TOP /  DevOps/アジャイル開発/API連携 /  「X-Tech」時代に押さえておくべき、安心、安全、便利なAPIの公開方法

「X-Tech」時代に押さえておくべき、安心、安全、便利なAPIの公開方法 | DevOps/アジャイル開発/API連携

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

共通ID基盤、API連携認証システムを取り巻く技術動向  (株式会社オージス総研 八幡 孝)

X-Techが注目される中、顧客向けサービスの立上げやオープンAPI提供の動きが盛んになり、認証・アクセス管理の機能として共通ID基盤、API連携認証システムの重要性が高まっています。 当講演では、関連する技術動向を紹介し、共通ID基盤、API連携認証システムで検討をしておくべき事項について解説します。

「ThemiStruct (テミストラクト) Identity Platform」クックブック 2018 ~共通ID基盤、API連携認証システムを題材に、デモを交えて~  (株式会社オージス総研 鈴川 竜司)

・統合認証パッケージ ThemiStruct Identity Platform の紹介 ・セットアップしてみる ・共通ID基盤として構成してみる ・API連携認証システムとして構成してみる

「API」で新たな顧客体験やオープンイノベーションを実現  (株式会社オージス総研 齋藤 伸也)

企業はモバイルやスマートスピーカーなど様々なタッチポイントを通じた顧客体験の提供が求められています。 また、FinTechを皮切りに自社ビジネスを外部に公開し、他者と連携するオープンイノベーションの動きが広がっています。 当講演では、これらを支える「API」について実践的な公開・管理のノウハウや事例を説明いたします。

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.6 でした!(5点満点中)
セミナー名 「X-Tech」時代に押さえておくべき、安心、安全、便利なAPIの公開方法
講演企業 株式会社オージス総研 、株式会社オージス総研 、株式会社オージス総研
開催日 2018年07月11日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
TSIを活用したユースケースをご紹介いただきたいです。
匿名の参加者
コメントなし
匿名の参加者
APIエコノミーの市場動向の紹介から具体的な実現例を紹介して頂き、イメージがわきました。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
API開発に先月から携わっています。要件定義からの参画で、システム化計画での検討が理解不足でしたが、どういった経緯だったかおおそよ理解できました。また、 他社事例が聞けて良かったです。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
テミストラクトアイデンティティプラットフォームがよく理解できました。
匿名の参加者
コメントなし
匿名の参加者
API公開のユースケース例が分かって良かった。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
どうもありがとうございました。
匿名の参加者
ツールの紹介が多く、セキュリティの本質(何のために、そのツールが必要か)をもう少し言及して欲しかった。
匿名の参加者
クックブック2018・API公開ソリューション が特によかったと思います。
匿名の参加者
コメントなし
匿名の参加者
Googleなどが高機能なAPIをどんどん開発して公開するといった戦略、目的なども交えて、APIを公開する目的、戦略、プラットフォーム、ECOシステム(APIエコノミー)への取り込みなどの説明
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
クックブックはもう少し詳細な説明が欲しかった。時間不足?
匿名の参加者
・活用事例 ・外部API連携
匿名の参加者
丁寧な説明でわかりやすかった。
匿名の参加者
15:55からの講演をもっと厚くして欲しかった。
匿名の参加者
世の中的にAPIが非常に広く使われ始めていることが分かりました。 今度セミナー等がありましたら、また、よろしくお願いいたします。
匿名の参加者
コメントなし
匿名の参加者
API公開、OAuth2.0関連の話と、御社製品の売りの話が混在していて、タイトルから想像する内容と結びつかない点も多く、講義中なぜその話をされているのかわからないことがあった。(後半から分かりましたが)。
匿名の参加者
APIというキーワードが広く使われているが、基本的にWebAPIと表記すべきと思っている。HTTPだけではないのですが。
匿名の参加者
「API」に対して、主催者、参加者側の認識にずれが生じていると考える。「APIの公開」とは、ビジネスの観点での検討が不可欠であり、技術そのものよりも、 API公開事例、ビジネスに活用されている事例など、ご紹介いただきたい。ビジネス観点で実施が決定されない限り、セキュリティ等は検討されないのではないかと 思います。
匿名の参加者
Oputh2のRead Only/Read WriteのWGのチェックリストがあるのは非常にためになった。 
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
・共通ID基盤~技術動向の講演をもっと詳しく、長時間のセッションとしていただきたかった。 ・ThemiStruct~2018はデモでないため長い。資料に書いてあるもので十分のため、上記を長くしてほしい。
匿名の参加者
API設計において気を付ける部分、ライフサイクルの重要性、パッケージの存在や利用方法について知ることができてよかった。

