TOP /  運用管理/運用自動化 /  B2C、B2B向けWebサービスにおける認証基盤のあり方 ~便利と安全を両立させる認証・認可と、その最新技術~

B2C、B2B向けWebサービスにおける認証基盤のあり方 ~便利と安全を両立させる認証・認可と、その最新技術~ | 運用管理/運用自動化

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

B2B・B2CビジネスにおけるWebサービスのモデルケースと認証基盤の役割  (株式会社オージス総研 事業開発本部テミストラクトソリューション部 プロフェッショナルサービス1T マネジャー 金井 敦)

B2B・B2Cビジネスで採用されているWebサービスの主要なモデルケースにおいてアイデンティティやアクセス管理を実現するための構成例や得られる効果について解説します。

認証標準技術の必要性と最新動向  (株式会社オージス総研 事業開発本部テミストラクトソリューション部 プロフェッショナルサービス1T 篠原 奨)

OpenID ConnectIDなどのID連携やOAuth 2.0 など認証標準技術を採用するメリットと最新の認証標準技術動向を解説します。

「共通ID基盤のスピード導入」と「ソーシャルサイトを対象としたアイデンティティ連携」の実現方法~ThemiStruct Identity Platform Cookbook 2019~  (株式会社オージス総研 事業開発本部テミストラクトソリューション部 プロフェッショナルサービス1T 吉見 直記)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.9 でした!(5点満点中)
セミナー名 B2C、B2B向けWebサービスにおける認証基盤のあり方 ~便利と安全を両立させる認証・認可と、その最新技術~
講演企業 株式会社オージス総研 、株式会社オージス総研 、株式会社オージス総研
開催日 2019年09月03日
匿名の参加者
ありがとうございました
匿名の参加者
途中退出してすみません
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
お世話になりました。
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
時間より早めに到着したが快く対応してもらたため
匿名の参加者
コメントなし
匿名の参加者
丁寧な対応を行っていただき好感が持てた
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし

B2B・B2CビジネスにおけるWebサービス
のモデルケースと認証基盤の役割
株式会社オージス総研
事業開発本部 テミストラクトソリューション部
金井 敦
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
1
自己紹介
金井 敦
株式会社オージス総研
統合認証ソリューション担当部門 マネジャー
主戦場
金融・保険業界を中心としたB2B/B2C向けの
Identity and Access Management基盤の構築、
プロジェクトマネジメント、ソリューション開発
OpenIDファウンデーション・ジャパン KYC WG
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
2
オージス総研について










株式会社オージス総研
者 代表取締役社長 中沢 正和


1983年6月29日
金 4.4億円 (大阪ガス株式会社100%出資)
事 業 内 容 システム開発、プラットフォームサービス、コンピュータ機器・ソフトウェアの販売、コンサルティング、研修・ト
レーニング
売 上 実 績 402.4億円(単体) 参考 733.2億円(グループ単純合計)(2018年度)
従 業 員 数 1,439名(単体) 参考 3,456名(グループ合計)(2019年3月31日現在)





2019 OGIS-RI Co., Ltd.
大阪府 大阪市西区千代崎3-南2-37 ICCビル
東 京 本 社 東京都 品川区西品川1-1-1
住友不動産大崎ガーデンタワー20階
千 大阪府 豊中市新千里西町1-2-1

うつぼ本町 大阪府 大阪市西区靭本町1-10-24 三共本町ビル10階
名 屋 愛知県 名古屋市中区錦1-17-13 名興ビル
田 愛知県 豊田市小阪本町1-5-10 矢作豊田ビル4階







