OpenID Technight #10レポート
9月4日に行われたOpenID Technight #10に行ってきました。
IIJさんの会議室を借りて行われました。
「JOSE + JWT 翻訳」
JWT in Production
会場に質問
- JWT知ってる人 … 3割くらい
- OpenID Connect IdP/RP 実装した人 … 十数人
- してみたい人 … 2割くらい
- cf. ID & IT 2013 東京9/20
- SAMLのIdP/SP実装したことある人 … 数人
- CSV万能?
SAML, The Enterprise
JWT, JWS, JWE
-
- 何に使うの? → Use Cases
- トランスポートレイヤーではなくオブジェクトベースのセキュリティメカニズム
- 何に使うの? → Use Cases
JOSE Use Cases
JWTのフォーマット
セキュアに使うには? → JWS
その他のJOSE/JWT関連仕様
「CIS 四方山話」
CIS 2013 Napa
- 近藤さん
- CIS 知ってる人? → 半分くらい
- Napa だったのでワインのんだくれ + 和装 浴衣より下駄がウケた
- ファミリー連れてきてください系。家族も楽しめる
- 家族は期間通しで50ドルで面倒見てくれる
- テーマ: The Great Enabler of Next
キーノート他
- 江川さん
- OIDC、日本ではどういう状況なの、っていう話をしてきた
- プレゼンがさんざんだった。アメリカのTEDスタイル
- アメリカのプレゼンスタイル:
- 歩き回る。スライドめくるのはリモコン
- 抽象的な写真が多い
- Ping社長アンドレデュランドのキーノート
- Identiityについて世の中で何が起こっているかを紹介、その考察
- 9つのobservation
- Observation #1: ヒゲが生えるように属性が増えていく
- Linked.in 属性を22個登録すると、回りの人が評価してくれる
- 自分についての知ることのできることで、他の人に役立っていること → 伸びていく
- Obs. #2: I (Id) is connected
- Obs. #3: I'm been watched
- 1990年代: ネットの向うのヤツは君が犬なんてわからないよ(Internet Dog) → Now: わかっちゃう
- IDの便利さはプライバシーの懸念と表裏一体
- Obs. #4: Even being watching, I'm watched
- 家でアカウントをシェアしていると、そのシェアした属性が使われる
- Obs. #5: Cyberがリアルを侵食する
- スマートデバイスが増える
- Obs. #6: なんでもタグ付けできる
- Square tag: なくしたときになくしたよってツイートすると、見つけた人が報告してくれる
- stick-n-find 50m以内で見つけてくれる
- "Internet of things"の時代が来た
- Obs. #7: Location, Location, Location
- Obs. #8: パーソナルとビジネスのクラウドがいっしょくたになってきている
- consumerization is real. solutions are born in the void between convenience & control
- 便利と管理のはざまからソリューションが生まれる
- Obs. #9: Idは電話の回わりに集中してくる
- Identityは、ISO 7階層モデル/TCP4階層モデルの第3層(transport層)と第4層(application層)の間にあると考えられる
- Id must be embedded
- IAM: SaaSでFederation、次はIDaaS: IAMはenterpriseからIDaaSに移る
- Liberty Alliance Projectの始まりのころ、Netscapeは.comなどのベースを作りたかった
- Network Identity → Outsource Identity Infrastructure → Outsource Identity
- つまり Federation → IDaaS → Trusted ID providers
- CISのIdentity Manifestoではだいたい流行っているものが殺される
- @shingoym: B2CのC, B2B2EのE, G2CのCって、結局同じ人じゃん。相手によって決まる。どういうこと?
- → ペルソナを切り換えて使うようなことを言っている
- 企業の中ってプライバシーが難しい。従業員IDというと、その属性の持ち主は企業。クラウドを使い出すと、属性が外へ出ていく。いままで雇用契約で閉じていたところが、漏れていく
- → ID & ITでもセッションを用意
- @_nat: プライバシーは所有権ではなく使用権として考えたほうがいい
セッション全体の傾向
- API化の流れ
- as a service
- IDaaS: 必然
- 単純にID管理をクラウドに持っていくだけではない
- Trust framework, Attribute exchange
- AXの例: FCCX
- NSTIC: National Strategy for Trusted Identities in Cyberspace
- slideshare.net/CloudIDSummit
OpenID Connectはあなたの課題をどう解いてくれるか
雑談
Q&A
- 本人認証、シェアアカウントじゃないか、副アカじゃないかという検証は、現状スマホにワンタイムパスワードを送るしかない。このようなやり方はどう考えられているか。他の方法はあるか
- 知ってる認証、持ってる認証、生体認証。生体はお金かかるし難しいと思うが、いまはできるようになっているのか?
感想
私もJWSの翻訳チームに参加しました。多人数で手分けして翻訳したのは初めてで、訳語の統一などレビューが大事だなあと感じました。
パネルは本当に面白かったです。発表に使われたスライドは冒頭で紹介したDoorkeeperのイベントページにリンクされるとのことです。
近くのレストランで懇親会も行われ、こちらでもおおいにもり上がりました。