Google、Sign in with Googleに認証手法や時刻を示す新クレームを追加

新機能は認証済みアプリで利用可能となる。バックエンドが受け取るIDトークンに標準クレームが追加され、個人用のGmailアカウント利用者だけでなく、「Google Workspace」管理下のアカウント利用者にも適用される。

Googleは、Sign in with Googleの利用によって開発者がGoogleの認証基盤を活用できる点を強調した。Google側で利用者セッションの認証や安全性確認を担い、その結果得られた情報をアプリ側へ提供する。

追加されるクレームは「auth_time」と「amr」の2種類。「auth_time」は、利用者がGoogleアカウントへ認証し、セッションを生成した直近の時刻を示すOIDC標準のタイムスタンプだ。アプリやWebサイトにIDトークンやアクセストークンが発行された時刻とは異なる。

この情報で、Google側のセッションがどの程度新しい状態かを把握できる。利用者本人の存在を確認する根拠として活用しやすくなり、一定時間経過後に再認証を求める仕組みなどへ応用できる。

「amr」はAuthentication Methods Referenceの略で、認証時に利用した手法を示す文字列配列だ。利用可能な値には、パスワード認証を示す「pwd」、多要素認証を示す「mfa」、ハードウェア保護された鍵を示す「hwk」、ソフトウェア保護された鍵を示す「swk」、電話認証を示す「tel」、SMS認証を示す「sms」が含まれる。

この情報によって、認証の強度を把握しやすくなる。管理者権限機能へのアクセス時に多要素認証利用者のみ許可する、もしくはセキュリティキー利用者だけに特定操作を認めるといった制御が可能となる。

Googleは認証の流れにおいて2種類のセッションが存在すると説明した。1つは利用者とGoogle間のセッションであり、Googleが管理する。もう一つは利用者とアプリ間のセッションで、アプリ側が管理する。新クレームはGoogle側セッションに関する情報を提供し、アプリ運営者の判断材料となる。

新クレームはAndroidとiOS、Webのクライアントおよびサーバアプリケーションで利用できる。

Googleによると、固定的な認証ポリシーだけでは現在の脅威環境への対応が難しくなっているという。認証状況を細かく把握できれば、アカウント乗っ取りや不正アカウント利用などの検知精度向上につながる。安全性が高い認証直後のセッションでは機密性の高い操作を許可しやすくなるとしている。

活用例としては、認証手法を監査ログへ記録する仕組み、セッション経過時間に応じて追加認証を要求する仕組み、認証手法を権限制御へ反映する仕組みなどを挙げた。

既にOpenID Connectを利用したSign in with Googleを導入済みの場合、認証フローの大きな変更は不要とした。認証リクエスト時にOIDC標準のclaimsパラメーターを使って新クレームを要求することで利用できる。