共通ID基盤、API連携認証システムを
取り巻く技術動向
株式会社オージス総研
事業開発本部 テミストラクトソリューション部
八幡 孝
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
1
自己紹介
株式会社オージス総研
統合認証ソリューション担当
OpenAMコンソーシアム
副会長
八幡 孝
2018 OGIS-RI Co., Ltd.
OpenIDファウンデーション・ジャパン
Enterprise Identity WG
リーダー
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
2
オージス総研です
代表者: 代表取締役社長 西岡 信也
設 1983年6月29日
立:
資本金: 4.4億円 (大阪ガス株式会社100%出資)
事業内容: システム開発、プラットフォームサービス、
コンピュータ機器・ソフトウェアの販売、
コンサルティング、研修・トレーニング
主な事業所
本 社:
東京本社:
千里オフィス:
名古屋オフィス:
大阪府 大阪市西区千代崎3-南2-37 ICCビル
東京都品川区西品川1-1-1住友不動産大崎ガーデンタワー20階
大阪府 豊中市新千里西町1-2-1
愛知県 名古屋市中区錦1-17-13 名興ビル
売上実績: 639.8億円(連結) 366.8億円(単体) (2017年度)
従業員数: 3,371名(連結) 1,423名(単体)
関連会社: さくら情報システム(株)、(株)宇部情報システム、(株)アグニコンサルティング、
(株)システムアンサー、OGIS International, Inc. 、上海欧計斯軟件有限公司(中国)
オージス総研グループ 売上構成比(連結)
2018 OGIS-RI Co., Ltd.
取得許可認定
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
3
統合認証ソリューションを15年以上やってきました
ThemiStruct-WAM
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM 電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
ThemiStruct Identity Platform
2018 OGIS-RI Co., Ltd.
システム監視ソリューション
ThemiStruct-MONITOR
APIエコノミー時代の
統合認証パッケージ
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
4
認証基盤のユースケースが拡大
ユースケース 狙い・特長
社内システム利用のガバナンス強化 認証処理の一元化、人事システム等と連動したタイム
リーなIDメンテナンス。
取引先へのシステム提供 取引先ユーザーの確実な認証。IPアドレスや電子証明
書の併用。
クラウドサービス利用時、スマホ・ 社外からの利用の制限。社外での利用時の追加の認証
タブレット利用時の認証強化 の実施。社用端末の識別。
クラウドサービスのIDメンテナンス。
顧客(一般消費者)向けの情報提供、 SSOによる顧客への利便性の提供。複数アプリへの展
サービス提供 開。収集した属性の活用。他社サービスとの連携。
モバイルアプリ化、オープンAPI活用 アプリ内にパスワード保存不要な安全な認証方式、
によるアプリ機能、サービスの高度化 SSOに対応できる認証方式への対応。
利用者同意に基づく必要最少権限でのデータ連携を
実現する認証・認可方式への対応。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
5
現在の認証基盤の主要なユースケース
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
6
統合認証基盤の重要性が高まる
サービス時間帯の拡大
平日業務時間内の提供から24時間365日の提供へ
メンテナンスに利用できる時間帯が大幅に縮小
許容停止時間の短縮
業務影響を抑えるため障害状態から短時間での回復が必要
アクセス集中時の性能確保
出勤時、特定業務の締切日・締切時間、など
特定イベント(キャンペーンなど)による一斉アクセス、など
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
7
高度な基盤設計が必要に 入念な可用性、性能のテスト。プロジェクトの巨大化。
認証
サーバ
DC #1
設定/トークン
Load Balancer
アイデンティティ
ストア
認証
サーバ
設定/トークン
Load Balancer
認証
サーバ
Global
Load Balancer
Load Balancer
設定/トークン
ストア
認証
サーバ
設定/トークン
Load Balancer
アイデンティティ
ストア
DC #2
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
8
これから: 基盤の設計、テストは不要。プロジェクトの迅速なスタートアップ。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
9
ThemiStruct Identity Platform の特長
Amazon API Gateway, AWS Lambda など、AWSのマネージド
サービスのコンポーネントを活用。
AWSマネージドサービスで提供される可用性、スケーラビリティ
のメリットを享受。
ユーザー情報などのデータは、自社VPC内で保持。
AWSの各サービスコンポーネントの設定、コードの配置を自動化
する専用のインストーラーを提供。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
10
現在の認証基盤の主要なユースケース
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
11
ThemiStruct Identity Platform で
顧客向けサービスサイトの
「共通ID基盤」を構築する
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
12
「共通ID基盤」の構築イメージ
ネイティブ
アプリ
スマホ向け
サービス
認証・認可
会員登録
サービスA
認証
www.example.jp
共通ID UI
サービスB






