[Azure AD B2C]カスタムドメインのサポートがPublic Preview
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 Azure AD B2Cの各種エンドポイントってxxx.microsoftonline.comなので、Azure ADを使ってるってモロにわかってしまいます。 企業内で利用するシナリオだとそれほど問題にならないかも知れませんが、B2Cシナリオでは外部へのプロモーションに使ったりするので問題になることもしばしばあります。また、同様にB2Cシナリオではログイン画面のカスタマイズを行う前提になると思うので、ドメイン名の問題でJavaScriptを仕込めない、などの機能面での不具合も出てきます。 そこで、しばらく前からPrivate Previewが行われていたカスタムドメインによるJavaScriptのサポートがようやくPublic Previewとして公開さ
![[Azure AD B2C]カスタムドメインのサポートがPublic Preview](https://cdn-ak-scissors.b.st-hatena.com/image/square/5c3c5364613b43755cc7cc0d8e3de4afacc39bba/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEiiGd-rmTYUSUXRQ7KwzFFFRzjUhRbf3uzHasx2GsEoCdyrA7jvJidqBN4xTI8070pGzLPsbfMWpsmJzOuCCBM0UCRV37R3o2vfB4TsSosDttMyetuO78urDW_-6N1-aZNaRO3NVgR1FMP1%2Fw1200-h630-p-k-no-nu%2F1.ui.PNG)
Microsoft Authenticatorアプリが設定のバックアップ・リカバリをサポート、しかし・・・
こんにちは、富士榮です。 みなさん、多要素認証してますか? アイデンティティは不正利用されている、という前提で運用しないといけない世の中になってきているので、IDとパスワードが盗難されても不正にログインされない様に多要素認証を有効にするのは大人のマナーです。もしくは、少なくともログイン・アラート(知らないログインがあったら通知してくれる機能)が使える認証システムを使う、くらいはいしないとダメな世の中です。 そういえば昨年のde:codeでもこんな話をしてました。 結局、ID盗難って本人が気が付きにくいところが一番の問題なんですよね。 と、言うことでMicrosoftもAuthenticatorアプリをiOS/Android/Windows Mobile向けに提供しており、私もAzure ADアカウント、Microsoftアカウントに加えてGoogleやFacebook、Amazonなどのア
[SAML脆弱性] 外部IdPと連携している場合は要対応
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 #コメント部分が本ポストの中でもコメントとして扱われて消えてしまっていたので修正しました。tkudoさんご指摘あざーす #その他、もろもろ修正しました。酔っぱらって夜中に斜め読みしたらダメですねw DuoがSAMLの実装に関する脆弱性に関するレポートをしています。 ZDNetの日本語版記事 https://japan.zdnet.com/article/35115353/ #しかし、中身は「SAMLプロトコルの」脆弱性じゃなくて、SP実装の不具合なので、「プロトコルの脆弱性」は言い過ぎだなぁ、、と思います。 例によって記事になると何のことかさっぱりわからないので、元ネタとなるDuoのレポートを読んでみました。 (実際に実験は出来ていないので、また時間があ
![[SAML脆弱性] 外部IdPと連携している場合は要対応](https://cdn-ak-scissors.b.st-hatena.com/image/square/5453803c5940c74575efeabb65a6b4c6d1370978/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEir0GWcxBLPjdpaS23DhA2iVtHne1QWLZJtUC2LwrpGvQ5oxc2x_MKZA0-0xiqo1lkbMvyTzduwC7D3u4bUAfuqcMIAw4nx9rpD7rVUA-9y14BujSB_Y3G7MHmuWvRZeyQtFPrPJAMdr7i6%2Fw1200-h630-p-k-no-nu%2F1.normal.png)
「OAuthの仕組み丸分かり体験サイト」に見るOAuthとアイデンティティの関係
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 明治大学の情報セキュリティ研究室が公開している「OAuthの仕組み丸分かり体験サイト」が話題になっているので、少し内容を見ていこうと思います。 ※決してディスっている訳ではありません。敬遠されがちなOAuthなどの仕組みを簡易に解説しようとする取り組みは非常に大切だと思いますし、私も常に悩むポイントの一つです。 OAuthの仕組み丸分かり体験サイト https://www.saitolab.org/oauth/ 尚、最初の公開後、かなり修正が入っていて誤解を招く部分はかなり減っており、投稿するのをやめようかと思ったのですが、逆に課題認識の部分がぼやけてしまったところもあるので、あえて投稿してみます。 中身ですが、元々は所謂OAuth認証問題です。一番残念
