OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて

OpenIDファウンデーション・ジャパン
Enterprise Identity WG
八幡孝（株式会社オージス総研）
氏縄武尊（株式会社オージス総研）
上田尊教（エクスジェン・ネットワークス株式会社）
Enterprise Identity WG 成果報告会
OpenID ConnectとSCIMによる
エンタープライズでのID連携活用に向けて

Enterprise Identity WG / 技術TF リーダー
八幡孝（株式会社オージス総研）
OpenID ConnectとSCIMによるエンタープライズでの
ID連携活用に向けて
相互運用性確保のための認証基盤
実装上の考慮点

Copyright © 2015 OpenID Foundation Japan. All Rights Reserved. 3
OIDF-J EIWGって？
 OpenIDファウンデーション・ジャパン (OIDF-J)
 国内におけるOpenID関連技術の普及・啓蒙のための活動を行なっています。
 Enterprise Identity WG (EIWG)
 エンタープライズIT市場でOpenID ConnectやSCIMなどの仕様をベースとし
た、IDフェデレーションやIDプロビジョニングの普及を推進し、新たなビジ
ネスの創造・展開を図ることを目的に活動を行なっています。

EIWGのこれまでの活動成果
 「OpenID ConnectとSCIMのエンタープライズ利用
ガイドライン」を公開（2013年12月）
 エンタープライズITでのOIDC/SCIMの有用性
 日本のエンタープライズITへの適用

EIWGの現在の活動
 ビジネスモデルタスクフォース
 エンタープライズITとクラウドサービスが連携すること
で、Win-Winとなれる連携モデルの検討
 技術タスクフォース
 エンタープライズITとクラウドサービスの連携を進める
ためのサンプル実装の作成、技術課題の検討

技術TFの活動テーマ
 エンタープライズITとクラウドサービスを相互連携するため
のOIDC OP/RPおよびSCIMのサンプル実装を行なう。
 実装により明らかとなった課題と解決策をまとめる。
 以上の結果を「OpenID ConnectとSCIMのエンタープライ
ズ実装ガイドライン」としてまとめ、発行する。

技術TF 活動ロードマップ
2014年4月 7月 10月 2015年1月 4月 7月
ID&IT2014 ▲ 9月ガイド発行 ▲▲ キックオフ
各メンバーでの
サンプル実装実行
相互運用上の
技術課題洗い出し
相互運用技術課題
対応の検討
中間
まとめ
実装サンプル
範囲・仕様検討
相互運用性
検証・評価
課題対応検討
実装サンプル
実装
EIWG内
レビュー
実装ガイド執筆

エンプラでのID連携活用

エンプラITを取り巻く状況
 クラウドサービスの利用が拡大
 ユーザーが使うデバイスが多様化
 ネイティブ、SPAなどへの対応
 多様なワークスタイルの出現
 いつでもどこでも使えるITの提供

エンプラ認証基盤の目指す方向性
 フェデレーション技術への対応
 クラウド向けID管理技術への対応
 JSON/RESTベースの認証技術への対応
OpenID Connect, SCIMへ対応していく必要がある

技術標準化の状況
 OpenID Connect 1.0
 2014年2月にローンチ
 SCIM Core Schema, SCIM Protocol
 RFC化まであと一歩

エンプラにおけるID連携の現状
ID管理サーバー
(個別実装)
アプリ
(SAML SP)
認証サーバー
(SAML IdP)
Firewall
利用企業クラウドサービス
ID管理 I/F
(個別実装)
 異動に基づく定期的な
アカウントプロビ
 エンプラの認証サーバー
からの認証連携
具体的な取り決めがない
利用企業側に実装負担大
 セッション管理はクラウド
サービスの仕様に依存
 E-mailアドレスを使ったア
カウント紐付けが一般的
 クラウドサービスが提供
する独自の方式を要求
（CSV, 専用ツールなど）

OIDC/SCIMによるID連携の基本構成
ID管理サーバー
(SCIM Client)
アプリ
(OIDC RP)
認証サーバー
(OIDC OP)
Firewall
利用企業クラウドサービス
ID管理 I/F
(SCIM Server) 異動に基づく定期的な
アカウントプロビ
 エンプラの認証サーバー
からの認証連携
 セッション管理はクラウ
ドサービス側の責務

サンプル実装のターゲット
ターゲット実装対象
OIDC OP エンプラでOPを実装するた
めのサンプルとする。
 OpenAM
 TrustBind Federation Manager
 スクラッチ開発 (Ruby)
OIDC RP サービス事業者がRPを実装
するためのサンプルとする。
 スクラッチ開発 (Ruby) : 実装ポイントを
説明するための簡易実装を行なう
 mod_auth_openidc : 既存のアプリをRP
対応するゲートウェイ型実装サンプル
SCIM Server サービス事業者がID管理の
受け口としてSCIMを実装す
るためのサンプルとする。
 スクラッチ開発 (Java) : SCIM2.0仕様で
実装する。

