Attribute Provider と替え玉問題

  • 二段のうちの片方である、IdP が AtP から ユーザー識別子を取得するフローに注目してみましょう

ユーザー識別子 : 22
組織名称(英字) : Bakada University
組織内所属(英字) : Philosophy
組織名称(日本語) : バカ田大学
組織内所属(日本語) : 社会学部哲学科
学生判定 : 学生

  • 問題
    • Attribute 所有者の協力によって、無関係の Identity にその Attribute を結びつけることが可能
      • OAuth の特徴によって、Attribute 所有者は Attribute へのアクセス権限だけを安全に譲渡することができる
    • IdP が持つ複数の Identity に、同一の Attribute を結びつけることが可能
      • 対策
        • AtP は、必ず Attribute にユーザー識別子を含めなければならない
        • RP(IdP が単一の場合は IdP でも可)は、ユーザー識別子がユニークであるか確認しなければならない
          • IdP が複数あり、ユーザー識別子が PPID である場合、RP は IdP ごとにユニークであることしか確認できない