OpenID Connect のビジネスチャンス

山中進吾 / 工藤達雄

OpenIDファウンデーション・ジャパン

OpenID Connectの

ビジネスチャンス

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

はじめに

講師紹介

山中進吾

▪OpenIDファウンデーション・ジャパン コミュニティ・リード

▪@shingoym

工藤達雄

▪OpenIDファウンデーション・ジャパン 事務局長

▪@tkudos

本セッションのテーマ

クラウドの普及とともにID連携技術が益々重要性を増してきました。

エンタープライズIT市場におけるビジネス展開とOpenID Connectを

中心とした技術トレンドについて解説します。

1

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

バズワードを越えて

2

幻滅期から普及期へ 本格的に普及し始めてきたクラウド

Source: http://www.gartner.co.jp/press/html/pr20130903-01.html

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

コンシュマライゼーションの衝撃

3

Cとして使っていたクラウド・サービスがBにも侵食していく

Source: http://www.slideshare.net/CloudIDSummit/01-cis2013-opening-durand

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

外部流出が続くアイデンティティ

4

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

(Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,

Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM

エンタープライズのウチとソト

5

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

エンタープライズのウチとソト

(Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,

Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM 6

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

エンタープライズのウチとソト

ID管理システム

プロビジョニング

アクセス管理 / SSO

ディレクトリ ? (Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,

Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM 7

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ユーザー企業が求める「ソリューション」も変化

Identity based SI

ユーザー企業を “identity-enabled” にする

システム・インテグレーション

Identity based Software / Service

ソフトウェア/サービス・スタックの中心に

アイデンティティを位置づける

8

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ユーザー企業が求める「アイデンティティ・ソリューション」

アイデンティティ管理のアウトソーシングの先へ

9

Source: http://www.slideshare.net/CloudIDSummit/01-cis2013-opening-durand

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ユーザー企業が求める「アイデンティティ・ソリューション」

モバイルアプリSSO

AZA (Authorization Agent)

10

Source: http://www.slideshare.net/CloudIDSummit/cis13-authorization-agent-aza-mobile-protocol

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ユーザー企業が求める「アイデンティティ・ソリューション」

パートナー企業やサプライヤー、エンドユーザー

との信頼関係確立

11

ポリシーメーカー

Trust Framework Provider（TFP）

ID発行側

Identity Service Provider（IdP）

ID受入側

Relying Party （RP）

認定監査人

利用者

認定

認定

監査

サービス

利用申請

サービス提供

サービス

利用申請

サービス提供

データ連携

契約 契約

監査

学生向け

サービス 学生向け

サービス サプライヤー

企業

バイヤー

企業

ステークホルダー間で

ID連携するための

ポリシーを策定 ポリシーに基いて

IdPとRPを認定

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ユーザー企業が求める「アイデンティティ・ソリューション」

企業システムのAPI化によるチャネル拡大

12

コンテンツ/

機能

PC/携帯電話向け Webサイト

スマートフォン向け

Webサイト/アプリ

社員

企業

外部向けAPI

（Web

API）

パートナー企業

/SaaS

パートナー

Webサイト

店舗、

オフィス

PC、携帯端末 以外の デバイス

社内IDでの代理

アクセスを許可

社内IDでの代理

アクセスを許可

社内IDでの代理

アクセスを許可

社員の

社内IDで

代理アクセス

社員の

社内IDで

代理アクセス

社員の

社内IDで

代理アクセス

社内IDで

ログイン

社内IDで

ログイン

ID連携によってパートナーサイト/

アプリケーションと社員の社内IDを

ひもづけ、どの社員がWeb APIに

アクセスしているかを把握する

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

ID管理システム

プロビ

ジョニング

システム

SSO /

アクセス

管理

システム

ユーザー・ プロビジョニングAPI

（SCIM Server)

エンドユーザー向けWeb

アプリケーション

（OpenID Connect RP） 社内の

ユーザー追加・ 変更・削除

サービスAの

利用

管理者

エンドユーザー

利用企業A社

SaaS A社

ユーザー・ プロビジョニングAPI

（SCIM Server)

