CIBA(Client Initiated Backchannel Authentication) のバックアップ(No.16)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• CIBA(Client Initiated Backchannel Authentication) へ行く。
  • 1 (2018-11-10 (土) 21:48:30)
  • 2 (2018-11-10 (土) 22:20:55)
  • 3 (2018-12-17 (月) 12:49:24)
  • 4 (2018-12-18 (火) 12:17:35)
  • 5 (2019-01-04 (金) 12:32:16)
  • 6 (2019-01-06 (日) 16:05:50)
  • 7 (2019-01-17 (木) 11:59:35)
  • 8 (2019-01-23 (水) 10:26:37)
  • 9 (2019-02-13 (水) 19:35:48)
  • 10 (2019-02-18 (月) 19:07:03)
  • 11 (2019-02-19 (火) 16:40:08)
  • 12 (2019-03-04 (月) 12:48:22)
  • 13 (2019-03-29 (金) 15:32:20)
  • 14 (2019-03-29 (金) 21:10:51)
  • 15 (2019-05-21 (火) 19:04:40)
  • 16 (2019-05-21 (火) 19:07:23)
  • 17 (2019-06-05 (水) 17:41:19)
  • 18 (2019-11-29 (金) 13:00:28)
  • 19 (2019-11-29 (金) 19:59:43)
  • 20 (2019-11-29 (金) 20:59:50)
  • 21 (2019-12-02 (月) 12:26:19)
  • 22 (2019-12-03 (火) 09:33:06)
  • 23 (2020-02-21 (金) 20:47:43)
  • 24 (2020-02-23 (日) 15:40:07)
  • 25 (2020-02-23 (日) 21:05:41)
  • 26 (2020-02-25 (火) 09:21:56)
  • 27 (2020-02-27 (木) 09:43:44)
  • 28 (2020-02-27 (木) 16:58:01)
  • 29 (2020-08-25 (火) 17:02:17)
  • 30 (2020-11-27 (金) 17:25:46)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • OAuth 2.0 拡張
  • OpenID Connect

目次 †

概要 †

「新たなユーザ認証体験」のベースとなりうるものらしい。

• デバイスを
  • サービス利用
  • ユーザー認証

に分離することによりユーザー認証体験の可能性が広がる。

• 以下の両分野がCIBAの標準化を進めている。
  • モバイル
  • 金融API

※ CIBAは、シーバと読む。 FAPIと、直接関係は無い。
※ OpenID Foundation の MODRNA（マッダーヌァ） WG (mobile系 の WG)で策定。

イメージ †

用語 †

• 基本的な用語は、OAuth2/OIDCと変わらない。

• その他、以下の用語が追加されている。

• Consumption Device (CD)
  CIBA Flow ユーザ（なんでもOK）だが、
  基本的にConfidential Clientを経由する。

• Authentication Device (AD)
  認証デバイスで、スマホのプッシュ通知を使う想定。

• BA EP（バックチャネル認証エンドポイント）
  AuthZ（IdP/STS）に追加される新たなエンドポイント。

ユースケース †

以下のようなユースケースがある。

• 銀行窓口での顧客認証
• コールセンターにおける発信者認証
• ユーザーのスマートフォンで POS 端末の支払い

ポイント †

CIBAのユースケースのポイントは、

• 認証リクエストする人と、
• スマホの承認ボタンを押下する人が、

違うコトであるもよう。

同一人物の場合 †

• 2FA的な意味合いも無いので微妙。

• パスワードレス的な意味はあるが、その場合、単純に、
  AuthZ（IdP/STS）をスマホのプッシュ通知に対応させればイイ。

OAuth 2.0 Device Flowとの違い。 †

CD, AD の分離 †

• OAuth 2.0 Device Flow
  • 通常のOAuthダンスのフローで RP -> IdP/STS（OP）と遷移してログインする。
  • その後、Redirectではなく、URL / QRコードを表示し、これをスマートフォンに入力する。

• CIBA
  • CD は、IdP/STS（OP）にCIBA独自の認証リクエストを行う。
  • IdP/STS（OP）が AD を用いて要求を認証するユーザと対話する。

事前のユーザー識別 †

Clientの、事前のユーザー識別は必要か？

• OAuth 2.0 Device Flow
  不要（OAuth2と同じく、ログインするので不要）。

• CIBA
  必要になる。
  • 要求時、Client が IdP/STS（OP）に認証対象ユーザを通知する。
  • IdP/STS（OP）は、AD を特定 して、プッシュ通知を行う。

