: End Userのweb browser。 特別なPlug-insやJavaScriptは不要。

9 OpenID 認証の仕組み Transforming a HTML Document into an Identifier
・ConsumerがIDPを知る方法 ・Claimed Identifier(URL)が示すHTMLドキュメントに  IDPの情報(タグ)を追加 ・Claimed Identifier(URL)とIDPはhostが別でもかまわない

10 Transforming a HTML Document into an Identifier
End UserのID (Identifier: IDP Identity End UserのIDを証明

11 Transforming a HTML Documet into an Identifier
End UserのID (Identifier: IDP Identity End UserのIDを証明 Claimed Identifier( のHTMLドキュメントに以下のタグを追加 <head> <link rel=“openid.server” href= ・・・ </head>

12 Delegating Authentication
・IDとして、個人のブログなどのURLを利用することが可能 ・ Delegating Authenticationを使うメリット ・OpenIDとして使う Server(IDP)が変わった場合でも  Delegateする相手を変えるだけで、変更を吸収することが  可能 ⇒OpenID Identityを何年も変わらず保持することが可能

13 Delegating Authentication
個人のブログなど IDとしたいURL(Identifier) DelegateされたID IDP /openid/server.bml Identity DelegateされたIDを証明 Claimed Identifier( のHTMLドキュメントに以下のタグを追加 <head> <link rel="openid.server" ref=" <link rel="openid.delegate" href=" ・・・ </head>

14 Smart vs Dumb Mode ConsumerとIDP間の認証手続きの方法 ・Smart Mode
(the highly recommended mode) ・ ConsumerとIDP間で、最初に行われる認証手続 ・共通鍵の生成とセッション保持(state full) ・IDPからの認証結果情報の確認処理に利用 ・Dumb Mode(stateless) ・共通鍵とセッションを保持しない(stateless) ・IDPからの認証結果情報後に、再度認証確認を行う  必要あり  ⇒check_authentication

15 シーケンス User-Agent Identifier consumer IDP ①サービスを利用:Identifier(URL)の入力
Identity ①サービスを利用:Identifier(URL)の入力 ②IDPのロケーションを確認 ③association/共通鍵の生成(optional) (smart mode) ④IDPへの認証要求 ⑤認証手続き(id /passwdの入力、Consumerとの認証手続きの確認 など) ⑥認証結果情報(署名情報など) ★if associated, validation(署名情報) Otherwise check_authentication(dumb mode など) Valid/invalid

16 トレース情報(at User-Agent)
FireFox Identifier Identity IDP Consumer PlaceEngine

17 ①サービスを利用:Identifier(URL)の入力 (User Agent ⇒Consumer)(20)
POST /auth/login HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; ja; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Cookie: _pe_session_id=e851bf379c9a30b62295c64025eed95b Content-Type: application/x-www-form-urlencoded Content-Length: 80 openid_url=http%3A%2F%2Fprofile.livedoor.com%2Fhayashi_masaki&login=Login+%C2%BB

18 ④IDPへの認証要求 (User Agent ← Consumer)(21)
HTTP/ Found Date: Sat, 06 Oct :47:48 GMT Server: lighttpd/1.4.10 Content-Type: text/html; charset=utf-8 Set-Cookie: _pe_session_id=e851bf379c9a30b62295c64025eed95b; path=/ Cache-Control: no-cache location: Connection: close Transfer-Encoding: chunked

19 ④IDPへの認証要求(request) (User Agent ⇒IDP)(29)
GET /openid/server?openid.mode=checkid_setup&openid.return_to=http%3A%2F%2Fwww.placeengine.com%2Fauth%2Fcomplete%3Fnonce%3DfLHNGcbd&openid.trust_root=http%3A%2F%2Fwww.placeengine.com%2F&openid.identity=http%3A%2F%2Fprofile.livedoor.com%2Fhayashi_masaki&openid.assoc_handle= %3AwjZT4Vi9ufygMfQza2oK%3Af2ef1522fb HTTP/1.1 Host: auth.livedoor.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; ja; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Cookie: auth_sid=5df29c4847f0544e3a97108b3e18734a

20 トレース情報 ⑥認証手続 (User Agent ⇒IDP)(56)
POST /login/index HTTP/1.1 Host: member.livedoor.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; ja; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Cookie: mem_sid=ab61ac9455df7e7fc778b9ca0ae1896f Content-Type: application/x-www-form-urlencoded Content-Length: 375

