TOP /  セキュリティ/認証 /  モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方)

モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方) | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方)  (株式会社オージス総研 八幡 孝)

標準技術であるOpenID Connect, OAuth を用いて認証・アクセス管理を実現する際の方式と押さえどころについて解説します。

APIエコノミー実践:API公開に必要なプロセスとプラットフォーム  (株式会社オージス総研 齋藤 伸也)

API公開を進めるにあたっての課題とクリアに必要なプロセスとプラットフォームを事例をまじえご紹介いたします。

モバイル、オープンAPIを活用するための認証基盤の実装例  (株式会社オージス総研 氏縄 武尊)

標準技術であるOpenID Connect、OAuth を活用した、モバイル、オープンAPIを活用するための認証基盤について、当社の統合認証プラットフォーム ThemiStruct (テミストラクト)Identity Platformを用いた実装例についてご紹介します。

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.2 でした!(5点満点中)
セミナー名 モバイル、オープンAPIを活用するための認証基盤(標準技術 OpenID Connect、OAuth 適用の考え方)
講演企業 株式会社オージス総研 、株式会社オージス総研 、株式会社オージス総研
開催日 2017年11月28日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
若干、専門性が高い内容となっていたので、少々難しかった
匿名の参加者
講師の説明が上手く参考になりました。
匿名の参加者
コメントなし
匿名の参加者
他のプラットフォームと比較がなされ、利点・メリット等の紹介があったら、良かったと思います。
匿名の参加者
良い情報収集ができました。
匿名の参加者
技術的内容は高度で良かった。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
期待以上に有益でした。ありがとうございました。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
受講の前提条件が予想より高かった
匿名の参加者
コメントなし
匿名の参加者
満足した点 フレームワーク、ユースケース、実装とそれぞれのテーマでわかりやすかった。 物足りない点 サードパーティに特化した話が聞きたい。セキュリティ面の話がもっと聞きたかった。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
クライアントやアプリの種別による認証の使い分け方、実装例などがわかりやすかった
匿名の参加者
テミストラクト知らなかったので、調べてみます。
匿名の参加者
コメントなし
匿名の参加者
期待通りの内容で、良かったです。 金融APIについて、もう少し詳しく聞きたかったです。
匿名の参加者
コメントなし
匿名の参加者
IoT関連セミナーをお願いします。
匿名の参加者
齋藤様のお話しは、とても勉強になりました
匿名の参加者
API認証基盤の概略を把握できました。 関連する情報が非常に多く、広い調査勉強していく必要があると改めて認識しました。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
難しい話を分かりやすい構成・説明でお話頂き、ありがとうございました。
匿名の参加者
細かく説明されておりとても良かったと思います。 認証とAPIとの実装には色々な難しさがあるとわかりました。
匿名の参加者
ネットや書籍では、API認証の情報は、公開されていることが少ないように感じます。今回有益な情報を得られました。