さくら情報システム株式会社、株式会社宇部情報システム、
ダイバーシティ関連認定
株式会社アグニコンサルティング、株式会社システムアンサー、
OGIS International, Inc. 、上海欧計斯軟件有限公司(中国)
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
3
統合認証ソリューションを15年以上やってまいりました
自社オリジナル商品
(主に大規模サービス、
B2B/B2C向け)
ThemiStruct Identity Platform
ThemiStruct-WAM
オープンソース
ベース商品
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM
(主に社内・グループ内
でのエンプラ利用向け)
電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
2019 OGIS-RI Co., Ltd.
OAuth 2.0 に対応した
APIエコノミー時代に求められる
統合認証パッケージ
システム監視ソリューション
ThemiStruct-MONITOR
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
4
認証基盤の主要なユースケース
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
オープンAPIを提供するための「API連携認証基盤」を構築する
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
5
本日のテーマ
エンタープライズ向け
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
本セッションでの取り扱いテーマ
B2B・B2C 向け
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
オープンAPIを提供するための「API連携認証基盤」を構築する
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
6
認証基盤が果たすべき役割とは?
認証基盤が果たすべき役割として、本セッションでは下記3つの観点で整理を
行いたいと思います。
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
ユーザが簡単に手間なくスピーディにサービスを利用できる
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
ユーザがサービスを信頼できる、安心して情報を提供できる
サービスの安全性が適切に維持され、安定的に提供できる
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
開発資源をメインとなるサービスの機能拡張、改善に集中できる
システム運用における作業や時間を抑制できる
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
7
B2B・B2Cビジネスにおける
従来型のWebサービスモデルの課題
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
8
従来型のWebサービスモデルケース①
Webアプリケーションサーバ上で提供される各種サービスにユーザ登録を行い、Webブラ
ウザもしくはモバイル上のアプリケーションからログインしてサービスを利用する。
アカウントやアプリケーション上のデータ等は個々のサービス毎に運用管理される。
外部サービス
会員情報
ログイン、
サービス利用
Webブラウザ
サービスA
log
サービスB
log
利用者
モバイルアプリ
サービスC
log
2019 OGIS-RI Co., Ltd.
会員情報
アプリ情報
会員情報
アプリ情報
会員情報
アプリ情報
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
9
従来型のWebサービスモデルケース①における課題
外部サービスとの
アカウント連携や
サービス連携が難しい
外部サービス
サービス個別に認証
機能の実装や認証に
関するセキュリティ
対策が必要
会員情報
ログイン、
サービス利用
Webブラウザ
サービスA
log
サービスB
log
利用者
2019 OGIS-RI Co., Ltd.
モバイルアプリ
サービス個別に
ログインが必要
横断的なサービス
利用が難しい
サービスC
log
会員情報
アプリ情報
会員情報
アプリ情報
サービス個別に
アカウントの
管理が必要
会員情報
アプリ情報
サービスを横断した
履歴管理や利用状況
の分析が大変
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
10
従来型モデルケースの課題整理






ユーザのアカウントを統合してサービス間で共通化したい
ユーザのログインを統合して横断的にサービス利用できるようにしたい
外部サービスのアカウントを利用してサービス利用できるようにしたい
外部サービスのアカウントと連携して会員登録できるようにしたい
サービス個別に認証機能の実装やセキュリティ対策を行いたくない
サービスの利用状況を横断的に把握・分析できるようにしたい
共通ID基盤
2019 OGIS-RI Co., Ltd.
共通のユーザレポジトリによるアカウント一元管理
共通の認証画面を通じたシングルサインオン機能
外部サービスとの認証連携機能
最新の標準技術仕様に適合した認証機能
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
11
従来型のWebサービスモデルケース②
利用者向けに提供される各サービス上の機能やデータの利用はWebアプリケーションサーバ
へのログインを経てのみ利用することができる。(もしくはシステム間連携で行われるシス
テムの認証を経て)
外部サービスとの連携を行うには、システム間連携のための機能を双方のアプリケーション
に実装するか、ユーザの認証情報を外部サービスに提供して、外部サービスからログインさ
せる必要がある。
Webブラウザ
公開サービス
(Webアプリケーション)
ログイン
認証・認可機能
自社
アプリ
処理機能群
スクレイピング
会員情報
利用者
2019 OGIS-RI Co., Ltd.
他社
アプリ
ログイン
他社アプリ
バックエンド
システム間連携
アプリ情報
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
12
従来型のWebサービスモデルケース②における課題
Webアプリケーション
だけでなくネイティブ
アプリやJSアプリでも
サービス利用したい
許可されたクライアントの
アプリケーションのみに
サービス公開を行いたい
Webブラウザ
様々なプラットフォームや
他社アプリからサービスの
機能やデータを利用できる
よう裾野を広げたい
公開サービス
(Webアプリケーション)
ログイン
認証・認可機能
自社
アプリ
処理機能群
スクレイピング
会員情報
利用者
他社
アプリ
ログイン
他社アプリ
バックエンド
システム間連携
ユーザの認証情報を
3rd Partyに預けるの
は好ましくない
2019 OGIS-RI Co., Ltd.
専用の連携IFを個別に
設けて管理したくない
アプリ情報
提供可能な機能やデータ
をユーザが同意した最低
限のものに限定したい
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
13
従来型モデルケースの課題整理