21 next=http%3A%2F%2Fauth. livedoor
%2Fauth%2Fcomplete%253Fnonce%253DfLHNGcbd%26identity%3Dhttp%3A%2F%2Fprofile.livedoor.com%2F hayashi_masaki%26assoc_handle%3D %3AwjZT4Vi9ufygMfQza2oK%3Af2ef1522fb%26trust_root%3D http%3A%2F%2Fwww.placeengine.com%2F&.sv=auth&livedoor_id=hayashi_masaki&password=hayashi

22 ⑦認証結果情報 (User Agent ←IDP)(73)
HTTP/ Found Date: Sat, 06 Oct :48:15 GMT Server: Apache/ (Unix) mod_perl/1.29 Location: Content-Type: text/plain Vary: Accept-Encoding,User-Agent Content-Encoding: gzip Content-Length: 20

23 ⑦認証結果情報(response) (User Agent⇒Consumer)(77)
GET /auth/complete?nonce=fLHNGcbd&openid.mode=id_res&openid.identity= HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; ja; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: Shift_JIS,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Cookie: _pe_session_id=e851bf379c9a30b62295c64025eed95b

24 最後に今後の動向 ・Yadis service protocolを使ったOpneID Authentication2.0の仕様策定が進められている ・現在Draft12 ・IDとして、URLに加えてXRIをサポート ・セキュリティの強化

Download ppt "OpenID 勉強会 (OpenID Authentication1.1)"

Similar presentations

オリジンのはなし. NetAgent Shibuya.XSS Feb 28 2013 What is Origin ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 The Web.

オリジンのはなし. NetAgent Shibuya.XSS Feb What is "Origin" ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 "The Web.
情報の交換・共有・蓄積を目的とした GIS リモートコミュニケーションシステム の実装 Sho Otake Graduate Department of Computer and Information Systems The University of Aizu 1 Hirohide Demura,

情報の交換・共有・蓄積を目的とした GIS リモートコミュニケーションシステム の実装 Sho Otake Graduate Department of Computer and Information Systems The University of Aizu 1 Hirohide Demura,
Nov 14 2013 Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー 技術顧問  Microsoft.

Nov Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー 技術顧問  Microsoft.
Web アプリケーション開発入門 大岩研究会 今野隆平 2002 年 5 月 9 日 Introduction to Web Application Development.

Web アプリケーション開発入門 大岩研究会 今野隆平 2002 年 5 月 9 日 Introduction to Web Application Development.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.

1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
EPnetFaN (2014/02/28) EPWWW サーバ 2013 北海道大学大学院 理学院宇宙理学専攻 修士 1 年 渡辺 健介.

EPnetFaN (2014/02/28) EPWWW サーバ 2013 北海道大学大学院 理学院宇宙理学専攻 修士 1 年 渡辺 健介.
IIS 4.0で開発をするコツ Webアプリケーション構築.

IIS 4.0で開発をするコツ Webアプリケーション構築.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).

メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―

サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―
ブロークンロジック:テストサイトの謬見 Broken Logic: The Test Site Fallacy

ブロークンロジック:テストサイトの謬見 Broken Logic: The Test Site Fallacy
WWW のおはなし 神戸大学理学部地球惑星科学科 4 回生 佐伯 拓郎 (地球および惑星大気科学研究室) 藤田 哲也 (宇宙物理学研究室)

WWW のおはなし 神戸大学理学部地球惑星科学科 4 回生 佐伯 拓郎 (地球および惑星大気科学研究室) 藤田 哲也 (宇宙物理学研究室)
神戸大学理学部地球惑星科学科 4回生 柏本 光司

神戸大学理学部地球惑星科学科 4回生 柏本 光司
情報基礎A 情報科学研究科 徳山 豪.

情報基礎A 情報科学研究科 徳山 豪.
スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト

スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト
経済学のための情報処理 はじめに.

経済学のための情報処理 はじめに.
The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用

The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用
Kyoto Tycoonのご紹介 FAL Labs info@fallabs.com.

Kyoto Tycoonのご紹介 FAL Labs
東京大学情報基盤センター 学術情報研究部門 助教 清田 陽司 (兼 株式会社リッテル 上席研究員)

東京大学情報基盤センター 学術情報研究部門 助教 清田 陽司 (兼 株式会社リッテル 上席研究員)
Webアプリケーションの 通信メカニズム WEBアプリ研究プロジェクト 第2回.

Webアプリケーションの 通信メカニズム WEBアプリ研究プロジェクト 第2回.
富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人

富士ソフト株式会社 IT事業本部 テクニカルC&C部 小川直人

Similar presentations

Ads by Google