モバイル、オープンAPIを
活用するための認証基盤
(標準技術 OpenID Connect, OAuth 適用の考え方)
株式会社オージス総研
サービス事業本部 テミストラクトソリューション部
八幡 孝
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
1
自己紹介
株式会社オージス総研
統合認証ソリューション担当
OpenAMコンソーシアム
副会長
八幡 孝
© 2017 OGIS-RI Co., Ltd.
OpenIDファウンデーション・ジャパン
Enterprise Identity WG
リーダー
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
2
オージス総研です
株式会社オージス総研
代表者: 代表取締役社長 西岡 信也
設 立: 1983年6月29日
資本金: 4.4億円 (大阪ガス株式会社100%出資)
事業内容: システム開発、プラットフォームサービス、
コンピュータ機器・ソフトウェアの販売、
コンサルティング、研修・トレーニング
主な事業所
本 社:
東京本社:
千里オフィス:
名古屋オフィス:
大阪府 大阪市西区千代崎3-南2-37 ICCビル
東京都 港区港南2-15-1 品川インターシティA棟
大阪府 豊中市新千里西町1-2-1
愛知県 名古屋市中区錦1-17-13 名興ビル
売上実績: 642.8億円(連結) 371.3億円(単体)
従業員数: 3,284名(連結) 1,407名(単体)
関連会社: さくら情報システム(株)、 (株)宇部情報システム、 (株)システムアンサー、
OGIS International, Inc. 、上海欧計斯軟件有限公司(中国)
オージス総研グループ 売上構成比(連結)
© 2017 OGIS-RI Co., Ltd.
(2016年度)
取得許可認定
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
3
統合認証ソリューションを15年以上やってきました
ThemiStruct-WAM
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM 電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
ThemiStruct Identity Platform AWS対応版
© 2017 OGIS-RI Co., Ltd.
システム監視ソリューション
ThemiStruct-MONITOR
クラウド、IoT時代の
“All in one”
統合認証パッケージ
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
4
認証基盤のユースケースが拡大
ユースケース 狙い・特長
社内システム利用のガバナンス強化 認証処理の一元化、人事システム等と連動したタイム
リーなIDメンテナンス。
取引先へのシステム提供 取引先ユーザーの確実な認証。IPアドレスや電子証明
書の併用。
クラウドサービス利用時、スマホ・ 社外からの利用の制限。社外での利用時の追加の認証
タブレット利用時の認証強化 の実施。社用端末の識別。
クラウドサービスのIDメンテナンス。
顧客(一般消費者)向けの情報提供、 SSOによる顧客への利便性の提供。複数アプリへの展
サービス提供 開。収集した属性の活用。他社サービスとの連携。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
5
これからは モバイルアプリ と オープンAPI対応 が必要に
ユースケース 狙い・特長
社内システム利用のガバナンス強化 認証処理の一元化、人事システム等と連動したタイム
リーなIDメンテナンス。
取引先へのシステム提供 取引先ユーザーの確実な認証。IPアドレスや電子証明
書の併用。
クラウドサービス利用時、スマホ・ 社外からの利用の制限。社外での利用時の追加の認証
タブレット利用時の認証強化 の実施。社用端末の識別。
クラウドサービスのIDメンテナンス。
顧客(一般消費者)向けの情報提供、 SSOによる顧客への利便性の提供。複数アプリへの展
サービス提供 開。収集した属性の活用。他社サービスとの連携。
モバイルアプリ化、オープンAPI活用 • アプリ内にパスワード保存不要な安全な認証方式、
によるアプリ機能、サービスの高度化 SSOに対応できる認証方式への対応。
• 利用者同意に基づく必要最少権限でのデータ連携を実
現する認証・認可方式への対応。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
6
どちらのサービスにも関わる話題です
従業員向け
サービス
© 2017 OGIS-RI Co., Ltd.
顧客向け
サービス
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
7
なぜ認証基盤を作るのか?
(おさらい)
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
8
認証基盤を作るメリット
① 利用者が便利になる
③ システム開発がしやすい
 作業効率の向上
 IT活用の促進
 アプリ毎の認証機能開発は不要
 サブシステムに分割した開発の
実現
② セキュリティレベルのばらつ
きがなくなる
 開発者に依存したばらつき
 ユーザーに依存したばらつき
④ 認証方式の変更がやりやすい
 ID/パスワードを使った認証
 多要素認証への対応
 新しい方式への対応
セキュリティのための認証基盤
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
9
“Identity is the new perimeter.”
 ネットワーク型の境界防御が効かない時代になった
 守るべき情報資産は壁 (Firewall) の外にある
 アクセスする主体は壁の中にも外にもいる
 アイデンティティを用いた情報へのアクセス管理が重要に
 アイデンティティによるアクセスの制御
 アイデンティティによるアクセスの監視
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
10
アイデンティティ&アクセス管理のフロー
ID登録
ID
身元確認
認証器登録
(IDへ紐付け)
認証基盤
ユーザー
認証
認証結果連携
属性情報連携
アプリケーション
認証
利用
© 2017 OGIS-RI Co., Ltd.
アクセス
認可
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
アプリ利用
情報アクセス
11
認証基盤を作る・サービスを展開する
認証・属性要求
認証
属性管理
属性連携
アプリケー
アプリケー
アプリケー
ション
ション
ション
認証・属性連携
ユーザーの認証
アプリが必要とする
属性の管理、提供、記録
© 2017 OGIS-RI Co., Ltd.
ユーザーごとに
最適化された
サービスを提供
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
12
外部IdP活用で、より使いやすく、より管理しやすく
認証・属性要求
認証要求
属性管理
属性連携
認証
認証連携
外部の信頼できる
認証システム(IdP)を利用
認証・属性連携
アプリが必要とする
属性の管理、提供、記録
アプリケー
アプリケー
アプリケー
ション
ション
ション
ユーザーごとに
最適化された
サービスを提供
ドメインログオン、
Google, Facebook, Yahoo! JAPAN, ...
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
13
アイデンティティ連携を実現する標準技術たち
これらの技術は標準化が進み、製品・サービスへの実装も浸透している。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
14
モバイル向けアプリの認証を考える
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
15
モバイル向けアプリの分類
 モバイルアプリ(ネイティブアプリ)
 iOS, Android, ...
 ストア or モバイルアプリ管理(MAM) を通じた配布
 モバイルウェブ
 ウェブブラウザ + JavaScript
 SPA (Single Page Application)
 PWA (Progressive Web Application)
 配布不要、ブラウザアクセスで利用
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
16
モバイル向けアプリの導入・提供の形態
従業員向けサービス 顧客向けサービス
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
外部サービスの利用
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
17
認証・アクセス認可の実装の考え方
従業員向けサービス OpenID Connect や SAML を
使ったSaaSへのSSO
外部サービスの利用
SaaSが提供するモバイル
向けアプリを利用
顧客向けサービス