詳細（フロー） †

フローを見ると、RedirectによるOAuthダンスではなく、OAuth 2.0 Device Flow風で、
デバイスへの通知にSMSではなく、スマホのプッシュ通知を使用している感じの仕様っポイ。

• 従来の従来のOAuthダンスは「Redirect フロー」と言うらしい。

• CIBA は「Decoupled フロー」と言うらしい（decoupled and back-channel）。

• decoupled：
  Client（Webアプリとスマホ）と認証デバイス（≒スマホ）に分離。
  其々のスマホを、Consumption Device (CD) 、Authentication Device (AD)と言うらしい。

• back-channel：
  AuthZはback-channelで認証要求を受付け、認証結果を返す(Poll / Ping / Push)。

認証リクエスト・レスポンス †

• 認可リクエストではないことに注意。
• 認証リクエストを受け付けてレスポンスする（以後、非同期的に処理）。

ユーザ特定 †

クライアントがAuthZのバックチャネル認証エンドポイントにリクエストを投げる際、

• 以下のパラメタのどれか一つをヒントとしてサーバに渡す。
  • login_hint_token
  • id_token_hint
  • login_hint

• サーバはそのヒントを元に認証対象ユーザを特定する。

認証要求の正当性 †

認証デバイスに飛んできた認証要求が正当なものかどうかを確認するためのパラメタ

• Binding Message
  • かなり短い単純な文字列であることが想定されている。
  • Biding MessageをADにそのまま表示する

• user_code

ユーザ認証 †

通知->認証 †

• 特定した認証対象ユーザのスマホにプッシュ通知を送信する。
• 認証ボタン押下で、エンドポイントにレスポンスが帰る。

非同期処理 †

プッシュ通知を送信した後、認証ボタンが押下される間、
IdP/STS（OP）は、その認証に一意にひもづく識別子をClientに返す。

Tokenリクエスト・レスポンス †

• 上記の識別子を使用してTokenリクエストする。
• これにより、認証リクエストの結果とTokenレスポンスを返す。
• 認証リクエストとの繋がりは非同期的なので、以下の、Poll / Ping / Pushの3つの方式がある。

Poll †

Client は IdP/STS（OP）の Token Endpoint を
認証の識別子と共にポーリングして応答を受け取る。

Ping †

• 事前に Client が登録しておいた Callback URI に対して
  IdP/STS（OP）が認証の識別子と共に通知用のリクエストを送る。

• その後、Client は Token Endpoint からトークンを取得する。

Push †

事前に Client が登録しておいた Callback URI に対して
IdP/STS（OP）がトークンを含むリクエストを送る。

参考 †

• openid / fapi / 課題 / #127 - CIBA: security issues — Bitbucket
  https://bitbucket.org/openid/fapi/issues/127/ciba-security-issues

• Authlete を使って CIBA 対応の認可サーバーを作る
  https://qiita.com/hidebike712/items/8fc2938055d0b49cfc0a

OpenID †

• OpenID Connect Client Initiated Backchannel Authentication Flow - Core 1.0 draft-01
  https://openid.net/specs/openid-client-initiated-backchannel-authentication-core-1_0.html

• Public Review Period for OpenID Connect Client Initiated Backchannel Authentication (CIBA) Core Started
  https://openid.net/2018/12/14/public-review-period-for-openid-connect-client-initiated-backchannel-authentication-ciba-core-started/

TakahikoKawasaki? †

• 【2019年版】世界最先端の認証認可技術、実装者による『CIBA』解説
  https://qiita.com/TakahikoKawasaki/items/9b9616b999d4ce959ba3

tkudo †

• CIBA (Client Initiated Backchannel Authentication) の可能性
  https://www.slideshare.net/tkudo/openid-connect-ciba-overview

• FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authentication)
  https://www.slideshare.net/tkudo/fapi-ciba-2019-03-28

ritou †

r-weblife †

• OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは
  • 概要編
    https://ritou.hatenablog.com/entry/2018/12/29/224452
  • 詳細もとい感想編
    https://ritou.hatenablog.com/entry/2019/03/04/005238

• twitter.com
  • https://twitter.com/ritou/status/1120863238038511616

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.042 sec.