エンドユーザー向けWeb

アプリケーション

（OpenID Connect RP）

SaaS B社

サービスBの

利用

SCIM APIに従い、サービスBの

ユーザー追加・ 変更・削除

SCIM APIに従い、サービスAの

ユーザー追加・ 変更・削除

OpenID

Connectで認

証結果・属性情報要求

社内IDで

ログイン OpenID Connectで認証結果・属性情報要求

人事情報

システム

社内の

ユーザー追加・ 変更・削除

ID連携API

（OpenID

Connect IdP)

プロビジョニング機能（SCIM

Client)

Identity Provider (IdP)

アイデンティティ・認証提供側

Relying Party (RP)

アイデンティティ・認証利用側

OpenID ConnectとSCIM : 「アイデンティティ・ソリューション」を実現するための仕様

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

認可リクエスト/APIアクセス

OAuth 2.0による

API認可と統合

OpenIDの次期バージョン: OpenID Connect

OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、

認証結果や属性情報の連携、セッション管理などのAPIを標準化

14

アイデンティティ・プロバイダ

(IdP: ID情報提供側)

SSO / アクセス

管理システム

“Self-issued IdP”

リライング・パーティ

(RP: ID情報要求側)

Webアプリ

ケーション

モバイル

アプリケーション

OpenID

Connect

対応製品が

続々登場

ライブラリや

パッケージの

導入が不要

携帯端末がIdPに! ネイティブ(non-Web)

アプリでも利用可能

認証結果/属性情報提供

JWT * によって

セキュアに

ID情報を提供

* JSON Web Token

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

OpenID Connectは「OpenID をOAuth 2.0ベースに作り直す」というだけではない

既存のID連携仕様

(SAML, WS-Federation)

の実世界での適用パ

ターン、そして事業者

独自のアイデンティ

ティAPI (Facebook

Connectなど) の特徴を

分析し、仕様に取り込

んでいる

15

Source: http://civics.com/openid-connect-webinar/

OpenID Connectの系図

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

SaaS/ASP事業者にとっては、SSO実現に要するユーザー企業の負担軽減こそが一番のメリット

複数のSSO/アクセス管理ソリューションがOpenID Connectに対応済、

もしくは対応予定

オープンソースのJWTライブラリを活用して内製することも可能

ユーザー企業(IdP: ID情報提供側) SaaS/ASP事業者 (RP: ID情報要求側)

SSO / アクセス

管理システム

Webアプリ

ケーション

従業員

1. サービスに

アクセス

５． アクセス許可

（サービス提供）

２． OpenID Connect

認可リクエスト

（ブラウザのリダイレクト）

3. ユーザー認証

4. 認証結果

（IDトークン *) 返却

（ブラウザのリダイレクト）

すでに複数の

ソリューションが

利用可能

オープンソースの

ライブラリを

用いて自作する

ことも現実的 *IDトークン

IdPにおけるユーザーの認証イベントの情報。JWT (JSON Web Token) 形式。

16

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

SCIM: プロビジョニングAPIの標準化 System for Cross-domain Identity Management

SCIM対応のクラウドサービスではユーザー・プロビジョニングAPIが

共通化されるため、ユーザー企業側の対応の手間が最小に

SCIMでは「スキーマ」と「プロトコル」を定義

スキーマ: ユーザーやグループなどのJSON表現。要件に応じて拡張可能

プロトコル: RESTful API。CRUD (生成/参照/更新/削除)、検索、ディスカ

バリ、一括（バルク）処理など

ユーザー企業A社

プロビ

ジョニング

システム

SCIM Service Provider

（RESTful API)

SaaS A社

SCIM Service Provider

（RESTful API)