モバイルウェブ OAuth 2.0 Implicit Grant を用いた
の開発と提供 バックエンドAPIへのアクセス認可
ネイティブアプリ OAuth 2.0 for Native Apps のプラクティスを用いた
の開発・提供 バックエンドAPIへのアクセス認可
サードパーティとの連携
APIを提供し、サードパーティ
がアプリを開発・提供
© 2017 OGIS-RI Co., Ltd.

OAuth 2.0 を用いた
API連携時認証・アクセス認可
Implicit, Authz Code, Authz Code+PKCE
(OIDF FAPI WGの動向の考慮も必要)
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
18
従業員向けサービス 顧客向けサービス
外部サービスの利用
外部サービスのモバイル向けアプリの利用
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
OpenID Connect や SAML を使ったSaaSへのSSO
認証・認可
サーバー
4
3
5
1. SaaSのモバイルアプリを起動、
ログイン
2. モバイルアプリがブラウザベー
スのUIでSaaSの認証画面へ
3. SSOの設定により自社の認証
サーバーへ認証要求 (SAML or
OpenID Connect を使用)
4. ユーザー認証を実行
5. 認証結果を連携
2
6
アプリ内ブラウザ
契約した
SaaS
6. ログイン完了
7. モバイルアプリでSaaSを利用
7
1
SaaS提供
モバイルアプリ
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
19
従業員向けサービス
モバイルウェブでのバックエンドAPIアクセス認可
顧客向けサービス
外部サービスの利用
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
OAuth 2.0 Implicit Grant を用いたバックエンドAPI
へのアクセス認可
認証・認可
サーバー
1. ブラウザでモバイルウェブを起
動、ログイン
2. リダイレクトによりOAuth認可
を要求
3. ユーザー認証を実行
3
6
2
バックエンド
API
8
モバイルウェブ
(JavaScript)
4. バックエンドAPIアクセス用の
アクセストークンを返却
5. アクセストークンをつけてバッ
クエンドAPIにアクセス
4
5
1

6.~7. アクセストークンの情報を
確認(ユーザー、Scope、有効
期限、など)
8. バックエンドAPIが情報を使っ
てモバイルウェブが動作
ブラウザ
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
20
従業員向けサービス
外部サービスの利用
顧客向けサービス