ユーザーの
共通属性利用
サービスC
認証サーバー
会員情報
データベース
id.example.jp
2018 OGIS-RI Co., Ltd.
shop.example.jp
ThemiStruct Identity Platform
共通ID基盤








機能 C-a
特定属性
の利用
機能 C-b
another-domain.jp
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
13
顧客向けサービスのIDを共通化する
既存サイトに、ThemiStruct
Identity Platform の 認 証機
能を組み込む。
会員登録
サービスA
認証
共通ID UI






ユーザーの
共通属性利用
www.example.jp
サービスB
認証サーバー
会員情報
データベース
ThemiStruct Identity Platform
id.example.jp
2018 OGIS-RI Co., Ltd.
会員管理機能で登録・更新
さ れ る 情 報 を ThemiStruct
Identity Platformに連携。
共通ID基盤
特定属性
の利用
shop.example.jp








ユーザーは一回の会員登録、
サインインで、全サービス
を横断的に利用可能に。
各サービスが共通的に利用
する属性は、認証サーバー
からサービス利用時に連携
することで、会員管理機能
への負担を軽減。
全サービスを横断して会員
の利用分析が可能に。
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
14
提供サービスを追加する、更新する
ブランド毎に専用ドメイン
を使い分けるクロスドメイ
ン環境にも対応が可能。
会員登録
サービスA
認証
www.example.jp
共通ID UI
サービスB






ユーザーの
共通属性利用
shop.example.jp
サービスC
認証サーバー
会員情報
データベース
ThemiStruct Identity Platform
id.example.jp
2018 OGIS-RI Co., Ltd.
提供するサービスを追加す
る場合は、共通IDを利用す
るアプリとして開発するだ
けでSSO利用が可能に。
共通ID基盤
機能 C-a
特定属性
の利用








サービス内の機能を増やす
ときも、サブシステム毎に
開発してSSO接続すること
で、ユーザーは一つのサー
ビスとして利用可能。
サービス、機能の入れ替え
が行ないやすい構造に。
機能 C-b
another-domain.jp
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
15
スマホ向けサービスを提供する
スマホ向けネイティブアプリ
の提供では、バックエンド
APIアクセスのための認証・
認可の処理が必要に。
ネイティブ
アプリ
スマホ向け
サービス
認証・認可
会員登録
サービスA
認証
www.example.jp
共通ID UI
サービスB






ユーザーの
共通属性利用
サービスC
認証サーバー
会員情報
データベース
shop.example.jp
ThemiStruct Identity Platform
id.example.jp
2018 OGIS-RI Co., Ltd.
共通ID基盤








ThemiStruct Identity Platform
のOAuth認可サーバーの機能
でネイティブアプリの利用に
も対応。
機能 C-a
特定属性
の利用
機能 C-b
another-domain.jp
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
16
スケーラブル、ハイアベイラブルな共通ID基盤に
AWSマネージドサービスに
より、アクセスの繁閑にも
柔軟に対応が可能。
ネイティブ
アプリ
スマホ向け
サービス
認証・認可
会員登録
サービスA
認証
www.example.jp
共通ID UI
サービスB






ユーザーの
共通属性利用
サービスC
認証サーバー
会員情報
データベース
shop.example.jp
ThemiStruct Identity Platform
id.example.jp
2018 OGIS-RI Co., Ltd.
共通ID基盤