SaaS B社

JSON

SCIM

Consumer

JSON

17

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

Enterprise Identity Working Group (EIWG) エンタープライズ・アイデンティティWG

2012年12月、OpenIDファウン

デーション・ジャパンとJNSA

アイデンティティ管理WGが共

同で設立

「OpenID ConnectとSCIMの

エンタープライズ利用ガイド

ライン（仮称）」を作成し、

エンタープライズID管理を

もっとシンプルにするための

啓蒙活動を行う

18

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

「OpenID ConnectとSCIMの

エンタープライズ利用ガイドライン（仮称）」

エンタープライズIT向けクラウドサービス事業者を

対象に、自社サービスにOpenID ConnectとSCIMを

利用するにあたり検討すべき項目と適用方法を解説

エンタープライズ環境特有の要件

▪例: ファイアウォール構成、認証レベル/再認証、属性更新など

日本のユーザー企業特有の要件

▪例: 組織階層や兼務所属の表現方法、漢字と読みの表記、一斉人

事異動など

ガイドラインは今後公開予定

19

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

EIWGに参加するには

SIer・システムベンダー

OpenIDファウンデーション・ジャパン会員になっていただく必要が

あります

エンタープライズ向けSaaS・クラウド・ASP事業者

OpenIDファウンデーション・ジャパン会員になっていただく必要は

ありません。そのままご参加頂けます

エンドユーザー企業（IT部門のID管理システム担当者）

OpenIDファウンデーション・ジャパン会員になっていただく必要は

ありません。そのままご参加頂けます

20

※詳細はOpenIDファウンデーション・ジャパンにお問い合わせください（後述）

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

OpenIDファウンデーション・ジャパン

2008年設立

日本におけるOpenID関連技術の普及・啓蒙活動を通じ、

オープンなAPIエコノミーの成長を支援

会員企業・団体42社 *

21

株式会社アグレックス 株式会社イーコンテクスト 伊藤忠テクノソリューションズ株式会社 株式会社イマーディオ 株式会社インターネットイニシアティブ エクスジェン・ネットワークス株式会社 NECビッグローブ株式会社 NKSJシステムズ株式会社 NTTコミュニケーションズ株式会社 エヌ・ティ・ティ・ソフトウェア株式会社 株式会社NTTドコモ オープンソース・ソリューション・テクノロジ株式会社 学校法人河合塾 クミナス株式会社 株式会社ケイ・オプティコム

KDDI株式会社 サイバートラスト株式会社 株式会社ジェーシービー シックス・アパート株式会社 株式会社スマートリンクネットワーク セコム株式会社 株式会社セブン銀行 ソフトバンクBB株式会社 東洋ビジネスエンジニアリング株式会社 凸版印刷株式会社 株式会社日経BP ニフティ株式会社 日本生命保険相互会社 日本電気株式会社 日本電信電話株式会社

日本ベリサイン株式会社 一般財団法人日本情報経済社会推進協会(JIPDEC) 株式会社野村総合研究所 Ping Identity Corporation 富士通株式会社 マネックス証券株式会社 株式会社ミクシィ 三井住友カード株式会社 株式会社三菱東京UFJ銀行 ヤフー株式会社 楽天株式会社 株式会社レジェンド・アプリケーションズ

* 2013年8月末時点

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

業界動向の把握と新市場創出の場をOpenID

ファウンデーション・ジャパンがサポートします

会員企業・組織になることで…

ワーキンググループへの参加を通じた、業界

イニシアティブへの関与

企業や業界を超えた標準仕様の作成や、

ビジネスモデル創出に関する検討

技術者コミュニティや会員企業間の情報交換を

通じたデジタル・アイデンティティ関連の技術

動向、ビジネス動向の収集

各種会員企業限定のセミナー、懇親会、

フォーラムへの参加

会員企業プロモーション支援

22

Copyright 2013 OpenID Foundation Japan - All Rights Reserved.

まとめ

クラウドサービスが普及するにつれて、ユーザー

企業は急激なコンシューマライゼーションと

新たなセキュリティの課題に直面しています。

「OpenID Connect」と「SCIM」は、ユーザー

企業が求める新たな「アイデンティティ・

ソリューション」を実現するための仕様です。

OpenIDファウンデーション・ジャパンは会員

企業・組織とともに、「エンタープライズ・

アイデンティティWG」を推進し、業界を

主導します。

23

http://flic.kr/p/5iJp6M

お問い合わせは事務局まで

03 6274 1451 [email protected]