ネイティブアプリやJSアプリでもサービス利用できるようにしたい
3rd Partyアプリに認証情報を保存させずにサービス利用したい
外部サービスにWebAPIを公開して安全に利用できるようにしたい
WebAPIを公開したいが利用できるアプリケーションは制限したい
WebAPIを通じて提供する機能やデータについてユーザの同意に基づき制限したい
外部サービスとの連携のために個別の連携仕様をサービスに実装したくない
WebAPIに対するトークンを利用した認証・認可機能
認可権限設定、権限委譲への同意確認機能
API連携認証基盤
発行されたトークンの検証・失効などの管理機能
最新の標準技術仕様に適合した安全なトークン連携機能
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
14
顧客向けサービスサイトの
「共通ID基盤」の構築を考える
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
15
「共通ID基盤」の役割
自社サービスの会員IDを共通化

証 自社サービスのログインを共通化
統 サービス横断での利用状況の把握・

分析
標準技術仕様に適合したシステム

間連携の実現

連 外部IDと連携した会員登録の実現
携 外部IDと連携したログインの実現
安 変わりゆく認証方式への対応
全 多要素認証による認証強化

2019 OGIS-RI Co., Ltd.
外部ID
サービスA
サービスB
共通ID
基盤


サービスC
会員管理
サービスD
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
16
「共通ID基盤」のモデルケース
ブラウザ
モバイルアプリ
認証
会員登録
www.example.jp
共通ID UI
外部サービス
OpenID Connect
やSAMLでID連携
サービスA
認証






ユーザの
共通属性利用
認証状態確認
認証機能
ID連携機能
2019 OGIS-RI Co., Ltd.
shop.example.jp
サービスC
機能 C-a
特定属性
の利用
会員情報
データベース
id.example.jp
サービスB
共通ID基盤
log








機能 C-b
another-domain.jp
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
17
外部IDを利用した会員登録やログインの実現
外部IDとの認証連携によるメリット
外部サービスのIDを使ってログインができ、サービス利用時にサービス毎のID/パスワードを思い出
す必要がなく、アカウントロックやパスワード忘れの発生頻度も削減される
外部サービスが提供する多要素認証の仕組みをユーザが利用できる
新規会員登録の際に外部サービスから取得できる氏名やメールアドレスなどの情報を入力フォームに
自動補完できる
外部IDとの認証連携時の注意点
外部IDを利用したログインを行うためには、事前に自社サービス上のIDと外部サービスのIDを紐付
け登録する必要がありそのための機能が必要
利用登録だけでなく、ユーザが任意のタイミングで外部IDの利用を解除できる機能も必要
標準的なID連携技術に対応していても、外部サービスによって実際のAPIの仕様やセキュリティ対策
の状況、利用可能な認証方式、取得可能な情報などはそれぞれ異なる、また外部サービス側の仕様変
更が突然発生する可能性も
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
18
認証方式の強化
多段階認証 生体認証
認証強度の問題 ユーザの心理的抵抗感
多段階だが多要素ではない ユーザへの展開負担
ワンタイムパスワード認証 リスクベース認証
カバレッジや手間の問題 精度や環境制約の問題
123456
ユーザへの展開負担 誤認証の可能性
クライアント証明書認証 ICカード認証
証明書発行管理の負担 ICカード発行管理の負担
クライアントへの展開負担 ユーザへの展開負担
負担増やコスト増の懸念から特定業種以外では積極的には採用が進んでこなかった
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
19
変わりゆく認証方式
FIDO2の登場
公開鍵認証方式を応用してオンライン経由で認証を行う仕組み(≠生体認証、パスワードレス)
サービス
FIDO クライアント
①ログイン要求
②認証要求
認証器
ブラウザ
Web認証
API
③チャレンジコードを
生成し署名要求
⑧認証結果
認証サーバ
(FIDOサーバ)
ユーザ識別
署名検証
会員情報
ユーザ検証
④所定の手段で
ユーザを検証
認証用秘密鍵
⑤秘密鍵で署名
2019 OGIS-RI Co., Ltd.
クレデンシャル情報
検証結果の証明
チャレンジの署名
⑥署名付きデータ
を返信
⑦公開鍵で署名検証
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
紐付け
認証用公開鍵
20
変わりゆく認証方式
FIDO2のメリット
認証サーバにパスワード情報や生体情報を保持する必要がない
パスワード情報や生体情報がネットワーク上を流れない
上記情報がないため、認証サーバが狙われない、不正ログインできない
FIDO対応のブラウザと認証器を持つデバイスがあれば多要素認証が簡単
に実現できる
パスワードを使わず認証することもでき、パスワード管理から解放される
FIDO2対応のUSBやBluetooth、NFCの外部認証器を利用することもでき

