認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査をする前に、一瞥してこれから踏み込もうとしている領域の超俯瞰マップを作る」という感じで使うことを想定しています。 同じ様な方の役に立ったら、とても嬉しいです。 この本は筆者の理解に連動して追記修正される可能性があります。
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
【累計5000部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
Google Cloud Identity Services昨日開催された「リーグオブ情シス #7」でも紹介されていた、Google Cloud Identity Freeを試してみます。 Google Cloud Identity Freeとはデバイス管理やディレクトリ管理、SAMLを利用したSSOなどGoogle Cloud Identityのほとんどの機能を無料で利用できるライセンス体系です。 閲覧だけに限って言えば、Google Driveの共有ドライブも利用することが可能です。 作成できるユーザー数は「50」までに制限され、プロビジョニングなどはできませんが、ユーザーの組織管理という観点においてはほとんどのことを十分にこなすことが可能です。 Google Workspaceを利用している場合は、同じ組織内にユーザーを共存させることも可能なので、小さな組織でパート・アルバイトの方な
TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス活用推進ひいてはビジネスの加速に繋がる工数・コストを下げる為に導入するWebサービスにSAML/SSOは必須ログインをSAML/SSOに限定出来ることまでがマストWebサービス利用におけるセキュリティ面で一番重要なのがID周り個々のWebサービスのセキュリティ対策よりもID管理に特化したシステムに任せた方がよっぽどセキュア(餅は餅屋)Webサービス導入時には値が張ってもSAML/SSO出来るプランで契約するSAML/SSOが出来ないことによるデメリット(工数・コスト)の方が、SAML/SSOを有効にできるプランにアップグレードする費用に勝るB2BのWebサービスを提供する企業は全プランに
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
こんにちは、アルダグラムのSREエンジニアの okenak です 今回は AWS ClientVPN を導入したことで、社内の運用業務の効率化とセキュリティの強化を達成した事例を紹介したいと思います。 背景 2019年の段階では社員数が12名程度だったこともあり、社内システムのアクセス制御にAWSのセキュリティグループを利用してオフィスIPやリモート接続先IPを解放することで対応を行っておりました。 2023年には社員数が80名になっており、インバウンドルールが40を超えセキュリティグループが穴だらけという状態になっており、社員数増加に伴うIP制限更新作業による管理コストの増大とセキュリティ上のリスクが問題になってきたため、AWS ClientVPNを導入することに踏み切りました。 AWS ClientVPNについて VPNに関して他社のサービスとも比較しましたが以下の点が推しポイントでし
組織内でクラウドアプリケーションの導入が増え、 Azure AD で SSO することが増えました。感覚的には2021年比で数倍です。初めて設定した時は緊張しながら実施したものですが、数を積んでだいぶ慣れてきました。 依頼をもらって設定するのは、SAMLばかりです。そのSAMLをほかのメンバーでも対応できるようにしたいので、自分が説明するために流れをまとめてみました。アレコレ、端折ってますがご容赦を。 覚えておく サービスプロバイダ(SP):クラウドアプリケーション、SaaSのこと。IDプロバイダ(IdP):認証機能側。AzureADとか。 SP-Initiated:クラウドアプリケーションでログインしようとすると、IdPに飛んで、認可されたらクラウドアプリを開ける方法。入口はSP側にある。IdP-Initiated:IdPでログインしている状態で、指定のURLを開くと、クラウドアプリケー
こんにちは、Azure Identity サポート チームの 竜 です。 本記事は、2022 年 12 月 15 日に米国の Azure Active Directory Identity Blog で公開された End user passwordless utopia を意訳したものになります。 Azure と Azure Active Directory (Azure AD) で利用できる技術はたくさんありますが、全体像を把握し、それらがどのようにエンドユーザーのユーザー体験に作用するという全体像については見逃しがちです。 Azure AD で利用できる技術には以下があります: Azure AD 多要素認証 (MFA: multi-factor authentication) パスワードレス認証 条件付きアクセスおよび認証強度 デバイス登録 プライマリ更新トークン (PRT: Prim
AWS SSOのコンソール画面を触ってると、「んん??どういうこっちゃ??♂️」みたいに混乱することありませんか?画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは?(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
{ if (value) { $nextTick(() => $refs.desktopItem1.focus()) } })" tabindex="-1" aria-labelledby="intl-menu-link"> Australia Brazil Canada (EN) France Germany Korea Mexico Netherlands Singapore Spain Sweden United Kingdom United States
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
こんにちは。 この記事は freee Developers Advent Calendar 2024 - Adventar 12/09(9日目)の記事です。 adventar.org 今日は「共通管理基盤開発チーム」の "にいおか" が担当します。 昨日は shikakun さんの freeeで1年間働いてわかった「ふつう」のアクセシビリティ - freee Developers Hub でした。shikakun さんが入社して1年弱の間に実感した freee のアクセシビリティへの取り組みについて書かれています。私も入社してそれなりの年月が経ちますが、アクセシビリティへの向き合い方・重要視する姿勢は一貫して変わっていないなと感じます。これは freee の凄さであり強みであるなと改めて実感した記事でした! 本記事では「共通管理基盤サービス」に SAML 認証の仕組みを作成し、既存の「管理
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。教育現場を支援するクラウドサービス「Classi」を提供するClassi株式会社から大南氏が、「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」をテーマに話しました。 自己紹介とClassiについて大南賢亮氏(以下、大南):Classi株式会社の大南です。本日は「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」というタイトルで発表します。 大南賢亮です。直近10年くらいはBtoCサービスを中心に、DBA、サーバーサイドエンジニア、SREを経験しています。Classiには、2019年5月にSREとしてジョインしました。ここ数年はインフラとセキュリティ領域を中心に業務を行っています。 まずClassiについて説明します。Classiは
Skip to the content. Why does this exist? Single sign-on (SSO) is a mechanism for outsourcing the authentication for your website (or other product) to a third party identity provider, such as Google, Okta, Entra ID (Azure AD), PingFederate, etc. In this context, SSO refers to a SaaS or similar vendor allowing a business client to manage user accounts via the client’s own identity provider, withou
概要 OktaとGitHub Enterprise CloudをSAML連携させるために、Oktaのアプリ統合カタログにある「Github Enterprise Cloud - Enterprise Accounts」を使ってSSO(シングルサインオン)を実現しました。 実現できたこと プライベート環境と仕事環境の切り分けが可能になった GitHubでは、Enterprise Managed Usersという仕組みを利用している場合を除き、個人アカウントを使用して会社のGitHub環境に参加します。そのため、GitHubにログインすれば、時間や場所、デバイスに関係なく仕事環境にアクセスすることが可能です。しかし、これは労務管理とセキュリティの観点で問題がありました。 SAML連携後は、個人アカウントに従来の認証方法でサインインした後、仕事環境へアクセスするためにOktaで追加認証を行う必要
あまり見かけることが無くなりましたが、TwitterのログインにTwitterアプリを使うSSOというログイン方法があります。 ログインボタンを押すと、Twitterアプリが立ち上がりアカウントを選んで認証しアプリに戻ってくるという挙動をします。 このSSOは、元々TwitterのSDKであるtwitter-kitで実装されていました。 しかし、twitter-kitは2018年時点で非推奨になっておりそれと同時にドキュメントからもSSO方式のログイン方法が案内されることは無くなりました。 つまり、twitter-kitのSSOは利用者が一定いるからなのかtwitterの裁量で今も使えるだけで気まぐれに急に使えなくなることが起きうるわけです。 SSOを利用しているサービスは早急にTwitterのWeb経由のログインに対応した方が良いでしょう。 と、ここまで読んで「うちはtwitter-ki
Today, we’d like to highlight a dangerous anti-pattern in the identity world: the false identifier anti-pattern. An anti-pattern is a common response to a recurring problem that’s usually ineffective and risks being highly counter-productive. You may have also heard of the password anti-pattern. Today's discussion represents a possibly even more dangerous practice. The false identifier anti-patte
自己紹介 現在はエンジニアとして株式会社メタップスでSaaS一元管理ツールであるメタップスクラウドの開発やSAMLを使ったSSOを簡単に導入できるようなライブラリ(sp-rails-saml)の開発を行っています。 その中でSAMLに関して勉強を行ったので、現状理解している範囲でSAMLの仕組みや、SAMLを使って認証を行う際のフローを関してまとめてみました。 特にSAMLによってやりとりされるSAML ResponseやSAML Requestの中身に関して結構複雑だと思ったので、そこに重点を置いて書いてみました。 SAMLとは SAMLは「Security Assertion Markup Language」のことで、セキュリティ情報の伝達を目的としてOASISが定義したXMLベースの認証情報の仕様のことです。 電子署名を行うことで異なるインターネットドメイン間でも信頼できる情報のやり
こんにちは。スプラッシュトップ編集部です。 シングルサインオン(SSO)を実現するための手段として、SAML認証はよく話題に挙げられます。しかし、名前は聞いたことがあっても具体的な仕組みや他の方式との違いまではわからないという方が多いのではないでしょうか。 そこで今回は、SAML認証の概要や仕組み、認証の流れから、導入のメリットまでわかりやすく解説します。併せて、SAML認証と一緒に聞くことの多いOAuthとの違いについても見ていきましょう。 SAML認証とは? SAMLはSecurity Assertion Markup Languageの略称で“サムル”と読みます。 SAML認証はインターネットドメイン間でユーザー認証を行なうためのXML(マークアップ言語)をベースにした標準規格です。一度のログインで複数のサービスにログインできるシングルサインオンを実現するための規格として利用されるこ
Azure AD のエンタープライズアプリケーションに AWS SSO と連携するためのギャラリーが追加されていたため、Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする環境の構築を試してみました。 Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする方法はいくつかありますが、本ブログでは AWS SSO を用いて AWS アカウントへのアクセス権を管理している環境において、AWS SSO と Azure AD を SAML により連携する方法を紹介します。 2023.3.21 追記 AWS IAM Identity Center 版を新しく書きました。 構成と全体の流れ 設定する構成と作業の流れを示します。 ユーザ/グループの属性情報の同期は SCIM による自動同期を採用しています。 構成図 全体の流れ SAML の
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。 SAML認証のしくみSAMLとは、Security Assertion Markup Languageの略で、シングルサインオン(SSO)を実現する仕組みのひとつです。 SAMLは、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。 SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。 IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identif
この記事は corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3 の最終日(25日目)です。 今年情シスSlackは3本のアドベントカレンダーが実施されておりますので、是非3本とも覗いていってください! 【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar 2020 #2corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3また、情シスSlackはこちらの参加リンクから参加可能です 目次TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス
この記事は【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2020 5日目の記事です。 こんにちは。ようれんです。 都内の会社で情シスやってます。 "他人の不幸は蜜の味"などと言いますが、他人の事故話ほど面白いものはないですよね。僕は一時期、諸先輩方に「人生で一番事故ったイベントは何か」と聞くのを趣味にしておりました。最低です。 でも事故の話が何で面白いかと言うと、そこに学びがあるからですね。それを聞いて、自分も気をつけようと思うわけです。 さて、僕の会社では"Okta"(オクタ)というIdPを利用しているのですが、Google Workspaceのログインをシングルサインオンに切り替えた際にSAMLの仕組みを詳しく理解せずに作業した為、数百人の従業員がGoogle Workspaceにログインできなくなるとい
SAML認証で行われる処理のフローは、認証連携の起点の違いで2つのパターンがあります。 SP initiated SSO IdP initiated SSO どちらのパターンでサービスプロバイダにシングルサインオンされるかは、サービスプロバイダの仕様、または本サービスでのアプリケーション設定などによって異なります。 SP initiated SSO サービスプロバイダ(SP)を起点とした認証連携のフローは、以下のとおりです。 IdP initiated SSO IDプロバイダ(IdP)を起点とした認証連携は、以下のとおりです。 関連ページ 用語説明(IIJ IDサービス オンラインマニュアル[管理者用])
What is SAML? Security Assertion Markup Language (SAML) is an open standard for exchanging authentication and authorization data between parties. Source: Wikipedia SAML is often used for single-sign on (“Sign in with Google”, “Sign in with Twitter” etc.). It means when you want to log in to example.com, example.com can trust & use an external authentication provider to assert the user’s identity f
1:目的と概要 目的 ローカルで完結するSAML-IdP認証サンプルプログラムが見つからなかったため作成しました。 とりあえず動くことを目的としてます。 ※SAML認証とは?参考リンク SAML認証に関する自分なりのまとめ SAML2.0でのシングルサインオン実装と戦うあなたに(.NET編) 更新履歴 2023/03/06 「Passport.js v0.6.0」にするとsessionの仕様変更により動かなくなるという情報をいただいたので、各ライブラリを最新にして動くように変更しました(@kino15さん、ありがとうございます) ライブラリ変更点(最新版に入れ替え) "dependencies": { - "cookie-parser": "~1.4.4", - "debug": "~2.6.9", - "ejs": "~2.6.1", - "express": "~4.16.1", -
Understanding "Solorigate"'s Identity IOCs - for Identity Vendors and their customers. Microsoft recently https://blogs.microsoft.com/on-the-issues/2020/12/13/customers-protect-nation-state-cyberattacks/ to execute attacks against several key customers. While we detected anomalies by analyzing requests from customer environments to the Microsoft 365 cloud, the attacks generalize to any Identity Pr
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
これは何? IdPでSCIM等プロビジョニングとセットで考える時のお助けマニュアルです。 まずは、実装時と、実装後の運用プランはワケて考える必要があります。 用語の整理 SP : サービスプロバイダー、SaaS側の事 IdP : IDプロバイダー、OktaやOnelogin,AzureAD等 SSOを実装する前の確認すること SSO連携した時のSP側のふるまいを確認する。 必ずSSO経由じゃないと駄目なのか。 特定アカウントをバイパスする事ができるのか? 管理者アカウントのログインのふるまいが変わるのか? 一般ユーザのID、パスワードによるログインを拒否できる 必ずSSO経由の場合 一番厄介なのは、「必ずSSO経由」が強制化される時。後述するけど 共有アカウント の扱いを決めるのに難易度が高くなる。 管理者もIdP側で障害発生した場合にアクセスできなくなってしまうので、できる限り避けたい。
Security Assertion Markup Language (SAML) は、ID プロバイダー (IdP) とサービス プロバイダーの間で認証と承認データを交換するためのオープン標準です。 SAML は、セキュリティ アサーション用の XML ベースのマークアップ言語です。これは、サービス プロバイダーがアクセス制御の決定を行うために使用するステートメントです。 SAML 仕様には、次の 3 つのロールが定義されています。 プリンシパル (通常はユーザー) ID プロバイダー (IdP) サービス プロバイダー (SP) 使用する状況 エンタープライズ SAML アプリケーション用にシングル サインオン (SSO) エクスペリエンスを提供する必要があります。 特にセキュリティ ドメイン間で SSO を拡張すると、SAML で対処される最も重要なユース ケースの 1 つは SSO
$ openssl x509 -noout -dates -in test-idp.cert notBefore=Dec 9 01:05:26 2021 GMT notAfter=Dec 9 01:05:08 2024 GMT IdPもSPも同一組織で運用している場合は、自身で証明書更新の運用をしっかりと考えておかないと危険です。そもそもIdP側の証明書更新も忘れてしまう危険性もあります。 更新時期が近づいたらアラートをあげる仕組みを作っておくとか、カレンダーに登録しておいてメンバー全員に通知するなどでもいいかもしれません。 事前にIdP側の新しい証明書を発行 余裕をもって有効期限切れまでに、IdP側の新しい証明書を発行してもらう or します。まともなIdPなら、証明書の切り替えを考慮して複数の証明書を同時に設定できるようになっているはずです[3]。新しい証明書はまだ非アクティブな状態で
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く