無停止アップデート機能に
より、利用者にサービス提
供を続けながらThemiStruct
Identity Platform の ソ フ ト
ウェアを更新可能。
機能 C-a
特定属性
の利用
機能 C-b
another-domain.jp
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
17
ThemiStruct Identity Platform で
オープンAPIを提供するための
「API連携認証システム」を構築する
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
18
Web API を公開する際の課題
クローズドAPI
組織内での Web API の利用
組織の境界内からのみアクセス可能
オープンAPI
組織の境界の外側の第三者への Web API の公開
Web API 利用者の認証、機能やデータへのアクセス権管理が
不可欠
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
19
Web API 利用の形態
2者間でのAPI利用
サービスA が サービスB の機能を利用するために
API にアクセスする。
サービスB は サービスA 向けの機能・データを提供
する。
サービスA
サービスB
API
3者間でのAPI利用
ユーザーC は サービスA、サービスB の利用者である。
サービスA は、ユーザーCの意図により、ユーザーC
に代わり サービスB の API にアクセスする。
サービスB は ユーザーC 向けの機能・データーを提供
する。
サービスA
サービスB
API
ユーザーC
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
20
2者間でのAPI利用時の認証
API のアクセス元を認証する。
APIキー
BASIC認証(IDとパスワード)
クライアント証明書
OAuth 2.0 Client Credentials Grant
...
アクセス元が認証できれば、API はアクセス権を判断できる。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
21
3者間でのAPI利用時の認証
ユーザーC は サービスA に、アクセスできるデーターや操作を限
定して、サービスB の API へアクセスさせたい。
ユーザーIDとパスワードなど、クレデンシャル情報を渡す方式では、全
権限をサービスAに与えてしまう。
現時点では OAuth 2.0 の利用が唯一の選択肢
ユーザーC の同意に基づき、ユーザーC が
意図した範囲の限定された権限で API への
アクセスを許可する方式。
サービスA
サービスB
API
OAuth 2.0 Authorization Code Grant
OAuth 2.0 Implicit Grant
2018 OGIS-RI Co., Ltd.
ユーザーC
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
22
「API連携認証システム」の構築イメージ
APIアクセス
のための
認証要求
会員登録
認証
共通ID UI






許可されたAPI
アクセス条件の
確認
サードパーティ
API利用アプリ
ユーザーに
許可された
権限での
APIアクセス
オープンAPI
API #1
API #2
認証サーバー
会員情報
データベース
ThemiStruct Identity Platform
API連携認証システム
2018 OGIS-RI Co., Ltd.
api.example.jp
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
23
対応すべき OAuth 2.0 仕様の概略
(最小限)
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
24
サービス開発者、API開発者も対応が必要
オープンAPIの提供者(下図サービスB)
API連携認証システム(Authorization Server)実装者
API開発者
オープンAPIの利用者(下図サービスA)
アプリケーション開発者
フロントエンド開発者
API連携認証システム
サービスA
サービスB
API
バックエンド開発者
ユーザーC
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
25
対応が必要となる OAuth の仕様類
#
AS
API
実装者 開発者
仕様
① The OAuth 2.0 Authorization Framework [RFC 6749]
API利用者
アプリ開発者
○ ― ○
.1 Authorization Code Grant ○ ― ○
.2 Implicit Grant ○ ― ○
.3 Client Credentials Grant ○ ― ○
② The OAuth 2.0 Authorization Framework: Bearer Token Usage ― ○ ○
[RFC 6750]
③ OAuth 2.0 Token Revocation [RFC 7009] ○ ○ ○
④ Proof Key for Code Exchange by OAuth Public Clients [RFC 7636] ○ ― ○
⑤ OAuth 2.0 Token Introspection [RFC 7662] ○ ○ ―
⑥ OAuth 2.0 for Native Apps [RFC 8252] ― ― ○
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
26
API利用時の構成パターン
バックエンドあり(Confidential Client)
アプリ
アプリ
バックエンド
(API, Web)
オープンAPI
バックエンドなし(Public Client)
アプリ
(NApp, JS)
2018 OGIS-RI Co., Ltd.
オープンAPI
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
27
アプリ形態別、対応すべき OAuth の方式
#

ユーザーへの提供形態
ブラウザで動作する
JavaScriptアプリ
バック
エンド
あり
OAuthの方式
Authz Code Grant
ポイント
バックエンドがオープンAPIへアクセス。
バックグラウンドでのAPIアクセスのため、
トークン自動更新が必要な場合も。
JSアプリがオープンAPIへアクセス。
トークン更新が必要な場合はブラウザを
介して行なえる。
② (モバイルウェブ、SPA、など) なし Implicit Grant ③ あり Authz Code Grant ( ① と同じ )
なし Authz Code Grant ネイティブアプリがオープンAPIへアクセ
w/ PKCE ス。バックグラウンドでのAPIアクセスの
ため、トークン自動更新が必要な場合も。
Authz Code Grant Webアプリケーションサーバーがオープ
ンAPIへアクセス。バックグラウンドでの
APIアクセスのため、トークン自動更新が
必要な場合も。
ネイティブアプリ