2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
21
変わりゆく認証方式
FIDO2における注意点
利用するには事前にアカウントに対する認証器の登録作業が必要
認証器を内蔵するデバイスを複数利用しているなど、複数の認証器をサー
ビスで併用したいときは、認証器毎に事前登録が必要(1つの外部認証器
を複数のデバイスで利用することは可能)
(現時点では) Safariは利用できない
一部ブラウザやバージョンが古いブラウザでは利用できない
認証器を紛失した場合のアカウント復旧方法は別途考慮が必要
(当たり前だが)認証器が手元に無いとログインできない
B2CにおいてFIDO認証を全ユーザ必須にするのは現時点で現実的でない
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
22
「共通ID基盤」構築による効果
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
会員IDやログイン処理の統合によるユーザ負担の軽減、UXの向上
外部IDとの連携による集客効果、心理的ハードルの抑制、パスワード管理負担の軽減
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
認証方式の強化や新たな技術仕様への追従が容易
高い安全性が認められている標準技術仕様に適合したサービス提供が可能
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
開発要員やコストを認証部分に割くことなく、サービス自体の機能開発に注力
ユーザ管理、システム監査、サービス利用分析などの運用業務の負担軽減や効率化
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
23
オープンAPIを提供するための
「API連携認証基盤」の構築を考える
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
24
Web API を公開する際の課題
クローズドAPI
組織内での Web API の利用
組織の境界内からのみアクセス可能
オープンAPI
組織の境界の外側の第三者へ積極的に公開する Web API
Web API 利用者の認証、機能やデータへのアクセス権管理が
不可欠
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
25
Web API 利用の形態
2者間でのAPI利用
サービスA が サービスB の機能を利用するために
API にアクセスする。
サービスB は サービスA 向けの機能・データを提供
する。
サービスA
サービスB
API
3者間でのAPI利用
ユーザC は サービスA、サービスB の利用者である。
サービスA は、ユーザCの意図により、ユーザC に代
わり サービスB の API にアクセスする。
サービスB は ユーザC 向けの機能・データを提供する。
サービスA
サービスB
API
ユーザC
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
26
3者間でのAPI利用時の認証
ユーザC は サービスA に、アクセスできるデータや操作を限定し
て、サービスB の API へアクセスさせたい
ユーザIDとパスワードなど、クレデンシャル情報を渡す方式では、全権
限をサービスAに与えてしまう。
現時点では OAuth 2.0 の利用が唯一の選択肢
利用者C の同意に基づき、利用者C が意図
した範囲の限定された権限で API への
アクセスを許可する方式。
サービスA
サービスB
API
OAuth 2.0 Authorization Code Grant
OAuth 2.0 Implicit Grant
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
ユーザC
27
オープンAPIの提供には「API連携認証基盤」が不可欠
OAuth 2.0を利用するには「認可サーバ」の機能が必要
認可(アクセス権の委譲)の前提としてユーザが適切な方法で認
証されている必要がある
オープンAPIを提供するためには、API利用者の認証・認可ができ
る仕組みを構築しないといけない
ユーザを認証する機能(OpenID Connectなどが別途必要)
OAuth2.0 認可サーバの機能
2019 OGIS-RI Co., Ltd.
API連携認証基盤
を構築することに
他ならない
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
28
「API連携認証基盤」(OAuth認可サーバ)の役割
外部サービスへのAPI提供、そのた
A
めの安全な認証機能の実現
P
I 再ログインを伴わない安全なサー
ビス利用継続の実現