サンプル実装を用いた相互運用性の検証
OIDC OP
(OpenAM)
OIDC OP
(TrustBind)
OIDC OP
(Rubyスクラッチ)
OIDC RP
OIDC RP
(mod_auth_openidc)
SCIM Server
(Javaスクラッチ)
AWS管理用ノード
検証環境 on AWS
ユーザー
マスタCSV
フェデレーション
（ユーザー識別情報の連携）
ユーザー属性
情報の取得
SCIMを
使った更新
CSV配布・
取り込み

実装ガイドが目指すところ
 OpenID Connect, SCIMの標準仕様に基づいて
 最低限実装すべき事項と、実装方法を提示
 クラウド事業者と利用企業がそれぞれ実装
 エンプラとクラウドサービスの相互接続を実現

[OIDC] 対応する認証フロー
 Implicit Flow への対応
 利用企業の認証サーバーがファイアウォール内に設置され
る場合に対応
 署名検証用のJWKドキュメントをどう渡すか？
 ○ jwks_uri を提供
 △ クラウドサービスの管理用UIを使って定期更新

[OIDC] 認証フローの開始方法
 RP起動のログイン
 利用企業専用ログイン画面パターン
 共通ログイン画面パターン
 OP起動のログイン
 login_hint, target_link_uriへの対応

[OIDC] ID Tokenに含めるsubの値
 従業員番号
 E-mailアドレス
 再割り当てがない専用の識別子
企業での運用ルールで
再割り当てがないことが
保証できる場合

[OIDC] その他考慮点
 認証フローの中でのユーザー同意画面の扱い
 ユーザーに再認証を求める場合のフローの定義
 認証エラーが発生した場合の振る舞い

[SCIM] 最低限実装すべきエンドポイント
 User
 GET(参照), POST(作成), PUT(更新), DELETE(削除)
 認証方法
 最低限Basic認証に対応
 より安全な方式についても言及を予定

[SCIM] 最低限対応すべき属性
基本属性 SCIMスキーマ (*1)
従業員番号 employeeNumber
名前（姓・漢字） name.familyName
名前（名・漢字） name.givenName
名前（姓・ひらがな） localName.familyNameReading (*2)
名前（名・ひらがな） localName.givenNameReading (*2)
メールアドレス emails
組織コード（主務） orgUnitCode (*2)
組織名（主務） orgUnitLocalNameValue (*2)
役職コード（主務） titleCode (*2)
役職名（主務） titleLocalNameValue (*2)
電話番号 phoneNumbers
有効フラグ active
識別子（ID Tokenのsubの値） externalId
*1: SCIM Core Schema 2.0 draft-22
の項目名で整理
*2: 専用の拡張リソースを定義して使用
する属性。この拡張リソースは実装
ガイドに掲載予定。

[SCIM] セッション強制停止の要求
 デバイスの紛失等の理由で、ユーザーのセッションを
強制停止したいケースへの対応
 利用企業側よりアカウント無効化→アカウント再有効化
と操作
 クラウドサービス側は、アカウント無効化時にユーザー
セッションを破棄する

EIWG活動の今後の予定
25

9月上旬にガイドラインを公開予定
 「OpenID ConnectとSCIMのエンタープライズ利用
ガイドライン」（改訂版）
 「OpenID ConnectとSCIMのエンタープライズ実装
ガイドライン」

株式会社オージス総研
テミストラクトソリューション部
氏縄武尊
OpenAMとmod_auth_openidcを用いた
OpenID Connectの実装例

OpenAMとmod_auth_openidcについて
 OpenAM (OpenID Provider / OP)
 ForgeRock社が開発元でCDDLライセンスのOSS
 SSO認証ソフトウェア
 mod_auth_openidc (Relying Party / RP)
 Ping Identity社が開発元でApacheライセンスのOSS
 Apache認証/認可モジュール

サンプル実装を用いた相互運用性の検証
OIDC OP
(OpenAM)
OIDC OP
(TrustBind)
OIDC OP
OIDC RP
OIDC RP
(mod_auth_openidc)
SCIM Server
(Javaスクラッチ)
AWS管理用ノード
検証環境 on AWS
ユーザー
マスタCSV
フェデレーション
（ユーザ識別情報の連携）
ユーザ属性
情報の取得
SCIMを
使った更新
CSV配布・
取り込み