Webアプリ
2018 OGIS-RI Co., Ltd.
あり
(Webアプリ
サーバー)
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
28
ネイティブアプリでのAPIアクセス認可
OAuth 2.0 for Native Apps のプラクティスを用いた
オープンAPIへのアクセス認可
API連携
認証システム
Authz Code Grantの利用(トークンの更新も可)
アプリ内ブラウザの使用
PKCEの利用によるCode横取りの予防
1. ネイティブアプリを起動、ログ
イン開始
2. アプリ内ブラウザを使いOAuth
認可を要求(PKCEを併用)
3. ユーザー認証を実行
3
8
2
アプリ内ブラウザ
5
ネイティブ
アプリ
4. アクセストークンを取得するた
めのCodeを返却
5. アプリ内ブラウザからネイティ
ブアプリにCodeを返却
4
6
1
9
7
10
オープン
API
6. Codeをアクセストークンに交換
(PKCEを併用)
7. アクセストークンをつけてオー
プンAPIにアクセス
8.~9. アクセストークンの情報を
確認(ユーザー、Scope、有効
期限、など)
10. オープンAPIが情報を使ってネ
イティブアプリが動作
オープンAPIの振る舞いは、JSアプリ、ネ
イティブアプリで共通。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
29
今後対応が必要となってくる仕様
(OAuth 2.0, OpenID Connect 関連)
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
30
金融API向けにOAuth実装仕様の策定が進行中
OpenID Foundation (Global) の Financial API WG が策定
https://openid.net/wg/fapi/
OAuthの実装仕様について、以下の2つがすでに
Implementer’s Draft となり、公開されている。
Part 1: Read Only API Security Profile (Implementer’s Draft).
Part 2: Read & Write API Security Profile (Implementer’s Draft).
以下の仕様についても検討が進行中。
Client Initiated Backchannel Authentication Profile.
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
31
Part 1: Read Only API Security Profile ①
# Authorization Server への要求事項
特に注目したい箇所
1 コンフィデンシャルクライアントをサポートすることが望ましい。(SHOULD) ―
2 パブリッククライアントをサポートすることが望ましい。(SHOULD) ―
3 (署名や暗号化に)対象鍵を使う場合は [OIDC] の 16.19節 の要件に準拠した client_secret を提供する。(SHALL) ―
4 トークンエンドポイントでは以下のいずれかの方法を用いてコンフィデンシャルクライアントを認証する。(SHALL) □
1. TLS相互認証 [MTLS]
2. [OIDC] の 9章 で指定されている client_secret もしくは秘密鍵を用いた JWS クライアントアサーション
5 クライアント認証にRSA暗号アルゴリズムを用いる場合は 2048ビット 以上の長さの鍵を用いる。(SHALL) ―
6 クライアント認証に楕円曲線暗号アルゴリズムを用いる場合は 160ビット 以上の長さの鍵を用いる。(SHALL) ―
7 パブリッククライアントをサポートする場合は、[RFC7636] の S256コードチャレンジ方式 をサポートする。(SHALL) ―
8 リダイレクトURIは事前登録する。(SHALL) ―
9 認可要求のパラメータに redirect_uri を必要とする。(SHALL) ―
10 (認可要求の)redirect_uri の値は、事前に登録されたリダイレクトURIの一つに完全一致しなければならない。(SHALL) ―
11 [X.1254] に定義された LoA 2 以上のユーザー認証を要求する。(SHALL) □
12 以前に承認されていない scope の要求を承認する場合には、ユーザーの明示的な同意を必要する。(SHALL) ―
OAuth と OpenID Connect を併用(OIDCの仕様に基づきOAuthの認可要求を行なう)
Confidential Client の認証をより強度が高い方式の利用が指定される
事実上の OAuth 2.0 の追加仕様 RFC 7521, RFC 7523 への対応
アイデンティティ情報更新時の再認証など信頼性を確保する仕組みの導入
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
32
Part 1: Read Only API Security Profile ②
# Authorization Server への要求事項
特に注目したい箇所
13 可能であれば、認可コード ([RFC6749] 1.3.1節) が以前に使用されてないことを検証する。(SHALL) ―
14 [RFC6749] 4.1.4節に沿ったトークンレスポンスを返す。(SHALL) ―
15 発行されたアクセストークンとともに許可されたスコープのリストを返す。(SHALL) □
16 [RFC6819] 5.1.4.2.2節に定義されているように最少128ビットの不透明な推測できないアクセストークンを発行する。(SHALL) ―