[Windows 10]Azure ADに参加したPCへリモートデスクトップ接続する
こんにちは、富士榮です。 Windows 10がリリースされてから、Azure ADへの参加やHybrid構成など検証したいことはたくさんあるのですが、いかんせんクライアントOSなので都度手元の端末をセットアップしなおして、、というのが非常に煩雑です。 そんな時のAzure VMなのですが、Windows 10のイメージをVMで作っても接続がリモートデスクトップになるので、Azure ADへの参加するところまでは行けてもAzure AD上のユーザでどうやってログインしたら???という疑問がわいてきます。 単純にAzure AD上のユーザを入力してもログインできません。 と、いうことで、今回はちょっとした工夫をしてみます。 (Morgan Simonsen氏が検証していましたのでその方法の紹介です) ◆接続先コンピュータでの作業 流れとしては、リモート接続設定の構成変更およびAzure AD
![[Windows 10]Azure ADに参加したPCへリモートデスクトップ接続する](https://cdn-ak-scissors.b.st-hatena.com/image/square/a74cfeaaedc334941d67760c4df2f28f2aefc1bd/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjzcwLXPxGGuH0tQ19akCGc6ylbpDNYf4WV8aHSjaetQYiCcYYMGvYHRdB4lsCpbNB3E4sCs1js6V4UyGBoDgVJIVEbf1CF3l8X3BGBdqu2_InB5FEIgEsVbehyfm0l5Z9EYCrLgfoiIY4%2Fw1200-h630-p-k-no-nu%2F1.before.png)
[Azure MFA]新Azure AuthenticatorアプリでGoogle2段階認証を使う
Azure Active Directory(AzureAD)やOffice365を使っている方ならみんな使っている(はずの)、多要素認証ですが、SMS、電話、アプリケーションといった選択肢がある中、みなさんどんな方法で多要素認証してますか?
![[Azure MFA]新Azure AuthenticatorアプリでGoogle2段階認証を使う](https://cdn-ak-scissors.b.st-hatena.com/image/square/d7941967e1f6aa40882343f61bd7ec4f70145de2/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEh9brHN4-FbKlOXdDqexfF7Z4tWuh7nEaYF3Vxq25PUDm4WXSqpL73eZFvTUojCdexlaQVeEfwLLOLLgRXgeeueGwyrJQxV5ISLxChl9eNyH-pnrpRqO7ErxM2WYV3JSYhVzR_6zf_y6ck%2Fw1200-h630-p-k-no-nu%2F0.MFA.png)
[AzureAD]エンドユーザによるアプリケーション利用申請と承認
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 ※今回紹介する機能にはPreview機能を含みます。今後の機能変更などが発生する可能性があるので、ご注意ください。 こんにちは、富士榮です。 組織のID管理の設計をしていると必ず出てくるのが「アプリケーションの割り当てをどのようなフローで行うか」という課題です。 パターンとして、 ①特定のユーザ属性をみて機械的に割り当てる(例えば正社員は自動的に割り当て等) ②管理者による手動割り当て ③既存のワークフローシステムとの統合 ④ID管理システム自体に申請~承認フローを組み込む などがありますが、それなりに複雑化しやすく工数もかさむのでスタート時点では①の方法である程度自動化しておいて②の方法で例外ユーザを登録していく、という形で決着することが経験上は多い気がします。 ただ、アプリケ
![[AzureAD]エンドユーザによるアプリケーション利用申請と承認](https://cdn-ak-scissors.b.st-hatena.com/image/square/eaa293df2a2ca821d1b22008306eb287c4ea2280/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEilrATPuszK7NOojsEQgr3CAoxPPUsIrlpf8Zh3hlpAUpQF71Uw6htZSHZ5gFN_7xRHaMwjBljpu1fKUseGaEEdCDhEefqsHSTbdhOcN7K2a4aZ20IV9WYdkrLRd05ytLa3K3-rj9vpXhk%2Fw1200-h630-p-k-no-nu%2F1.setting.PNG)