証 サービス利用可能なプラット
フォームの拡充
権 利用者の同意に基づくAPI提供・
アクセス許可の実現

管 APIアクセス可能なクライアント

の制限、アクセス権の適用
+ 共通ID基盤の特性
2019 OGIS-RI Co., Ltd.
外部サービス



権限
権限
権限要求
認証
認可同意

API認証
API

権限検証
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
29
OAuth 2.0 仕様の概略
(最小限)
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
30
OAuth 2.0の構成要素
Resource Owner(RO)
リソースの所有者でありアプリケーションに
権限を委譲する人やモノ、主にID/パスワード
などでユーザ認証する
OAuth Client(CL)
CL
外部サービス
RO
ROからリソースへのアクセス権限委譲を受け
るアプリケーション、ClientID/Secretでクラ
イアント認証することが望ましい
Authorization Server(AS)


権限
権限
権限要求
認証
ROがアプリに対して行う権限委譲の仲介をす
るシステム、認証サーバを兼任してユーザ認
証機能を提供することもできる

認可同意
AS

RS
API認証
API

Resource Server(RS)
権限検証
ROが所有するリソースを管理するシステム
(オープンAPI)
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
31
APIの提供者、APIの利用者において必要な対応
オープンAPIの提供者
API利用者
CL
API連携認証システム(AS)の実装
オープンAPI(RS)のOAuth利用に
必要な実装
外部サービス
RO



権限
権限
権限要求
オープンAPIの利用者
アプリケーション(CL)のOAuth利
用に必要な実装
フロントエンドアプリケーション
バックエンドアプリケーション
2019 OGIS-RI Co., Ltd.
認証
認可同意

API認証
API
RS
AS

権限検証
API提供者
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
32
対応が必要となる OAuth の具体的仕様類
# 仕様
AS
RS
CL
① The OAuth 2.0 Authorization Framework [RFC 6749] ○ ― ○
ASがCLの認可を行いトークン発行するための仕様
② The OAuth 2.0 Authorization Framework: Bearer Token Usage[RFC 6750] ― ○ ○
CLがトークンを利用してRSにアクセスするための仕様
③ OAuth 2.0 Token Revocation [RFC 7009] ○ △ ○
CLに発行したトークンを失効させるための仕様
④ Proof Key for Code Exchange by OAuth Public Clients [RFC 7636] ○ ― △
CLがトークンをASから安全に取得するための対策
⑤ OAuth 2.0 Token Introspection [RFC 7662] ○ ○ ―
RSがトークンを検証するために必要な情報をASに要求するための仕様
⑥ OAuth 2.0 for Native Apps [RFC 8252] ― ― △
CLをネイティブアプリで実装する際のベストプラクティス
※ 上記以外にも実装にあたりセキュリティ面で考慮すべき事項についてOAuth 2.0 Threat Model and Security Considerations [RFC 6819]として公開されている。
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
33
API利用時の構成パターン
バックエンドあり(Confidential Client)
アプリ
アプリ
バックエンド
(API, Web)
オープンAPI
(RS)
バックエンドなし(Public Client)
アプリ
(NApp, JS)
2019 OGIS-RI Co., Ltd.
オープンAPI
(RS)
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
34
アプリ形態別、対応すべき OAuth の方式(RFC 6749)
#


利用者への提供形態
バック
エンド
ブラウザで動作する あり
JavaScriptアプリ
(モバイルウェブ、SPA など) なし
Authz Code Grant
Implicit Grant
Authz Code Grant
w/ PKCE に向かう
ポイント
バックエンドがオープンAPIへアクセス。
バックグラウンドでのAPIアクセスのため、
トークン自動更新が必要な場合も。
JSアプリがオープンAPIへアクセス。
トークン更新が必要な場合はブラウザを
介して行なえる。
あり Authz Code Grant ( ① と同じ )
なし

Authz Code Grant ネイティブアプリがオープンAPIへアクセ
w/ PKCE ス。バックグラウンドでのAPIアクセスの
ため、トークン自動更新が必要な場合も。
Authz Code Grant Webアプリケーションサーバがオープン
APIへアクセス。バックグラウンドでの
APIアクセスのため、トークン自動更新が
必要な場合も。
ネイティブアプリ