○ ○
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携
Implicit Grant か RO Passwd Creds Grant か?
○ モバイルウェブ ― ○
の開発と提供
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
 1st Party のリソース (API) アクセス。
Resource Owner Password Credentials Grant でも良いケース。
 Implicit Grant を使い、ブラウザレベルでログインしておくこと
で、他のアプリのSSOが可能に。(ログイン状態を保っていれば)
 ブラウザベースのUIのため、認証サーバーが提供する多要素認証
方式、外部IdPと連携したログインなどに対応できる。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
21
従業員向けサービス
モバイルウェブ アクセス前の認証とAPIアクセス
外部サービスの利用
顧客向けサービス
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
 企業利用の場合、モバイルウェブ (HTML+JS) へのアクセス時点
で認証サーバーでの認証を要求する構成とすることも多い。
 ブラウザレベルで認証済みとなっているため、p20, Step 3 の認証
はインタラクション無しで完了して、モバイルウェブの利用がで
きる。(SSOされる)
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
22
従業員向けサービス 顧客向けサービス
外部サービスの利用

○ ○
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携
ネイティブアプリでのバックエンドAPIアクセス認可
○ モバイルウェブ ― ○
の開発と提供
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
OAuth 2.0 for Native Apps のプラクティスを用いた
バックエンドAPIへのアクセス認可
認証・認可
サーバー
 Authz Code Grantの利用(トークンの更新も可)
 アプリ内ブラウザの使用
 PKCEの利用によるCode横取りの予防
1. ネイティブアプリを起動、ログ
イン
2. アプリ内ブラウザを使いOAuth
認可を要求(PKCEを併用)
3. ユーザー認証を実行
3
8
2
アプリ内ブラウザ
5
ネイティブ
アプリ
4. アクセストークンを取得するた
めのCodeを返却
5. アプリ内ブラウザからネイティ
ブアプリにCodeを返却
4
6
1
9
7
10
バックエンド
API
6. Codeをアクセストークンに交換
(PKCEを併用)
7. アクセストークンをつけてバッ
クエンドAPIにアクセス
8.~9. アクセストークンの情報を
確認(ユーザー、Scope、有効
期限、など)
10. バックエンドAPIが情報を使っ
てネイティブアプリが動作
バックエンドAPIの振る舞いは、モバイル
ウェブ、ネイティブアプリで共通。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
23
オープンAPIでのアクセス認可の考慮点
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
24
従業員向けサービス
外部サービスの利用
対応しておくべき OAuth の方式
顧客向けサービス
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
#

ユーザーへの提供形態
ブラウザで動作する
JavaScriptアプリ
バック
エンド
あり
OAuthの方式
Authz Code Grant
ポイント
バックエンドがオープンAPIへアクセス。
バックグラウンドでのAPIアクセスのため、
トークン自動更新が必要な場合も。
JSアプリがオープンAPIへアクセス。
トークン更新が必要な場合はブラウザを
介して行なえる。
② (モバイルウェブ、SPA、など) なし Implicit Grant ③ あり Authz Code Grant ( ① と同じ )
なし Authz Code Grant ネイティブアプリがオープンAPIへアクセ
w/ PKCE ス。バックグラウンドでのAPIアクセスの
ため、トークン自動更新が必要な場合も。
Authz Code Grant Webアプリケーションサーバーがオープ
ンAPIへアクセス。バックグラウンドでの
APIアクセスのため、トークン自動更新が
必要な場合も。
ネイティブアプリ


Webアプリ
© 2017 OGIS-RI Co., Ltd.
あり
(Webアプリ
サーバー)
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
25
異なるレベルのAPI提供に対応できる
API連携認証システム機能の必要性
従業員向けサービス 顧客向けサービス
外部サービスの利用
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
API提供が進むと提供側の意図と矛盾が生じない認証・認可が課題となる
使うScope, 有効時間、
認証方式、などを設定
(利用側の意図)
使うScope, 有効時間、 重要情報へのアクセス、重要な操作の実行時は
認証方式、などを設定 有効時間を制限、多要素認証や再認証を要求する
(提供する側の意図) など、APIのレベルに合わせた認証・認可が必要に
Client Scope Resource (API)
client_A app1:read api.1
app1:write api.2
app2:funcA api.1
app2:funcB api.2
アプリ1
api.3
client_B
アプリ2
client_C
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
api.3
26
ThemiStruct Identity Platform
を使った実装例
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
27
従業員向けサービス
Office 365 モバイルアプリ + ThemiStruct
外部サービスの利用
顧客向けサービス
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
Office 365 モバイルアプリ利用時はThemiStruct Identity Platform を使って認証
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
28
従業員向けサービス
外部サービスの利用
顧客向けサービス

