参考)
Identity Conferenceのページ
https://idcon.doorkeeper.jp/events/23320
FIDO Allianceのページ
https://fidoalliance.org/
◆当日の流れと様子
詳しくは @nov さんが togetter にまとめてくれていますが、当日は以下の順番で講演が行われました。
1. Token Binding と FIDO / レピダム 前田さん(@mad_p)
Tokbind-fido from Kaoru Maeda
OAuth の Token や Cookie などの Bearer Token はその名の通り、Bearer(持って来た人が使えてしまう)なトークンなので、認証等のセキュリティが求められるトランザクションには不向きです。Token Binding は Token を行使できる相手の ID と Token を関連付けて管理していこう、という取組みです。今回前田さんに紹介いただいたのは tls-unique を使って TLS セッションと Token を関連付け、TLS セッションが生きている間は Token を有効にする、という仕組みでした。
また、この Token Binding を安全にやり取りする仕組みとして、id_token 内に入れて署名する方法や、今回のテーマでもある FIDO を使って署名する方法が紹介されました。
2. FIDO in Windows 10 / ふじえ(@phr_eidentity)
2番目が私のパートでした。
基本的にはこれまで本ブログで書いてきたことばかりではありますが、マイクロソフトが Windows 10 と Microsoft Azure Active Directory で目指している True SSO 環境=「どこからでも、どんなデバイスからでも、デバイス~アプリケーション間での SSO を実現できる環境」と構成する要素である Microsoft Passport / Windows Hello の概要の説明、そして Azure AD Join を行った環境におけるデバイス登録~ログイン~アプリケーション利用までのフローの解説をさせてもらいました。
FIDO との関係としては、デバイスの登録およびPCへのログインの部分の仕組みが正に FIDO、そのあとのアプリケーション利用の仕組みは OpenID Connect ってあたりです。
3. Yahoo! JAPAN の FIDO への取り組み / ヤフー 五味さん
このセッションが一番最初だったら良かったんじゃ、、と思いました。
パスワードの課題~ FIDO の概要・仕組みに関する説明が抜群にわかりやすかったので、このスライドを見た後に、Azure AD Join のフローを見るとどこが FIDO なのか?についてより理解できると思いました。
FIDO の本質はデバイス登録~信頼により、認証サーバが登録済みデバイスによって行われたユーザ認証結果を信頼する、という流れでユーザ認証に関するやり取りがネットワーク上を流れなくする=クレデンシャルを保護しやすくなる、というのが一番のキモですね。
4. パスワードレス認証 M-Pin の概要 / CertiVox 尾崎さん
NTTソフトさんの Trust Bind との組み合わせソリューションとして最近日本でも活動を始めた英国の CertiVox 社のパスワードレス認証の仕組み「M-Pin」の紹介でした。
FIDO のような標準化を目指した仕組みではなく、独自の仕組みではありましたが、銀行 ATM の暗証番号入力のようなユーザ・インターフェイスは使いやすそうで、一般の利用者に多要素認証を使わせるにはハードルが低いのではないか?と思いました。
https://www.certivox.com/
◆おまけ
ちなみに、セッションを引き受けた時は Windows Hello が5月末には使えるようになっているだろうなぁ、、、という微かな期待の元、インテルの Real Sense (3D/赤外線カメラ)を買って準備していたんですが、残念ながらセッション当時リリースされていた Windows 10 Technical Preview Build 10074 / 10122 ではまだ Windows Hello は実装されていませんでした・・・。昨日あたらしく 10130 がリリースされていたので、そちらで試してみてまた別途レポートします。。
製品ページ
http://www.intel.co.jp/content/www/jp/ja/architecture-and-technology/realsense-overview.html
Amazon
http://amzn.to/1LPbBbW