OAuth †
stateパラメタ †
- stateパラメタの限界
- 認証サーバは認可要求からクライアントがstateパラメータを利用しているかどうか”は知ることができるものの, “stateパラメータに共通の値や推測可能な値を指定していないか”、クライアントが正しく認可応答のstateパラメータの検証をしているか”までは知ることができない
PKCE †
- Proof Key for Code Exchange by OAuth Public Clients
リソースオーナーパスワードクレデンシャルグラント †
OpenID †
WebAuthn? †
基本機能 †
- Auth0でホスティングされたログインページ
- ログイン状態の管理も含め、独自で実装するコードを少なくできる
- アダプティブ多要素認証 ... リスクが高いと判断されたログイン時にのみ表示されるため、企業は強固なセキュリティを維持しつつ、ユーザーにシームレスな体験を提供することができます。
- ステップアップ多要素認証 ... よりリスクの高い情報にアクセスしようとする場合に、より強力な認証をユーザーに要求することができます。
- WebAuthn?対応
異常検出機能 †
M2M認証 †
RBAC (Role-Based Access Control) †
セキュリティ †
採用事例 †
Oktaによる買収 †
- ID管理分野でOktaによるAuth0の買収が完了、両サービスは今後も継続
- Oktaは、IDaaS「Okta Identity Cloud」を提供している。Salesforce.comやOffice 365などのSaaSや業務アプリケーションにアクセスするためのID情報(アカウントとアクセス権限)をクラウド上で管理できる。
- エンドユーザーは、Oktaのクラウドを介して、SaaSなどにSSO(シングルサインオン)でログインできる。
- Auth0は、開発者に向けて、Webサービスに認証・認可の機能を組み込むためのサービスを提供している。
- 認証・認可の機能として考えられるフル機能を、開発者みずから開発することなく利用できるとしている。
- SDK(ソフトウェア開発キット)を提供しているほか、構築済み画面のサンプルなどを用意している。ID連携によるSSOにも対応する。
AWS †