RIZAPテクノロジーズ株式会社が、 100万人超を誇るID基盤「ZAP ID」の構築に #Authlete を採用した６つの選定理由とは？ authlete.com/ja/resources/v…　#RIZAP #chocoZAP #AWS #Firebase #Ruby #Rails

OAuth & OIDC 入門編 by #authlete youtube.com/live/PKPj_MmLq…

#Authlete 共同創業者の@darutkが@ctoa_ja 主催「Developer eXperience Day 2024」に登壇します！7/16 (火)14:00〜「いつかスタートアップを起業したいエンジニアへ」と題して講演します。7/17の懇親会も参加予定です。川崎に会いたいという方はぜひ、会場にお越しください！authlete.com/ja/news/202406…

昨日は「OAuth & OpenID Connect 勉強会 by #Authlete ー詳細仕様化のポイント」にご参加いただきまして、ありがとうございました！ぜひ、アンケート調査にてフィードバックをご共有お願いいたします。勉強会は定期的に開催いたしますので、またのご参加をお待ちしております！#OAuth #OIDC #OpenID pic.twitter.com/HYJLdbRIIO

Q: ネイティブアプリでROPCやりたいと言われたときにどう説得してる? A: MFAやRBAやりたかったら特別対応が必要になる（サーバー側もアプリ側も）とか、将来の拡張性に懸念とか、コスト的にも結果的には高くつきますよ、とか #authlete #oauth #oidc

まとめ。巨人の肩の上に乗る。アプリ開発者向けガイドラインのように明文化（S256のみにする、くらいのレベルで）。それでダメならプロに相談する（弊社のような） #authlete #oauth #oidc

PARを使うことにした。ブックマークに記録されるのはrequest_uri。その値はOP側でエラー検知できる #authlete #oauth #oidc

ログイン画面とブックマーク問題。stateが入ってしまう。あるあるネタ。老舗サービスの認証基盤を外部化したときに起こりがち #authlete #oauth #oidc

Uni-ID Libraでは、任意のacrに認証方式を組み合わせられる #authlete #oauth #oidc

コンテンツ購入前に2FAしたいとか、あるアプリのみログイン時に2FAしたいとか、パスワード忘れはOTPだけど決済時にパスキーとか。acrを使いましょう #authlete #oauth #oidc

再認証や認証強度をユースケースごとに変える場合に、何を基準にするか。ユーザーが（OPで）対話的にログインしてからの経過時間にする方がシンプル。max_ageを使う。RPでauth_timeをチェック。prompt=loginだとauth_timeがオプショナル、というか返ってこないことが一般的 #authlete #oauth #oidc

ベストプラクティスはUX観点で気になる点がある。一体感が損なわれるという声をお客さんからよく聞く。初回はin-appだけど、以降、保存したRTを使うときにバイオメトリクスで、みたいなことをお伝えしている #authlete #oauth #oidc

先人のRFC 8252 #authlete #oauth #oidc

ネイティブアプリへのOIDCの統合について。ROPCだとクレデンシャルスタッフィングのリスクとか、ログイン画面がネイティブアプリごとにバラバラになる（フィッシングのリスク）とか。リダイレクトにするとパスキー使えたりMFAのルールを共通化できたりとか #authlete #oauth #oidc

ただいま開催中の「#OAuth & #OpenID Connect 勉強会 by #Authlete ー詳細仕様化のポイント」で、NRIセキュアテクノロジーズ株式会社の赤星拓未さまにご登壇いただいております。 ​OAuth / OIDC プロファイリング事例についてご解説いただいています。 pic.twitter.com/yAt3mwzceb

RPとIDaaSの間に、プロキシー的なIdPを立てて、多段のフローにした。プロキシーがIDaaSに向けて認可リクエストを送るときにcode id_token使う。そこで返ってくるIDトークンをもとに、IdPで利用可否を判断する。ただし、一段目もcode id_tokenだと、nonceがかぶって使えない #authlete #oauth #oidc

code id_tokenを使うケース。認証・認可は既存のIDaaSがやる。認可コードを返す前に、契約状況をチェックして、ダメならエラーにしたい。その処理をRPに任せたくない。IdP側で統制したい #authlete #oauth #oidc