OAuthの方式
Webアプリ
2019 OGIS-RI Co., Ltd.
あり
(Webアプリ
サーバ)
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
35
「API連携認証基盤」のモデルケース
API連携認証基盤を導入したオープンAPIの提供モデル
Authorization Server
API連携
認証基盤
認証・認可
Web
ブラウザ
1st Party
アプリ
Webアプリ
JSアプリ
1st Partyアプリ
バックエンド
認可検証
WebView
API #1
ネイティブ
API #2
利用者
Resource Owner
3rd Party
アプリ
ネイティブ
WebView
3rd Partyアプリ
バックエンド
API #3
Resource Server
OAuth Client
認可利用
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
36
API管理のソリューションの導入も効果的
策定される新しい仕様への追従を個々の API で進めるのは困難
API管理ソリューションを使った集中管理が必要になっていく
Authorization Server
認証・認可
API連携認証基盤
Web
ブラウザ
1st Party
アプリ
利用者
Resource Owner
2019 OGIS-RI Co., Ltd.
3rd Party
アプリ
Webアプリ
JSアプリ
認可検証
1st Partyアプリ
バックエンド
WebView
ネイティブ
ネイティブ
WebView
API #1
認可利用
3rd Partyアプリ
バックエンド
API管理
(RS)
OAuth Client
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
API #2
API #3
Resource Server
37
「API連携認証基盤」構築による効果
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
再認証を伴わないサービス利用継続による利便性向上
様々なプラットフォーム上で同じサービスをユーザの状況に応じて利用できる
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
公開APIに対する認証や範囲を限定した認可、権限設定が可能
認証情報自体をクライアント側に保持させることなく期限を限定し公開APIを利用許可
公開APIを通じたサービス連携に対して利用者自身による同意や失効手続きが可能
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
外部サービスへの連携により新たな価値、新しいサービス領域を創造できる可能性
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
38
まとめ
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
39
まとめ
認証基盤のユースケースは、社内統合認証にとどまらず、顧客向けサービス
向け、オープンAPI向けへと広がり、重要性がより高まっています。
認証基盤を導入することでUX向上や安全かつ効率的なサービス提供に貢献
することができます。
API 公 開 や 外 部 ア プ リ ケ ー シ ョ ン と の 安 全 な 連 携 の た め に は OAuth や
OpenID Connectといった最新の認証連携に関する標準技術仕様群の追加更
新に継続的に対応していく必要があります。
セッション②【認証標準技術の必要性と最新動向】において最新の技術動向をご紹介致します。
当社では統合認証ソリューションを提供。それらを組み合わせて共通ID認証
基盤、API連携認証基盤の構築ニーズに対応できます。
セッション③【「共通ID基盤のスピード導入」と「ソーシャルサイトを対象としたアイデンティ
ティ連携」の実現方法】において当社認証ソリューションをご紹介致します。
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
40
ご清聴ありがとうございました
【お問い合わせ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-8054
mail: info@ogis-ri.co.jp
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
41

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
「Webシステムにおける性能問題の原因調査」の難しさと、その対策について 失敗例から見る、JUnitによる単体テストの課題と、工数削減の方法~Jtestとは~ B2C、B2B向けWebサービスにおける認証基盤のあり方 ~便利と安全を両立させる認証・認可と、その最新技術~ OSSの監視ツール、本当にZabbixだけでよいのか? ~CactiやIcinga2など、他のOSS監視ツールが適しているケースとは~ RPAだけでは自動化できない業務を、どう効率化すればよいのか? ~Robochestrationという考え方について~ システム運用の効率化と、Zabbixによるクラウド環境、コンテナ環境の監視 【大阪開催】情シスアンケートから見たワークフロー製品の課題解説と、ワークフロー製品リプレースのポイント ~「2重入力」「連携できない」を解決する方法/他社製品からの移行ポイント~ 稼働管理超過で失敗しない、Redmineによるプロジェクト管理方法とは ~Redmineに、グローバル・ガントチャートや稼働時間管理の機能を追加~ 【東京開催】情シスアンケートから見たワークフロー製品の課題解説と、ワークフロー製品リプレースのポイント ~「2重入力」「連携できない」を解決する方法/他社製品からの移行ポイント~ なぜ、Webシステムの性能問題の原因調査は難しいのか?