事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
ついに「OpenID Connect」仕様が標準化
米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代
連合アイデンティティ - Wikipedia
英: Federated identityは、 複数の組織(情報システムの管理範囲)にまたがって利用できるようにしたアイデンティティ情報である。 いわば「連合した組織にまたがって用いられるデジタルアイデンティティ」もしくは「連邦化対応の(federated)デジタルアイデンティティ」であるが、定着した訳語は無い。 具体的には、ある組織の情報システムを利用できるユーザを、連邦化された別の組織においても利用できるようにユーザ認証の機能が連携するようにするほか、求めに応じて属性情報を送信できるようにする。 背景[編集] アイデンティティ情報の集中管理は、同じネットワーク内(あるいは同じ管理ドメイン下)でアクセスするユーザやシステムについて、情報セキュリティを確保するために行われる。 しかし、ユーザが外部のシステムにアクセスすることが多くなり、外部のユーザが内部システムにアクセスすることも多くなっ
OpenID - Wikipedia
OpenID財団では、誰でも参加可能な手順「OpenID Process」を経て、デジタルアイデンティティ関連の標準化を行なっている。現在有効、ないしは策定中の仕様には以下のようなものがある。 2009年にOAuth 2.0の標準化がIETFで始まったことを受けて策定が始まった、次世代の認証・連合アイデンティティシステムの標準。 HTTP上で使う場合にはOAuth 2.0をベースにしながら、HTTP以外のプロトコル(XMPP他)にも拡張可能になっており、スマートフォン上でのアプリの台頭を意識した作りになっている。 セキュリティ的にも、OpenID Authentication 2.0がNIST SP800-63ベースでレベル2程度までしかサポートできないのに対して、最高レベルであるレベル4まで対応できるように設計されている。 これに当たって、別規格としてJSON Web Token(JWT
weko - Japan Identity & Cloud Summit(学認シンポジウム, OpenID Summit)
GoogleログインSAMLログインログイン ログイン ログインIDパスワード パスワード再発行 HOMEアクセスJICS豆知識講演資料WEKOトップランキング キーワード検索 簡易検索 全文検索 インデックスツリー インデックス 2014イントロダクション・トラック Permalink : http://id.nii.ac.jp/1125/00000097/ プライバシーとアイデンティティ File / Name License JICS2014_0115_Introduction_プライバシーとアイデンティティ JICS2014_0115_Introduction_プライバシーとアイデンティティ (5.41MB) [ 2885 downloads ] アイテムタイプ 講演資料 言語 日本語 日付 2014-01-15 時間 11:30-12:00 トラック Introduction T
なぜOpenID Connectが必要となったのか、その歴史的背景
タイトル: 『認証の課題とID連携の実装 �〜ハンズオン〜』 概要: FIDO、ID連携(OAuth・OpenID Connect)をはじめとした最近の技術をご紹介します。FIDOは端末とサーバー間でユーザー認証を安全に連携するための仕組みです。OpenID Connectはユーザーの認証と認可を連携するためのID連携の仕組みで、OAuth 2.0を拡張した仕様であり、HTTP通信やJSONなど基礎的なWeb技術によって構成されています。FIDOとID連携の技術を学んだ後、実習ではGolangを用いてWebアプリケーション上にOpenID Connectを実装します。実装の注意点とそのリスク、仕様に施されているセキュリティー対策についてハンズオンを行いながら解説します。 セキュリティ・キャンプ全国大会2019 専門講義 選択コース B4 認証の課題とID連携の実装 〜ハンズオン〜 Aug
How OpenID Connect Works - OpenID Foundation
OpenID Connect is an interoperable authentication protocol based on the OAuth 2.0 framework of specifications (IETF RFC 6749 and 6750). It simplifies the way to verify the identity of users based on the authentication performed by an Authorization Server and to obtain user profile information in an interoperable and REST-like manner. OpenID Connect enables application and website developers to lau
「OpenID Connect」を理解する
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
r-weblife
ritouです。 「宣伝」2024/05/16(木)にOpenID TechNight vol.21 ~ Shared Signal Framework(SSF)+αの勉強会が開かれるようです。 openid.connpass.com そもそもSSFって知ってます?勉強会までにSSFについて少し予習しておきましょう。 SSFについて Tom Satoさんには1月のOpenID Summit Tokyo 2024にてSSFについて講演していただきました。 www.youtube.com また、昨年末のアドベントカレンダーでも記事を書いていただきました。 zenn.dev RISCとCAEPをざっくり整理すると、 RISC : アカウントに関するイベント送信を送信 (IdPでユーザーが退会した、BANされた、乗っ取られた、メアド変更した時などに連携しているサービスに通知) CAEP : セッシ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Plus Login - unknown RPC service errors
TechCrunch | Startup and Technology News