○ ○
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携
oidc-client-js [1] + ThemiStruct でモバイルウェブ
○ モバイルウェブ ― ○
の開発と提供
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
[1] https://github.com/IdentityModel/oidc-client-js
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
29
AppAuth for Android
[2]
+ ThemiStruct
でネイティブアプリ
従業員向けサービス
外部サービスの利用
顧客向けサービス
○ ―
モバイルウェブ ○ ○
の開発と提供
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携 ― ○
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
• Authz Code Grant
• PKCE
• Chrome Custom Tabs
• Token Introspection
(Server Side)
AppAuthに含まれるデモアプリにパッチしてテスト中...
[2] https://appauth.io/
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
30
従業員向けサービス
外部サービスの利用
顧客向けサービス

○ ○
ネイティブアプリ ○ ◎
の開発・提供
サードパーティとの連携
API提供のための OAuth Client と Scope の定義
○ モバイルウェブ ― ○
の開発と提供
SaaSが提供するモバイル
向けアプリを利用
APIを提供し、サードパーティ
がアプリを開発・提供
ただいま開発中...
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
31
当社ソリューションのご紹介
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
32
統合認証ソリューション ThemiStruct を提供しています
ThemiStruct-WAM
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM 電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
ThemiStruct Identity Platform AWS対応版
© 2017 OGIS-RI Co., Ltd.
システム監視ソリューション
ThemiStruct-MONITOR
クラウド、IoT時代の
“All in one”
統合認証パッケージ
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
33
統合認証パッケージ ThemiStruct Identity Platform
ThemiStruct Identity Platform は、ITシステム利用者のアイデンティティ管理と認証の機能
を提供します。顧客向けにサービスを展開したり、従業員向けにアプリケーションを展開
する際に必要となる、共通ID基盤の構築に活用いただけます。
顧客向けサイト領域に活用
エンタープライズ領域に活用
サービスサイト
認証する
アプリ利用
サービス利用
サービスの主機能
サービスの
利用者
社内のアプリ
従業員
統合認証基盤
クラウドのアプリ
サービスのID・認証機能
サービスサイトの
ID、認証の共通機能として利用
© 2017 OGIS-RI Co., Ltd.
エンタープライズアプリ群の
SSOやアクセス制御の基盤として利用
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
34
ThemiStruct Identity Platform を『顧客向けサイト』に活用
ThemiStruct Identity Platform を『顧客向けサイト』環境に適用した場合、サービスの利用者IDの管
理と認証の機能を担うバックエンドサービスとして稼働します。これらの機能のUIにあたるアプリ
ケーションの実装を支援し、実際のサービスアプリと接続するためのインタフェースを提供します。
認証基盤
バックエンド
認証基盤
フロントエンド
ネイティブアプリ
○○でログイン
□□でログイン
Web アプリ
△△でログイン
利用者
名前
メール
電話番号
住所
ThemiStruct
Identity Platform
Web API
ID管理と認証の機能を Web APIのための認証・ 短期間での導入が可能
サイトに組み込む アクセス認可に対応
利用者のID情報の管理や認 OAuth 2.0 を使ったAPI連携 約スモールスタート、突発的
証などの共通機能を、サイ 認証システムが実現でき、 アクセス集中に対応できる伸
トの統一された見た目で組 モバイルアプリ、オープン 縮可能な認証基盤が、2時間
み込むことができます。 APIを安全に提供できます。 でセットアップできます。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
35
『顧客向けサイト』に向けた3大特長
 ID管理と認証の機能をサイトに組み込む
 利用者のID情報の管理や認証など利用者IDに関連する共通機能の実装を支
援する『フレームワーク』と『Web API』を提供します。これらを活用し、
貴社のサービスサイトに認証機能やパスワード変更機能、アプリケーショ
ンへのID連携機能などを組み込むことができます。