[Office365]AD FS2.0以外でSSOに挑戦
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 先日の MS 安納さんのポスト「【IDM】Windows Azure Active Directory と Office 365 と外部 IdP の関係(予想)」を見て、ちょうど Windows Azure Active Directory(WAAD)の中身を調査していたところだったので、色々と試してみました。 やろうとしたことは、WAAD の Access Control Service(ACS)を経由して Facebook や Google アカウントを使った Office365 へのシングルサインオンです。 結果、失敗するのですが、その過程で色々と仕組みが想像できたのでメモとして上げて起きます。 ■まずは情報収集 現在、サードパーティ IdP での WAAD / Offic
![[Office365]AD FS2.0以外でSSOに挑戦](https://cdn-ak-scissors.b.st-hatena.com/image/square/8e01c7de661e1f864f971b4c6226dbe4b4d9f55e/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjPMy22BNIdF7ytfday7bdnbI-wkfHPR9-ZjQUTrD6dmfUHx27osrVLRqPy4TpBSB_ADjS4GzoRmGfhJqfNq6X6yn4CRrbqy8UGIStFD76hIqTYwAC8aRWiEsqUYdwfLkNl3K9WGo7jKaU%2Fw1200-h630-p-k-no-nu%2Fclaimgrabber.png)
[WAAD]Windows 8 の PowerShell で ServicePrincipal 関連の操作を行う
既出情報ですが、意外と引っかかるのでメモとして書いておきます。 Windows 8 / Windows Server 2012 では Microsoft Online Services Module for PowerShell をインストールして ServicePrincipal 関連のコマンドレット(例えば Get-MsolServicePrincipal)を実行しても ObjectNotFound と言われてしまいます。 これは ServicePrincipal 関連のコマンドレッドが含まれるモジュール(MSOnlineExtended)を実行するのに PowerShell 2.0 のエンジンが必要なためです。※コントロールパネルの Windows の機能から見ると PowerShell 2.0 とありますが実際は Version 3.0 が実行されているからです。(プロンプトから
![[WAAD]Windows 8 の PowerShell で ServicePrincipal 関連の操作を行う](https://cdn-ak-scissors.b.st-hatena.com/image/square/5be2496f7fcae456b5e3fe8f3ed988198a546a95/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhsGnCuWLd04ZqMUdFjUHTu6uNDYqJAveDgiWFbV5k3jX1xLS4Eqx5pU0XeJLaeI5dyRVLBctLmygr9FDrE2c_yDCUyCqcPHUFlfQwRXhRryhzDR4qRdDCaFeCQieCHtRIBKK-UFE1gZc8%2Fw1200-h630-p-k-no-nu%2F1.error.png)
Kerberos 認証の設定を確認する
Forefront Identity Manager 2010 (FIM 2010)に限らず Microsoft の製品群は Active Directory を使った Kerberos 認証を多用しています。 こいつです↓(違 これは、いわゆる「ダブルホップ」と言われる認証の委任を行うことが多いためです。 ※もちろん他の理由もありますが。 ダブルホップを知らない方に向けたおさらいですが、Windows ネットワークの世界での認証は一般に NTLM 認証と Kerberos 認証が利用されます。そして、Windows サーバで構成される Web システムといえば、IIS -> SQL Server での2層構造が主流です。 ※ブラウザから IIS へアクセスし、IIS が SQL Server へアクセスするという形でホップが2重になっていることからダブルホップと呼ばれます。 この時、NT
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[Office365/ADFS/AAD]クラウドIDのアクセス制御にAD FSを利用する
ディレクトリ同期ツールを使って Office365 へのユーザ同期を行う