Open3

CAEP, RISC and SSE @ OpenID Foundation Shared Signals and Events WG

ritouritou

このスクラップでは OpenID FoundationのShared Signals and Events WG で策定が進められている仕様について整理します。

  • CAEP
  • RISC

と言う2つの観点(目的)とそれを実現するためのフレームワーク(SSE Framework)がどのように実現されるかを理解していわゆる認証基盤のようなところが採用できる状態になることがGOALです。

ritouritou

IETF Security Events WGの仕様

フォーマット、Push/Pull(Polling)の仕組みが既にRFC化されているので、それを先に覚えておくとこの後見るCAEP/RISCなイベントフォーマットやSSE Frameworkの理解が捗りそう。

ritouritou

CAEP理解のためのドキュメント

CAEPについて、最初の頃に出たGoogleの記事がOIDFのページからもリンクされている。

Re-thinking federated identity with the Continuous Access Evaluation Protocol | Google Cloud Blog

他には microsoft の発表にも注目すると良いだろう。

翻訳ではない日本語の記事もある。

上記記事の著者はRISCとの違いが気になっているようだが、

  • フェデレーションの時って最初のトークン発行のところでリスク評価するよね
  • その後のリソースアクセスでも評価が必要だよね -> CAEP

ぐらいで良いと思う。