AWS のポリシー言語 Cedar を活用した高速かつスケーラブルな認可技術の探求 #phperkaigi / PHPerKaigi 2025PHPerKaigi 2025 で使用したスライドです。 Web アプリケーションのセキュリティ設計において、特定のユーザーに対してどの操作を許可するかという認可の設計は欠かせない要素です。近年では、マイクロサービスやゼロトラストの考え方が普及し、サーバー間の認可を含むより複雑な機能が求められてい…
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについて
図解 X.509 証明書 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照くださ
さよならパスワード!WebAuthnに対応したBacklog / Cacoo / Typetalkで指紋を使って安全ログイン | 株式会社ヌーラボ(Nulab inc.)
BacklogにmacOSの指紋認証でログインする様子 ヌーラボでは2019年3月にW3Cで標準化されたパスワードレス認証の「Web Authentication API」(WebAuthn: ウェブオースン)と、「FIDO2」(Fast IDentity Online: ファイド)対応のサーバを実装することで、Backlog / Cacoo / Typetalk上でのパスワードを使わない新しい認証に対応しました。 WebAuthn / FIDO2を使用した生体認証ログインのメリットは次のとおりです。 生体認証でログインが素早く簡単になります 生体情報はネットワーク上には流れず、ローカルのセキュリティ デバイスに保存されるため安全です 2要素認証※2のため安全です サーバに登録する認証情報は公開鍵のため、パスワードリスト型攻撃や情報漏洩のリスクがありません ドメインが検証されるため、フィッ
BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明
GitHubのを眺めていたら、ORYのoathkeeperを見つた。 これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。 BeyondCorpとは GoogleがVPNの代わりに使用している、認証・認可のシステム。 人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっている。 論文は何個か出されているが、読んだのは、BeyondCorp: A New Approach to Enterprise Security また、GCPのサービスにもなっていて、Cloud Identity-Aware proxyという名前になっている BeyondCorpの仕組み 図にすると、↓のような構成らしい 認証 HRのシステムと結びつい
Keycloak
Single-Sign On Users authenticate with Keycloak rather than individual applications. This means that your applications don't have to deal with login forms, authenticating users, and storing users. Once logged-in to Keycloak, users don't have to login again to access a different application. This also applies to logout. Keycloak provides single-sign out, which means users only have to logout once t
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。 連載目次 APIにおける認証/認可の仕組み 近年、金融や流通分野で注目されている「APIエコノミー」や「マイクロサービスアーキテクチャ」などの登場により、サービスの機能を「REST API」として提供することが当たり前になってきています。そして、REST APIを公開するためには、誰がアクセスしてきたのかを確認するための「認証(Authentication)」と、APIへのアクセスを誰に許可するのかという「認可(Authorization)」の仕組みが不可欠です。 しかし、複数のサービスがそれぞれ個別に認証/許可を
How We Solved Authentication and Authorization in Our Microservice Architecture
At Andela, we have multiple internal apps built by the internal Engineering teams used to manage internal process and to make us more efficient. As time passed, the number of apps increased and each app had to evolve alongside the passing of time to enable us handle our growth. We started experiencing a number of pain points(documented here) which forced us to look towards microservices for salvat
pac4jでGitHubのOAuth認証を使ってみる - たけぞう瀕死ブログ
GitHubアカウントでログインできるWebアプリケーションを作りたいなーと思っていたのですが、Javaだとpac4jというライブラリを使うとGitHubを始め、TwitterやFacebookなど様々なサービスのOAuth認証を扱うことができるようです。 github.com SpringMVCやJAX-RSなどのフレームワークとの連携機能も提供されているようですが、今回は基本的な使い方を把握するためにpac4j-oauthというモジュールを使ってサーブレットベースで試してみました。 まずはGitHub上でアプリケーションの登録を行う必要があります。 続いてプログラムの実装に移ります。pom.xmlに以下の依存関係を追加します。 <dependency> <groupId>org.pac4j</groupId> <artifactId>pac4j-oauth</artifactId> <
Java Authentication Guide with Apache Shiroをテキトーに訳した - kagamihogeの日記
Apache Shiroのチュートリアルの一部でAuthenticationに関する部分の https://shiro.apache.org/java-authentication-guide.html をテキトーに訳した。 Java Authentication Guide with Apache Shiro 認証とは本人確認のプロセスです。アプリケーション側ではユーザが自身を誰と言ってきているのかを確認します。確認のためには、アプリケーションシステムが理解できる形式かつ信用する、本人確認用の何かをユーザは提供する必要があります。 このガイドの目的はJavaでの認証をShiroで実行する方法の概要を示すことです。Shiroの10 Minute Tutorialをまだ読んでいない場合はまずそちらに時間を取り、Shiroの基本的知識を身につけてください。 Terminology you’ll
流行りのOpenID Connectを使ったSSOを自前で作ってみた(RP編)
はじめに 前回はOpenAMをインストールして認証サーバ(IDP)を作成しました。 今回はWEBアプリ側(RP)でOpenID Connectを使った認証処理を実装していきます。 準備 まずOpenID Connectを使う上で、WEBアプリから認証サーバにアクセスする URLを確認しましょう。 http://認証サーバ:8080/openam/.well-known/openid-configuration のようなURLにブラウザでアクセスするとJSONの文字列が返却されます。 ここにどんなURLが用意されているか記載されています。 OpenAMでは以下のものが提供されているのがわかります。 認可エンドポイント /oauth2/authorize アプリケーションから認証してくれ!と依頼をかけるURL アクセストークンエンドポイント /oauth2/access_token 認証OK後
流行りのOpenID Connectを使ったSSOを自前で作ってみた(IDP編)
はじめに 複数のWEBサービスをシングルサインオン(SSO)でというのは 最近は普通になってきてますね。googleしかり。facebookしかり。 この認証というのが実はとっても複雑なんですね。 知らない人が取り組もうとするとまず用語がわけわからんくてやめます。 さらに認証といってもいろいろな方式があって、さらに流行り廃りもあり 1年前の情報ページが古くて使えないなんてザラ。 完全に初心者キラーな無理ゲー状態です。 今回は認証?なにそれ?なエンジニアでも とっても苦労しながらなんとかSSO作れたぞ、という記録を公開したいと思います。 なお、2014年10月に試してますから! 上述したとおり、認証絡みはすっぐ情報古くなるんでそこんとこ踏まえて 読んでいただければと思います。 なお、認証関連のワードがどんどん出てきますがあまり説明しません。 なぜなら私もよくわかってないので。 やること We
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IoT時代の認証技術 - OpenID Summit 2015 Opening Keynote
Ory - API-first identity management, authentication and authorization. For secure, global, GDPR-compliant apps
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
GitHub - bitly/oauth2_proxy: A reverse proxy that provides authentication with Google, Github or other provider
Open Source Identity and Access Management
A lightweight introduction to Recursion Schemes in Scala
第八回 #渋谷java - Java 8 で造る認証系