17 [OIDC] 16.18節にあるとおり認可中に長期間の許可を与えようとしていることユーザーに明示することが望ましい。(SHOULD) □
18 [OIDC] 16.18節にあるとおりエンドユーザーがクライアントに付与されたアクセストークンやリフレッシュトークンを失効する □
仕組みを提供することが望ましい。(SHOULD)
19 [OIDC] 3.1.2.1節にあるとおりの認証要求をサポートする。(SHALL) ―
20 [OIDC] 3.1.2.2節にあるとおりの認証要求の検証を行なう。(SHALL) ―
21 [OIDC] 3.1.2.2節および3.1.2.3節にあるとおりユーザーを認証する。(SHALL) ―
22 [OIDC] 3.1.2.4節および3.1.2.5節にあるとおり認証結果に応じて認証応答を行なう。(SHALL) ―
23 [OIDC] 3.1.3.2節にあるとおりトークン要求を検証する。(SHALL) ―
24 要求された scope に openid が含まれている場合は、[OIDC] 3.1.3.3節にあるとおり、トークン応答の中で認証されたユーザーに ―
対応するsub値を持つ(オプションでacr値も含めた)IDトークンを発行して応答する。(SHALL)
OAuth, OpenID Connect を併用(OIDCの仕様に基づきOAuthの認可要求を行なう)
長時間有効な認可(Access Token, Refresh Token発行)には明示的な同意が必要に。
発行された Access Token の scope を明示的に応答することが必要に。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
33
Part 2: Read & Write API Security Profile
# Authorization Server への要求事項
特に注目したい箇所
1 [OIDC] 6章にあるとおり、request あるいは request_uri パラメータにJWS署名のJWTを使用する。(SHALL) □
2 response_type の値には、code id_token もしくは code id_token token を使用する。(SHALL) □
3 認可リクエストに対するレスポンスの分離署名として IDトークンを応答する。(SHALL) ―
4 state値を保護するため、IDトークンにはstateのハッシュ値 s_hash を含める。(SHALL) □
5 書き込み操作の用途の場合は、記名式 (Holder of Key) の認可コード、アクセストークン、リフレッシュトークンを発行する。(SHALL) □
6 記名式 (Holder of Key) の仕組みには [OAUTB] あるいは [MTLS] を用いる。(SHALL) □
7 [X.1254] に定義された LoA 3 以上のユーザー認証を要求する。(SHALL) □
8 署名付きのIDトークンをサポートする。(SHALL) ―
9 署名付きかつ暗号化されたIDトークンをサポートすることが望ましい。(SHOULD) □
OpenID Connect のより深いレベルの仕様の実装
JWTリクエストパラメーター、JWSとJWEによる署名と暗号化されたIDトークン
IDトークンを使った認可レスポンスへの署名 (at_hash, c_hash, s_hashへの対応)
記名式トークン、記名式認可コード発行への対応
OAuth の策定中仕様 (OAUTB, MTLS) の実装
多要素認証への対応
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
34
現時点で対応を検討しておくべき仕様
AS
API
実装者 開発者
# 仕様
① OpenID Connect Core 1.0
API利用者
アプリ開発者
○ ― ○
.1 [OAUTB], [MTLS] を使った記名式トークン、認可コード発行への対応 ○ ○ ○
.2 署名、暗号化されたIDトークンのサポート [Sec.2][Sec.16.14] ○ ○ ○
.3 長期間有効なトークン発行時の適切な同意画面の表示 ○ ― ―
② OAuth 2.0 トークン発行時の scope クレームの応答への対応 ○ ― ○
③ Assertion Framework for OAuth 2.0 Client Authentication and Authorization ○ ― ○
Grants [RFC 7521]
④ JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and ○ ― ○
Authorization Grants [RFC 7523]
⑤ OAuth 2.0 Token Binding [OAUTB] [draft-ietf-oauth-token-binding-05] ○ ○ ○
⑥ OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access ○ ○ ○
Tokens [MTLS] [draft-ietf-oauth-mtls-07]
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
35
API管理のソリューション の位置づけはより重要に
策定される新しい仕様への追従を個々の API で進めるのは困難
API管理ソリューションを使った集中管理が必要になっていく
API連携
認証システム
API #1
API利用
アプリ
API管理
API #2
API #3
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
