読者です 読者をやめる 読者になる 読者になる

heki1224の適当な日記

技術知識を忘れないように書き留めておくブログ

idcon 15thに行ってきました

本日、日本のID厨が集まることで有名なidconが行われました。
募集に間に合って、うまく潜り込む事が出来たので
会場で取ったメモを公開しておきます。
ちなみに一部オフレコがありましたので、その部分はありません。

概要

タイトル idcon 15th ~ YConnect & Future of Authentication ~
日時 2013年02月01日(金) 19時00分 - 21時00分
参加費 無料
開催場所 ヤフー株式会社 東京ミッドタウン・タワー11F
参加者 205人
サイト http://idcon.doorkeeper.jp/events/2448

講演内容

3つのプレゼンとパネルディスカッションがありました。
プレゼンはust中継あり。
パネルディスカッションはustなし。オフレコあり。

Andouroid Android OSのカスタマイズによるアプリ間統合認証の実現

ヤフー株式会社 安藤 義裕

・自己紹介

・はじめに
個人の趣味でやってます。

・デモ
アプリ間でのシングルサインオン
 1. Yahoo! ブラウザアプリを起動
  ⇒Yahoo! メールにログイン
 2. Yahoo! メールアプリを起動
  ⇒ログイン済み状態
検索、ウィジットは全てYahoo!のものに置き換えてる

・デモのポイント
アプリ間でのシングルサインオン
WebKitの改造
 WebKitから操作できるトークンストレージを実装
 アプリからWebKitを使う時にトークンストレージからトークンを読む
⇒トークンストレージの実装
 アンドロイドが使うDB(android.db)の権限を変更する
  yahoo:yahooというユーザ、グループを追加する
⇒Yahooアプリをインストールする時の処理を追加
 Yahooアプリを追加する時にアプリを使用するユーザを
 yahooグループに追加する

・認証情報の共有
Androidにおけるデータ共有の方法
いろいろあるよ
 基本はそのアプリだけが使うデータ
 全てのアプリが使うデータ
の2種類

・なぜカスタマイズ?
⇒Yahoo!のアプリだけ共通のデータを扱いたい

・デバイス時代のID
OpenID Phoneなんてあればいいよね。

・質問
Q. どうやってYahooのアプリって認識してるの?
A. 実はパッケージ名 ⇒ NG
独自マーケットでシグニチャ管理するしかないと思ってる

Q. ストレージに保存してるものって何?
A. クッキー

Yahoo! JAPANのOAuth/OpenIDに代わる新しい認証認可機能 〜YConnect〜

ヤフー株式会社 河内 俊介

・自己紹介

・YConnectとは?
OAuth 2.0準拠、OpenID Connectをサポート。
2011年末 設計開始
2012年9月 パートナー企業公開

OpenID Connect サポート範囲
 Basic Client Profile
 Implit Client Profile

社内アプリに対応拡大中

ユースケース
Yahoo! JAPAN IDでログインできる
Yahoo!が持つリソースの提供(API形式)
⇒ウォレット、オークション、知恵袋
Yahoo!が持つ属性情報の提供

・導入構成図事例
⇒Webアプリ
 id_token
 access_token
 refresh_token
⇒クライアントアプリ
 id_token
 access_token
⇒Password Credential
 UUIDとYIDをひもづける

・ちょっとした裏話
YConnectは日本でフルスクラッチ
 ⇒今まではアメリカのローカライズ
全WebAPIのSSL
 ⇒ワイルドカードの証明書で対応
翻訳プロジェクトへの参加

Appleからのreject事例
 課金リンクをアプリ内のWebViewに置く
 アプリからSafariを使ってログイン

認証PFがバラバラだったのをYConnectで統合できた

・今後について
機能拡張
 PPID
 OTP対応を検討中
 シングルログアウト(セッションマネジメント)
 
IDの質向上
 

C向けサービスで2要素認証を普及させるためにできること

株式会社ミクシィ 伊東 諒

・自己紹介

・去年話題になった認証周りのネタ
 パスワード管理
 ログイン画面のURL:HTTPSアタリマエ
 2要素認証:Gmail

・現状と課題
金融系、ゲームなどでは以前から普及
ユーザ数の多いサービスも実装
 実装方法:ワンタイムパスワードが流行り
 ID/PW認証+αをオプションで提供
 脆弱生や課題については黙認状態

・こんなつぶやきをよく見かける
「○○も2要素認証に対応してほしいな」

・普及への課題
ついてこれないユーザ
 ⇒サービスごとの設定はめんどくさい
導入しにくいプロトコル
 ⇒POP/IMAP/SMTP/XMPP
 ⇒認証とリソースアクセスの強い結びつき

OpenID Connectを使おう
 OPに集約(でかい認証プロバイダにくっつく)
 アクセストークンを利用して認証とリソースアクセスを分離

OpenID Providerがやるべきこと
⇒「認証強度の見える化」
"acr"
対応する認証強度の開示
認証したユーザの認証強度を提供
求められる認証強度をRPに指定させる

Relying Partyがやるべきこと
 自らのサービス・ユーザアクションに求められる認証強度を意識する
 適切なタイミング、強度で再認証を要求する

残る課題
 2要素認証を採用しないOPはオワコン
 1ユーザ、1OPの風潮
 ID/PW + αでは組み合わせにくい?

追加認証に特化した認証プロバイダ
 RP側が既存OPとの組み合わせ
 Trustが重要
 物理デバイス、生体認証などの可能性

まとめ
最大の課題はめんどくさい
OpenID Connectは重要
追加認証に特化した認証プロバイダがいてもいいんじゃない?

つくってみた
https://2ndauth.openidconnect.info
Google Authenticatorを使う
 ユーザ単位にSecret生成
 設定用のQRコード生成

リモートログアウト
 現在アクティブなセッションを一元管理
 手元で別の端末をログイン

OpenID Connect Session Management
 OPのログアウトをRPから検知するための仕様
 AuthZ Responseにセッション識別子
 iframe + postMessage

組み合わせてみる

作ってみて思ったこと
 確認済みメールアドレスは便利
 Google Authenticatorは簡単

パネルディスカッション「スマデバ時代ぼくらは幾つパスワードを使うのか」

 ヤフー株式会社 セントラルサービスカンパニー 技術調査室 室長 楠 正憲 氏
 米国・OpenID Foundation 理事長 崎村 夏彦 氏
 独立行政法人 情報処理推進機構 神田 雅透 氏
 セコム株式会社 IS研究所 松本 泰 氏
 OpenID Foundation Japan 事務局長代行 高橋 伸和 氏

"SSL/PKIはなぜ危機に陥ったのか"
"二要素認証やバイオメトリクスは流行るのか"
"僕らは10年後いくつのパスワードを使い分けてるのか"
"スマデバで普通に使えるアクセス管理へ向けた課題を展望する"