御成門プログラマーの日記

Microsoft AzureやAngularなどの技術情報を発信します

Microsoft Ignite The Tour Tokyo 参加メモ【 BRK30053 分権型IDテクノロジーによる効率的な外部ユーザのID管理】

Microsoft Ignite The Tourの参加メモを残しておきます。

www.microsoft.com

BRK30053 分権型IDテクノロジーによる効率的な外部ユーザのID管理

  • デジタルアイデンティティをどうやって確かなものにしていくか。

  • 外部ユーザとのコラボレーションの課題

    • 直接あったことのない人をどうやって信頼するか
  • B2Bシナリオ 従来はホスト側で責任をもって管理し、招待し、フェデレーションしなくてはならない。

  • ちゃんとフェデレーションできているか

    • NIST S800-63C FAL

      • 意外とB2Bの基準で組まれることが多い
      • アサーションがトランザクションに対してどのように構成され、保護されているか
        →つまり、そのトランザクションはID情報をやり取りするだけの安全性を持っているかどうか
    • Binding:stateとnonceをちゃんと使えているか → bindingがなくても動いてしまう。 セッションの乗っ取りやトークンリプレイ攻撃をされてしまう。
      アプリケーションが署名を検証しなくては意味がない。

    • 署名検証: SAML AssertionやJWTの検証をちゃんとしているか
  • そもそも外部ユーザーの管理の要件とは

    • 双方に面倒なせっていがいらない
    • そのユーザーが企業に属していることを確認できる
    • 作成や管理はホスト側でしなくても済むこと
      → bring you own identity
  • インテンションエコノミー

  • 顧客の意思が中心の経済
  • 自分の意思の情報を店に提供する

  • SSI 自己主権型アイデンティティ

  • DID 分件型アイデンティティ

    • ざっくりいうと分散台帳の上に公開された公開鍵基盤
  • SSI/DIDで実現したい世界

    • 物理の世界で発行したID(免許証、保険証、会員証)は発行元を信頼して認証されている
    • ディジタルの世界ではなんでできないのか
  • 中央集権型アイデンティティ基盤

    • プライバシー問題
    • 属性の保証
  • 簡単にいうと「運営主体が利用者の行動を把握することなく」、「アプリケーションとID基盤が直接通信sることなく」、本人確認と認証を行うことができるモデルの構築を目指す。

  • 分散台帳としてブロックチェーンを使うことの利点

    • Issuerの事業継続性をきにする必要がない→過去に発行された証明書を継続的に利用することができる
    • 一つの主体の都合で捏造、改変、駆除ができない
  • 外部ユーザー管理のシナリオへ当てはめる

  • BYOID by SSI EKYC powered by did

    • パートナー企業自体が自身のIDを持ち歩く
  • デモ ADB2C + uPORT ID Wallet

    • ID wallet上のサプライヤの社員証を使ってアイデンティティを証明する
    • フェデレーション構成や外部ID管理を行う必要なし
    • walletの登録と社員証の発行