外部IdP利用時にRP側"でも"多要素認証を行うべきかこんにちは、富士榮です。 今回は多要素認証の話です。ソーシャルIDなどの外部IdPと連携をする際、外部IdP側がパスキーに対応している場合もあり、基本的にRP側はIdPの認証結果を信じて何もしないという文字通り「Relying」な感じで構成されることが多いと思います。 しかしながら、本当にそれでいいの?とうケースも存在すると思うので、少し深掘りしてみましょう。中々難しい話だと思いますが、IdP側(例えばGoogle)で認証を強化するか、RP側(例えばECサイト)で認証を強化するか、もしくは両方か、についてユーザ体験の妥当性を含めて考えていかないといけないところです。IdPもRPもそれぞれ責任範囲が異なるので基本的に自分の責任範囲を守る目的で多要素認証を要求していますが、ユーザから見るとなぜ別々に、、という形に見えてしまうことも事実です。 この問題を根本的なところは先に書いた通り責任範囲の話