認可コード+PKCE が基本だが、ここではハイブリッドについて話したい #authlete #oauth #oidc

Authleteの /auth/token APIが、識別子型とJWT型の両方を返してくれる。それをもとに、クライアントごとにトークンを出し分ける #authlete #oauth #oidc

Uni-ID Libraでは、パスワード忘れの処理とかを起点にトークン失効したりできる #authlete #oauth #oidc

アクセストークンはopaque or JWT? あるグローバル展開しているお客さんの実例で、通信状況の悪い海外にあるデバイス向けのトークンと、国内のトークンとで、ATの種別を変えられるようにした #authlete #oauth #oidc

Authleteの /auth/token API を呼び出し、得られたトークンについて、さらに /auth/token/update APIを呼び出して更新 #authlete #oauth #oidc

Uni-ID Libraでは設定できる #authlete #oauth #oidc

トークンの有効期限。クライアントごと、スコープごと、それに加えて「public client & 更新系」みたいな、clientごと x scope ごとに設定する事例があった #authlete #oauth #oidc

どのリソースサーバーに取得しに行くか、ひもづけの管理。複数のRSにまたがるようにしない方がいいのではないか。あるいはresourdeパラメーターを使う #authlete #oauth #oidc

スコープAで、いままで3つ返してたところ、4つ返すようにする場合の、同意の再取得。スコープ形式を工夫して、RSの識別子をスコープに含めるなど #authlete #oauth #oidc

「契約番号がほしいです」→ 自社サービスの利用状況まで出してしまう恐れ。サービスの特性とかで境界を作るのが無難 #authlete #oauth #oidc

ひとつのスコープで複数のクレームを返すパターンと、スコープとクレームが一対一のパターン。前者は不要なクレームを返却するリスクとか、リソースサーバー側も面倒。後者は個々に指定するのが面倒だったり、同意確認の出し方も課題 #authlete #oauth #oidc

スコープをどう定義する? openid / クレーム / 機能・用途に分類し、2番目を深掘りする #authlete #oauth #oidc

UXとの兼ね合い。SP800-63BのAALだと粗い。リスク高の場合即失効しつつ、通常は長めにするとか #authlete #oauth #oidc

スマホアプリでの事例。SPAはAT30日/RTローテーション有、セキュアな実装ができるのならAT90日、DPoP使うのならAT180日、とか。「離席時に操作される」脅威はスマホの場合低いのでは無いかという考え方 #authlete #oauth #oidc

AT/RTの有効期限をどう決める? 巷のガイドラインではトークンに言及していない。セッションアイドルタイムアウトとか、セッション絶対タイムアウトを参考にしたり。OIDFだと、HEARTで具体的な値が提示されていたり、FAPIは送信者指定まで言及してたり #authlete #oauth #oidc

「OAuth & OpenID Connect 勉強会 by Authleteー詳細仕様化のポイント」開催中です！#Authlete ソリューションコンサルタント @morikavva が　#OAuth / #OIDC のプロファイリングを実現する Authlete の機能についてご説明しました。ご参加いただいている皆様、ありがとうございます！ pic.twitter.com/YVumxqxETr

パラメーター設計の悩みどころ7選 #authlete #oauth #oidc

続いて @NRIST の赤星さん #authlete #oauth #oidc

特定のクライアントやリソースオーナーに関連するアクセストークンを失効 #authlete #oauth #oidc pic.twitter.com/dXWyipjyvu

ときどきうれしい、リフレッシュトークンの冪等性 #authlete #oauth #oidc pic.twitter.com/UDGDRDbUms

トークンリフレッシュのポリシー #authlete #oauth #oidc pic.twitter.com/06eAHQmaAa

アクセストークンの有効期間を、動的に発行時に指定する機能 #authlete #oauth #oidc pic.twitter.com/Veexvgr7fz