相互運用性検証の前提
 OpenID Connect に関する設定
 認証フロー: Implicit Flow
 署名アルゴリズム: RS256
 OPからRPに連携したいユーザ情報
 ログインID(社員番号): subクレームで渡す
 メールアドレス: emailクレームで渡す

OP,RPの設計
mod_auth_openidc
release 1.8.3
op.example.com rp.example.com
OpenAM
OpenAM 12.0.0 Build 11961
(2014-December-17 21:16)
・redirect_uri
https://rp.example.com/
example/redirect_uri
・well-knownエンドポイント
https://op.example.com/openam/
.well-known/openid-configuration
・client_id
eiwg_client
・client_secret
dWppNTI

設定のステップ
 1.OpenAMをOPにする
 2.OpenAMにRPの登録をする
 3.RPの設定をする

1.1 OpenAMをOPにする

1.2 署名アルゴリズムの設定をする
必要なアルゴリズムの追加
・RS256の追加

2.1 OpenAMにRPを登録する
 「新規」からクライアント追加
 名前:client_id
 パスワード:client_secret
(Implicit Flowでも設定は必要)

2.1 OpenAMにRPを登録する

2.2 リダイレクトURIの設定
 RPのRedirectUriを設定
(https://rp.example.com/example/redirect_uri)

2.3 スコープの追加
 emailの追加

2.4 署名アルゴリズムの登録
 RS256と記述

3 RPの設定
LoadModule auth_openidc_module modules/mod_auth_openidc.so
OIDCProviderMetadataURL https://op.example.com/openam/.well-
known/openid-configuration
OIDCClientID eiwg_client
OIDCClientSecret dWppNTI
OIDCIDTokenSignedResponseAlg RS256
OIDCRedirectURI https://rp.example.com/example/redirect_uri
OIDCResponseType "id_token token“
OIDCScope "openid email"
OIDCSSLValidateServer on
OIDCCryptoPassphrase cGFzc3dvcmQNCg
<Location /example/>
AuthType openid-connect
Require valid-user
</Location>
httpd.conf
 OPの情報を登録
 well-knownエンドポイント
 RPの情報を登録
 ClientID
 ClientSecret
 署名アルゴリズム
 OPへのリクエストの情報
 RedirectURI
 ResponseType
 Scope
 example以下にアクセスした際にRPとして動作

3.1 OPの情報の登録
Require valid-user
</Location>
httpd.conf
 ClientID
 ClientSecret
 RedirectURI
 ResponseType
 Scope

3.2 RPの情報を登録
Require valid-user
</Location>
httpd.conf
 ClientID
 ClientSecret
 RedirectURI
 ResponseType
 Scope

3.3 OPとの連携のための設定
Require valid-user
</Location>
httpd.conf
 ClientID
 ClientSecret
 RedirectURI
 ResponseType
 Scope

認証の流れと連携される情報
①アプリに
アクセス
⑤コンテンツの取得
②OPへリダイレクト
(ID Token要求)
③ID/PW 入力
Open AM
(OP)
④RPへリダイレクト
(ID Token受渡)
③
④
表示したいコンテンツ
mod_auth_openidc
(RP)

Copyright © 2015 OpenID Foundation Japan. All Rights Reserved.
RPのコンテンツで取得したヘッダ情報
 COOKIE
 mod_auth_openidc_session
▪ OpenID Connectの認証Cookie
 OIDC_CLAIM_XXX
 各種クレームの情報が
HTTPヘッダーとして連携される
 ログインIDはsub値で連携される
/example/PrintHeader
(RequestHeader表示アプリ)
47

Enterprise Identity WG / 技術TF
上田尊教 (エクスジェン・ネットワークス(株))
Java Servlet による
SCIMサーバの実装例

実装のポイント(実装前に決めておくこと)
 プロビジョニング対象として扱う情報
 SCIMスキーマの設計
 提供する操作
 対応するSCIMオペレーション(GET,POST,PUT,PATCH,DELETE)
 認証/認可方法
 HTTP Basic, OAuth2 Bearer など

実装のポイント
プロビジョニング機能として提供するSCIMの仕様は、クラウドサービス利用企
業(クライアントの開発者)に対して公開する必要がある。
●Base URI＆各エンドポイント
●認証(認可)方法
●スキーマ情報
●具体的な操作方法

実装例
今回、実装検証用に作成したSCIMサーバの実際のソースコードに沿って
具体的なポイントを解説。
●開発環境はeclipse
●TomcatアプリケーションのJavaサーブレットとして実装
●JSONの解析はJacksonを利用
●リソース情報はオンメモリで保持
●ユーザ検索(GET)/追加(POST)/更新(PUT)/削除(DELETE)を実装

OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて

OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (13)

Similar a OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて

Similar a OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて (20)

Último

Último (11)

OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて