タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
はじめに こんにちは、IT本部IT戦略部テクニカルオペレーショングループの山田です。 認証基盤は、当社のセキュリティと日々の事業活動を支える、最も重要なITインフラの一つです。こうした重要なシステムは、事業の成長や技術トレンドの変化に合わせ、常に最適な状態であり続けるための定期的な見直しが欠かせません。 このような背景から、私達は長年パートナーとして利用してきた認証基盤「Okta」について、現状の評価と今後の方向性を検討するプロジェクトを立ち上げました。 この記事は3部構成を予定しており、今回は第1回目です。それではよろしくお願いします。 私たちの目指す姿 まず前提としてお伝えしたいのは、Oktaが非常に優れたプロダクトであるということです。当社では2012年から10年以上に渡って社内の認証基盤としてOktaを使用しており、迅速なカスタマーサクセスと高度なセキュリティレベルの担保に大きく貢
はじめに どうも、情シスやってますアノテーションの徳道です。 社内のMDM移行もいろいろ目途がつき、2021年2月にGoogle WorkspaceやSalesforceなど社内基幹のシングルサインオンをAzureADに切り替えました。 1年近くほぼAzure関連の導入・運用検討をしつつ記事を書いてきましたが、ここが一つの区切りかな、というところです。 今回はXデーにAzureADをIdPとしたシングルサインオン設定の設定事例(主にハマったポイント)を紹介します。 Special Thanks:植木 和樹 基幹システムのシングルサインオンの構成 今回設定したシングルサインオンの構成を図で示します。SAML2.0認証が可能なSaaSについて今後追加されていくことになります。 IdPの設定準備 AzureADエンタープライズアプリケーションでSAMLによるシングルオン設定は以前の記事でも紹介し
導入 PlaywrightやReg SuitなどのVRT(Visual Regression Testing)の結果は、HTMLで出力されます。Playwright のヘルプ1 でもレポートをダウンロードして確認する方法が記載されていますが毎回行うのは面倒です。また、レポートをGitHub Pagesにデプロイする方法もありますが、アクセス制限にはEnterpriseプランが必要だったり、Pull Requestごとの結果を保存するのに手間がかかるなどの問題があります 2 3。Amazon S3にレポートを置く方法もアクセス制限が面倒なことが知られています。 そこでこのエントリでは、レポートをCloudflare Pagesにデプロイする方法を紹介します。Cloudflare PagesにはPreview deployments4があるため、Pull Requestごとのレポートをデプロイ
AWS News Blog New – Process PDFs, Word Documents, and Images with Amazon Comprehend for IDP Today we are announcing a new Amazon Comprehend feature for intelligent document processing (IDP). This feature allows you to classify and extract entities from PDF documents, Microsoft Word files, and images directly from Amazon Comprehend without you needing to extract the text first. Many customers need
2023.02.07 追記 本記事の内容はOkta Classic Engine環境を前提として書かれています。 Okta Identity Engine環境を対象としたAzure ADとのフェデレーションについてはこちらのクラウドネイティブさんの記事がおすすめです↓ Okta Identity EngineでのAzure ADとのフェデレーション設定はこれがおすすめだよ! – CloudNative Inc. BLOGs はじめに OktaをIdPとしてAzure AD(Microsoft 365)とフェデレーションを構成する際、Okta公式のドキュメント通りだとうまくいかない部分があったり書いてないことがあったのでそのメモです。 途中でハマったポイントについても書いています。 なおOktaのドキュメントやアプリケーションテンプレート上だとOffice 365と表記されている(恐らくエン
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
ゼロタッチデプロイにXCredsを統合 ここで言うゼロタッチデプロイは、組織の管理者などがキッティングを行わずにデバイスをエンドユーザーに直接渡したとして、最低限のアカウント設定などのデバイスの設定が自動で行われることを想定しています。 また、ディスク暗号化も有効にすることを想定しています。 検証環境 Mac MacBook Air (13-inch, 2018) macOS Monterey 12.5.1 Apple Business ManagerにAutomated Device Enrollmentデバイスとして設定済み XCreds PreBeta (PreBetaPreBeta-XCreds_Build-3268_Version-2.1) IdP Azure Active Directory MDM Jamf Pro 10.40.1 Azure Active Directory
概要 Google WorkSpaceをメインに利用する組織で、PCにMicrosoft Officeは必要、というケースは多く発生すると思う。そのようなとき、Microsoft 365 Apps for Businessを使うケースが多いと思うのだが、ユーザの認証にAzure ADがついてきてしまう。abc.onmicrosoft.comみたいなドメインで作成されるやつ。 一人情シス筆頭に少ない人数で管理している組織では、Azure ADとGoogleと両方個別管理するのは微妙に面倒くさい。GoogleをIdPにして、Microsoft 365はライセンスの付与・管理だけにしたい、と考える方も多いのではないだろうか。 そこで手順を検索してみるのだが、Azure ADをメインにGoogleを使う方法は沢山見つかるものの、その逆のGoogle WorkSpaceをAzure ADのIdPとし
本記事は Digital Identity技術勉強会 #iddance のアドベントカレンダー20日目の記事です。 ory/fosite について ory/fosite: Extensible security first OAuth 2.0 and OpenID Connect SDK for Go. OAuth 2.0/OIDC の 認可サーバー、IdP 実装のための Go のライブラリです。 エンドポイントそのものは直接実装せず、プロトコルに関連するリクエストを http のハンドラー経由でライブラリに渡してあげるとパースしたり必要なものを永続化したりレスポンスを生成してくれます。 Motivation によると、そもそも Hydra 用のライブラリとして開発されたようです。 Hydra については以前 Hydra による OAuth 2.0 の認可サーバー/ OIDC の IdP
イオンネクストのNotion活用事例です。従来のドキュメント管理を革新し、システム全体像の可視化や自動化による効率化を実現。小売業やイオン独自の用語集をデータベースとして整備するなど、新しく参画する人のオンボーディング体験向上に注力しています。
IdP(IdentityProvider)で実現するシングルサインオン(SSO)、ID管理の一元化、多要素認証(MFA)、セキュリティ上のメリット。各社IdPの特徴とその違い、ユースケースもご紹介。
訳あって、Google Workspaceをメインで利用している法人にて、Windowsデバイスの管理をしたいってオーダーがあったのでその検証ついで。今回はAzure ADとの連携について。 基本的にはこちらの記事にお世話になりました。 考察今回の検証を経て感じたのはやはりGoogleを管理の中心に据えるのは物足りなさを感じる…し、コストもかさむな印象を持ちました。 そもそも、Google Workspaceを利用する最大の理由は、Google連携しているアプリの多さと、基本的に使うことの出来るGoogle Appsの使いやすさだと思っています。 一方でMicrosoft製品の強みは管理のしやすさや、主にWindowsおいて制御できる項目の細かさが挙げられます。 ユーザーはGoogleを中心に使いながら、管理はMicrosoftでまとめるのが良さそうです。 Microsoft busine
Okta CIC (Auth0) Enterprise Connectionsを活用した外部IdP(SAML, OpenID Connect)認証設定ガイド はじめに Okta CIC(Auth0)管理画面における認証関連設定項目 Okta CIC(Auth0)の認証方法(connection)は複数種類があります。例えば、ユーザー名/パスワードをAuth0に登録した上でログインする方法はDatabase Connectionsです。その他にも、Googleアカウントからの認証を実現するのであればSocial Connectionsがあります。Passwordless Connectionsについては以前のブログ記事にてご紹介しました。 このように様々な認証方法に対応していますが、本記事では、Enterprise Connectionsを利用した外部IdPを活用した認証をご紹介します。接続
こんにちは、CX事業本部 IoT事業部の若槻です。 Amazon Cognitoでは、user poolで管理しているユーザーだけでなく、SAML連携した外部のIdPで管理しているユーザーによるサインインを実装することも可能です。 Adding SAML identity providers to a user pool - Amazon Cognito 今回は、Amazon Cognito user poolの外部IdPとしてMicrosoft Azure Active Directory(Azure AD)を設定してみました。 やってみた こちらのドキュメントを参考にやっていきます。 How to set up Amazon Cognito for federated authentication using Azure AD | AWS Security Blog (まだの場合)Co
アプリケーションの作成 Azure AD の「エンタープライズアプリケーション」で以下メニューより、アプリケーションを作成します。なお、SP は、ギャラリーにないアプリケーションを想定しています。 「新しいアプリケーション」 「独自のアプリケーションの作成」 ユーザの割り当て 作成したアプリケーションで、以下メニューから SAML 認証する、Azure AD ユーザを割り当てます。なお、利用している Azure AD のプラン次第では、グループ単位での割り当ても可能です。 ユーザーとグループ SAML 構成の設定 SAML の構成情報を設定します。 対象メニューを開きます。 「シングルサインオン」 シングル サインオン方式の選択 SAML 「基本的な SAML 構成」を設定します。今回は必須項目のみを対象とします。 識別子 (エンティティ ID) SP の識別子を設定します。例えば、SP
1:目的と概要 目的 ローカルで完結するSAML-IdP認証サンプルプログラムが見つからなかったため作成しました。 とりあえず動くことを目的としてます。 ※SAML認証とは?参考リンク SAML認証に関する自分なりのまとめ SAML2.0でのシングルサインオン実装と戦うあなたに(.NET編) 更新履歴 2023/03/06 「Passport.js v0.6.0」にするとsessionの仕様変更により動かなくなるという情報をいただいたので、各ライブラリを最新にして動くように変更しました(@kino15さん、ありがとうございます) ライブラリ変更点(最新版に入れ替え) "dependencies": { - "cookie-parser": "~1.4.4", - "debug": "~2.6.9", - "ejs": "~2.6.1", - "express": "~4.16.1", -
ソーシャルIDなどの外部IdPと連携をする際、外部IdP側がパスキーに対応している場合もあり、基本的にRP側はIdPの認証結果を信じて何もしないという文字通り「Relying」な感じで構成されることが多いと思います。
1. はじめに はじめまして、株式会社neoAIでソフトウェアエンジニアをしている加藤と申します。 SaaSプロダクトを開発していると、クライアントや環境ごとに異なる認証方式に対応する必要があります。オンプレミス環境、クラウド環境、大手企業からスタートアップまで、多様なニーズに応えるためには、IdP(Identity Provider)を柔軟に切り替えられる仕組みが求められます。 以前、弊社のMoriyasuが執筆した「FastAPI の Dependency Injection (Depends + Injector)」では、FastAPIとDIの基本的な活用方法や、プロダクトへの導入事例をご紹介しました。 本記事ではそれを踏まえ、FastAPIのDIを活用して、SaaSプロダクトにおけるIdP(Identity Provider)の実装をいかに抽象化し、柔軟に切り替え可能な構成を実現す
これは何? IdPでSCIM等プロビジョニングとセットで考える時のお助けマニュアルです。 まずは、実装時と、実装後の運用プランはワケて考える必要があります。 用語の整理 SP : サービスプロバイダー、SaaS側の事 IdP : IDプロバイダー、OktaやOnelogin,AzureAD等 SSOを実装する前の確認すること SSO連携した時のSP側のふるまいを確認する。 必ずSSO経由じゃないと駄目なのか。 特定アカウントをバイパスする事ができるのか? 管理者アカウントのログインのふるまいが変わるのか? 一般ユーザのID、パスワードによるログインを拒否できる 必ずSSO経由の場合 一番厄介なのは、「必ずSSO経由」が強制化される時。後述するけど 共有アカウント の扱いを決めるのに難易度が高くなる。 管理者もIdP側で障害発生した場合にアクセスできなくなってしまうので、できる限り避けたい。
こんにちは。スプラッシュトップ編集部です。 さまざまなクラウドサービスや社内システムを利用する機会が増えるなか、シングルサインオン(SSO)を導入する企業が増えてきています。 シングルサインオンを実現するためのユーザー認証の標準規格であるSAML認証は、IdP(Identity Provider)とSP(Service Provider)の2つの間で認証情報をやり取りする認証方式です。 今回は、IdPに焦点をあて、機能やメリット、IdP とSPそれぞれの役割の違いについて説明します。 IdP(Identify Provider)とは? IdPはIdentify Providerの略称で、クラウドサービスなどにアクセスするユーザーの認証情報を保存・管理するサービスのことを指します。 冒頭でも触れたように、SAML認証における認証情報の提供役として機能します。 IdPがSAML認証のプロセスの
困っていた内容 Amazon Cognito のユーザプールで、外部IdP連携によるサインインを設定しています。ユーザは外部IdPでサインインしたタイミングで作成されますが、事前に作成して権限付与をしておきたいです。 Cognito コンソールのユーザ作成では、identitiesプロパティが設定できず、外部IdPで作成されるのと同じユーザは作成できないようでした。どうしたら良いでしょうか。 管理者としてのユーザーアカウントの作成 - Amazon Cognito どう対応すればいいの? ユーザを作成後、AWS CLI のadmin-link-provider-for-userを実行してください。 admin-link-provider-for-user — AWS CLI 2.7.3 Command Reference Links an existing user account in
Cloudflare Zero Trustにおけるアクセス時の認証について ゼロトラストアーキテクチャでは、誰がアクセスしてきたのか(認証)、どんな権限でリソースにアクセスできるか(認可)を厳密に制御することが求められます。アクセスコントロールのフレームワークの一つであるAAA(トリプルA)の「Authentication」と「Authorization」と同じ原則になります。 Cloudflare Zero Trustでは、認証を司るIdPとしての機能を持っていませんが、サードパーティーのIdPを統合することで、ネットワークアクセス時の認証およびSSO(Single-sign-on)を実現します。 ※Cloudflare Zero Trust単体ではメールアドレスとOTPによる簡易的な認証機能が利用可能です(One-time PIN login) Cloudflare Zero Trus
ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2022 1日目の記事です。 今日はこの話をします。 SAMLのIdP-initiated フロー/メソッド/SSO とか呼ばれているやつ 仕様だとこの辺りでしょうか? In addition to supporting the new SP-Initiated web SSO use cases, SAML v2 continues to support the IdP-initiated web SSO use cases originally supported by SAML v1. In an IdP-initiated use case, the identity provider is configured with specialized links that
これまでの連載で、Platform Engineeringとは、技術の複雑性が増加することで高まったアプリ開発者の認知負荷を軽減し、生産性を向上させることを主な目的としていると解説してきました。そして、前回のチームトポロジーについての解説では、ストリームアラインドチーム(アプリ開発者と同義)がビジネスロジックなどのコア業務に集中できるように、プラットフォームチームがアプリ開発者のニーズに合ったプラットフォームを提供することが重要であるということをお伝えしました。今回は、そのプラットフォームの詳細に焦点を当てます。 プラットフォームチームが提供するInternal Developer Platformとは プラットフォームチーム(以下、PT)が提供するプラットフォームは、Internal Developer Platform(内部開発者プラットフォーム:以下、IDP)と呼ばれます。これは、開
こんにちは、岩松です。連日の暑さに耐えかねてネッククーラーを買おうとしてみましたが、軒並み売り切れもしくは高騰していたので、この夏に出遅れたことを後悔しています。 ところで、先日「Assured」はSAML認証(Single Sign On: SSO)に対応しました 🎉 help.assured.jp セキュリティ品質向上やログイン操作の簡略化、アカウント管理の効率化といったメリットがあり、エンタープライズ領域で要望の多いSAML認証機能ですが「対応するのはなんだか難しそう🤔」というイメージはありませんか?特に、機能を検証するためにはIdP(Identity Provider)の環境を用意する必要もあるため どのサービスを使えばいいのかわからない サービスの費用もかかりそうだし大変そう 何をどう設定すればいいのかわからない といったハードルが出てきます。安心してください!実は多くのId
TL;DR 先日、"Platforn Engineering" が盛り上がってきていますよね、というような紹介と僕のもつ理解について記事に簡単にまとめました。 プラットフォームエンジニアリング (Platform Engineering) とは? その記事の中で、詳しくは触れていなかった IDP についての自分の理解を紹介していきたいと思います。 ここで、IDP を Internal Developer Platform と記述しなかったのは、前回も記載していたように IDP と略して Internal Developer Portal 、あるいは Internal Developer Platform を意図しているものがあるからです。これは意図的に分けて定義をしている文章もあれば、その説明文章を書いている製品ベンダーが提供している製品がプラットフォームなのかポータルなのかという理由だっ
Hydra とは 以下 README.md の引用です。 ORY Hydra is a hardened, OpenID Certified OAuth 2.0 Server and OpenID Connect Provider optimized for low-latency, high throughput, and low resource consumption. ORY Hydra is not an identity provider (user sign up, user login, password reset flow), but connects to your existing identity provider through a login and consent app. Implementing the login and consent app in
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
困っていた内容 Cognito では、1つのアカウントで、複数の認証方法でログインできるでしょうか? 例えば、Aアカウントはメールアドレスを利用してサインインしています。この場合、「Googleでサインイン」を追加して、そちらでもログインできるようにすることは可能でしょうか? どう対応すればいいの? 特に設定を行わない場合、同じメールアドレスで登録しても Cognito UserPool のユーザーと、 Google ソーシャルサインインのユーザーは別々に作成されます。 複数の Idp を使って1人の同一ユーザーとして認証するためには、 AdminLinkProviderForUser API を利用します。 参考資料 [1] Amazon Cognito で複数の Idp を使って1人のユーザーを認証する - tseki blog 同じメールアドレスのユーザーが統合され、1人のユーザーが
BigData-JAWS 勉強会#18 登壇資料 https://jawsug-bigdata.connpass.com/event/215161/
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? これまで認証といえばCognito一択みたいにアーキを描いて、あとはいい感じに連携してくれているみたいな理解で実際その裏で何がされているかを気にしてこなかった。AWS SAPの対策でやたらID連携が出てきたり、仕事上認証認可の細かいところを触れることがあり一度整理する。 [そもそも] 認証認可の周辺知識整理 ■ 認証と認可 認証 → 相手が誰かを同定する作業。ステータスコード401はリクエスタが誰だかわかってない状態。 認可 → 相手に権限を与える作業。ステータスコード403は誰だかわかった上で許可しない状態。 ■ OAuth2.0 認
AWSのIoT関連サービスはかなり充実してきており、ダッシュボードや管理画面などもたくさん提供されています。 AWS IoT SiteWise Monitor Fleet Hub for AWS IoT Device Management Amazon Managed Grafana などなど。 共通点として、ユーザー管理にAWS Single Sign-On (AWS SSO)が使われており、開発することなく、ユーザー管理ができますし、 同じIDで複数のサービスにログインすることもできます。 自前で作成するアプリケーションもこの仲間に入ることができないかと思い調べたところ、CognitoのSAML連携で実現できそうということがわかりましたので、試してみました。 完成したら、こんなことができるはずです。 参考 AWS Single Sign-Onではありませんが、他のOktaとSAML連携
Digital Identity技術勉強会 #iddance Advent Calendar 2022 22 日目の記事です。 AzIdP4J AzIdP4J という Java で認可サーバーや IdP を実装するためのライブラリを書いています。ライブラリを書く上で色々考えていたことについて書きます。 こんな雰囲気で動くライブラリを書いています。 // HTTP リクエストのクエリパラメーターを Map に変換 var authorizationRequestQueryParameterMap = Map.of( "scope", "openid item:read", "response_type", "code", "client_id", "xyz-client", "redirect_uri", "https://client.example.com/callback", "sta
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く