36
金融APIでなければ、金融向けのグレードである必要はない
FAPI の Profile は金融API向け
APIが提供する機能、情報のリスクを評価してどこまで対応する
かを決める
対応策は、FAPI Profile が参考になる
R/O Prof.
LoA 2
R/W Prof.
LoA 3
不便, 苦痛, または社会的地位やレピュテーションの毀損
経済的損失または機関の負債
組織や組織のプログラム、公共の利益への損害
許可されていないセンシティブ情報の公開
個人の安全
事または刑事上の違反
引用元: ITU-T Recommendation X.1254 Entity authentication assurance framework, p7 (2012年9月)
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
37
当社ソリューションのご紹介
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
38
統合認証ソリューション ThemiStruct を提供しています
ThemiStruct-WAM
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM 電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
ThemiStruct Identity Platform
2018 OGIS-RI Co., Ltd.
システム監視ソリューション
ThemiStruct-MONITOR
APIエコノミー時代の
統合認証パッケージ
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
39
統合認証パッケージ ThemiStruct Identity Platform
ThemiStruct Identity Platform は、ITシステム利用者のアイデンティティ管理と認証の機能
を提供します。顧客向けにサービスを展開したり、従業員向けにアプリケーションを展開
する際に必要となる、共通ID基盤の構築に活用いただけます。
顧客向けサイト領域に活用
エンタープライズ領域に活用
サービスサイト
認証する
アプリ利用
サービス利用
サービスの主機能
サービスの
利用者
社内のアプリ
従業員
統合認証基盤
クラウドのアプリ
サービスのID・認証機能
サービスサイトの
ID、認証の共通機能として利用
2018 OGIS-RI Co., Ltd.
エンタープライズアプリ群の
SSOやアクセス制御の基盤として利用
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
40
ThemiStruct Identity Platform を『顧客向けサイト』に活用
ThemiStruct Identity Platform を『顧客向けサイト』環境に適用した場合、サービスの利用者IDの管
理と認証の機能を担うバックエンドサービスとして稼働します。これらの機能のUIにあたるアプリ
ケーションの実装を支援し、実際のサービスアプリと接続するためのインタフェースを提供します。
認証基盤
バックエンド
認証基盤
フロントエンド
ネイティブアプリ
○○でログイン
□□でログイン
Web アプリ
△△でログイン
利用者
名前
メール
電話番号
住所
ThemiStruct
Identity Platform
IDと認証、アクセス認可の Web APIの認証・
機能をアプリに組み込む アクセス認可に対応
利用者のID情報の管理や認 OAuth 2.0 を使ったAPI連携
証などの共通機能を、サイ 認証システムが実現でき、
トの統一されたデザインで モバイルアプリ、オープン
組み込むことができます。 APIを安全に公開できます。
2018 OGIS-RI Co., Ltd.
Web API
短期間での導入が可能
スモールスタート、突発的ア
クセス集中に対応できる伸縮
可能かつ事業継続性を考慮し
た認証基盤が、2時間でセッ
トアップできます。
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
41
『顧客向けサイト』に向けた3大特長
IDとユーザー認証、アクセス認可の機能をアプリに組み込む
利用者のID情報の管理や認証など利用者IDに関連する共通機能の実装を支
援する『フレームワーク』と『Web API』を提供します。これらを活用し、
貴社のサービスサイトに認証機能やパスワード変更機能、アプリケーショ
ンへのID連携機能などを組み込むことができます。
Web APIの認証・アクセス認可に対応
OAuth 2.0 の技術仕様に基づいた認証・アクセス認可機能を提供します。
OAuth 2.0 を使ったAPI連携認証システムが実現でき、モバイルアプリ、
オープンAPIを安全に公開できます。
短期間での導入が可能
AWSマネージドサービスのコンポーネントを活用し、導入時におけるキャ
パシティやアベイラビリティプラニングから解放します。スモールスター
ト、突発的アクセス集中に対応できる伸縮可能かつ事業継続性を考慮した
認証基盤が、2時間でセットアップできます。
2018 OGIS-RI Co., Ltd.
High-Availability
Scalability
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
42
ThemiStruct Identity Platform を『エンタープライズ』に活用
ThemiStruct Identity Platform を『エンタープライズ』環境に適用した場合、社内外のアプリケー