 Web APIのための認証・アクセス認可に対応
 OAuth 2.0 の技術仕様に基づいた認証・アクセス認可機能(API連携認証
システム機能)を提供します。これにより、モバイルアプリやオープン
APIの提供を安全に行なうことができます。
 短期間での導入が可能
 AWSマネージドサービスのコンポーネントを活用し、スタートアップから
大規模利用まで『自動的に伸縮』する認証プラットフォームを、専用イン
ストーラを使い約2時間でセットアップできます。これにより、サービス
の提供開始までの期間を大幅に短縮することができます。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
High-Availability
Scalability
36
ThemiStruct Identity Platform を『エンタープライズ』に活用
ThemiStruct Identity Platform を『エンタープライズ』環境に適用した場合、社内外のアプリケー
ションにシングルサインオン可能な認証基盤を提供できます。また、企業のポリシーにあった認証機
能の設定や既存のIDとの統合をすることができます。
認証基盤
従業員
社用の
ネイティブアプリ
社用の
Web アプリ
社内のID基盤
AD
or
HR
or
既存のID基盤と統合
社内で既に展開されたIDに
関連する仕組みとの統合を実
現できます。
© 2017 OGIS-RI Co., Ltd.
IdM
ThemiStruct
Identity Platform
企業ポリシーの適用
認証のポリシーを一元管理
し、柔軟な認証機能の提供
ができます。
社用の
クラウドサービス
シングルサインオン
社内、社外問わず、様々な
アプリにシングルサインオ
ンできます。
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
37
『エンタープライズ』に向けた3大特長
 シングルサインオン
 OpenID Connectなどの標準技術仕様を用いたシングルサインオンに対応
しています。ThemiStruct Identity Platform に一度サインインすることで、
ユーザが利用したい各サイトへシングルサインオンできます。
SSO
 企業ポリシーの適用
 ユーザの属性や状態、利用するアプリに応じて、柔軟な認証ポリシーをデ
ザインすることができます。例えば、社内ネットワークからのアクセスの
場合、IDとパスワードの認証を提供し、外出先からのアクセスの場合、追
加でワンタイムパスワード認証を提供するといったポリシーを展開するこ
とができます。
OTP
*****
Vein
CERT
 既存のID基盤と統合
 既存のID基盤と統合に向けたアカウント管理用のAPIを提供しています。
これにより、企業のIDストアの情報を用いた認証や属性情報の連携を行う
ことができます。
© 2017 OGIS-RI Co., Ltd.
AD
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
HR
IdM
38
サーバーレスアーキテクチャを採用
ThemiStruct Identity Platform は Amazon Web Services のマネージドサービス上で稼働するため、一
定のアベイラビリティ、スケーラビリティを実現することができます。また、以下の構成のセット
アップを約2時間で完了できるインストーラを提供しています。
認証基盤の利用
DNS
CDN
WAF
API定義
APIロジック
ログ保管、監視
利用者
Amazon
Route 53
Amazon
CloudFront
AWS
WAF
Amazon
API Gateway
AWS
Lambda
AWS
CloudWatch
Amazon
RDS
暗号鍵保管
利用者向け画面
Amazon
S3
管理者用の
コンソール
Amazon
EC2
Amazon
RDS
AWS
KMS
ID、セッション、
設定ストア
短時間での
セットアップ
認証基盤の管理
新バージョンや
パッチの配信
構築者
© 2017 OGIS-RI Co., Ltd.
ThemiStruct
Identity Platform
インストーラ
管理者
AWS
CodeCommit
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
39
まとめ
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
40
まとめ
 従業員向けサービス、顧客向けサービスともに、今後はモバイル
向けアプリの提供が不可欠に。
 オープンAPIの活用が進むことで異なるレベルのAPIに対応できる
API連携認証システムの実現が必要となる。
 OpenID Connect, SAMLといったID連携の標準技術に加え、
OAuth 2.0 の標準仕様群に対応できる認証基盤が必要となる。
 ThemiStruct Identity Platform 次期バージョンでは、これらの
機能を強化し、さらに重要性を増す認証基盤の実現に対応。
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
41
ご清聴ありがとうございました
【お問い合わせ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-7998
mail: info@ogis-ri.co.jp
© 2017 OGIS-RI Co., Ltd.
2017/10/19 「モバイル、オープンAPIを活用するための認証基盤」 セミナー
42

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!