ションにシングルサインオン可能な認証基盤を提供できます。また、企業のポリシーにあった認証機
能の設定や既存のIDとの統合をすることができます。
認証基盤
従業員
社用の
ネイティブアプリ
社用の
Web アプリ
社内のID基盤
AD
or
HR
or
IdM
ThemiStruct
Identity Platform
社用の
クラウドサービス
既存のID基盤と統合 企業ポリシーの適用 シングルサインオン
社内で既に展開されたIDに 多要素、多段階認証に対応し 社内、社外問わず、様々な
関連する仕組みとの統合を実 多様なセキュリティ要件に応 アプリケーションにシング
現できます。 じた認証機能を提供します。 ルサインオンできます。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
43
『エンタープライズ』に向けた3大特長
シングルサインオン
OpenID Connect などの標準技術仕様を用いたシングルサインオンに対応
しています。社内、社外問わず、様々なアプリケーションにシングルサイ
ンオンできます。
SSO
企業ポリシーの適用
ユーザーの属性や状態、利用するアプリケーションに応じて、柔軟な認証
ポリシーをデザインすることができます。例えば、社内ネットワークから
のアクセスの場合、IDとパスワードの認証を提供し、外出先からのアクセ
スの場合、追加でワンタイムパスワード認証を提供するといったポリシー
を展開することができます。
OTP
*****
CERT
Vein
既存のID基盤と統合
既存のID基盤と統合に向けたアカウント管理APIを提供しています。これ
により、社内で既に展開されたIDに関連する仕組みとの統合を実現できま
す。
2018 OGIS-RI Co., Ltd.
AD
HR
IdM
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
44
サーバーレスアーキテクチャを採用
ThemiStruct Identity Platform は Amazon Web Services のマネージドサービス上で稼働するため、一
定のアベイラビリティ、スケーラビリティを実現することができます。また、以下の構成のセット
アップを約2時間で完了できるインストーラを提供しています。
認証基盤の利用
DNS
CDN
WAF
API定義
APIロジック
ログ保管、監視
利用者
Amazon
Route 53
Amazon
CloudFront
AWS
WAF
Amazon
API Gateway
AWS
Lambda
AWS
CloudWatch
Amazon
RDS
暗号鍵保管
利用者向け画面
Amazon
S3
管理者用の
コンソール
Amazon
EC2
Amazon
RDS
AWS
KMS
ID、セッション、
設定ストア
短時間での
セットアップ
認証基盤の管理
新バージョンや
パッチの配信
構築者
2018 OGIS-RI Co., Ltd.
ThemiStruct
Identity Platform
インストーラ
管理者
AWS
CodeCommit
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
45
オージス総研のAPIソリューション
オージス総研のクラウドとAPI開発・運用の知見を集めたサービス
- FintechやIoTなどのデジテルビジネスに必要不可欠なAPI公開を実現
- API導入のための技術調査・検討からAPIの公開・運用までフルカバー
API導入コンサルティングサービス
ロードマップの策定援や、初期システムアーキテクチャ策定、
API導入PoC等によりAPI導入を支援
API構築サービス
ベストプラクティスを組み込んだAPI開発スタックを使い、お客様の
環境に合ったAPIプラットフォーム、APIを迅速かつ効率的に開発
API運用サービス
継続的なAPIの改善・バージョンアップ
安定稼働のためのAPIプラットフォームの監視・障害対応
API利用者向けサポートサービス
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
46
まとめ
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
47
まとめ
認証基盤のユースケースは、顧客向けサービス向け、オープン
API向けへと広がり、重要性がより高まっている。
高い可用性、アクセスの増減、繁閑に対応できる認証基盤の実現
が求められている。
OpenID Connect, SAMLといったID連携の標準技術に加え、
OAuth 2.0 の標準仕様群に継続的に対応していく必要がある。
当社では ThemiStruct Identity Platform をサーバーレスアーキ
テクチャの認証基盤を実現するパッケージとして提供。
共通ID基盤、API連携認証システム の構築ニーズに対応していく。
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
48
ご清聴ありがとうございました
【お問い合わせ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-8054
mail: info@ogis-ri.co.jp
2018 OGIS-RI Co., Ltd.
2018/7/11 「安心、安全、便利なAPIの公開方法 ~X-Tech時代に押さえておくべきポイント~」 セミナー
49

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

日程を確認していただき、ご興味のあるセミナータイトルをクリックしてください。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!