こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
Azure MFA Serverを使ってLinuxへのログオンに多要素認証を使う
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 PhoneFactor改めAzure MFA ServerってAD FSの2段階認証をオンプレで構成する場合くらいでしか利用されているのを見たことがないのですが、実はものすごく器用なプロダクトなので、色々と活用して行こう、というのが今回の主旨です。 そもそもAzure MFA Serverはがどう言うものかを一言で説明すると、「多要素認証付きのマルチプロトコル対応の認証サーバ」です。例えば、LDAPやRadius、Windows認証などに対応しています。 今回はタイトルに書いた通り、その中のRadiusサーバとしての機能を使って、LinuxへのSSHでのログインの時の認証の2要素目としてMicrosoft AuthenticatorアプリやSMS通知など
[LINE Login]LINE Developer CommunityでOpenID Connect(+少しAzure AD B2C)の解説をしました
こんにちは、富士榮です。 そういえば去る3/8にLINE Developer Communityの勉強会でLINE Loginを題材にOpenID Connectの解説をしてきました。(公開資料にはのっけてませんがちょっとだけAzure AD B2Cの話しもしました) どうもアイデンティティの分野って概念と実装の両方を勉強しないとちゃんと理解できないことが多いので、座学+ハンズオンみたいな感じで勉強する形があっているんじゃないかな?と思っています。 資料とコードはこちらに公開しています。 コード https://github.com/fujie/line_login 今回はOpenID Connectの基本的な流れを理解してもらうことが目標だったので、特にLINE LoginのSDKも使いませんでしたし、サンプルコードもステップ by ステップでストップしながら流れを理解してもらうことを想
[Azure AD]PingAccess連携でオンプレ資産へのアクセスを拡張する
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 待ちに待ったPingAccess+Azure AD連携のパブリック・プレビューが始まりました。 昨年のTechSummitで少しだけ紹介しましたが、当時はプライベート・プレビュー段階だったのでお見せ出来ず。。。 アナウンス 公式blog PingAccess for Azure AD: The public preview is being deployed! https://blogs.technet.microsoft.com/enterprisemobility/2017/03/22/pingaccess-for-azure-ad-the-public-preview-is-being-deployed/ 簡単に言うと、Azure AD Web A
![[Azure AD]PingAccess連携でオンプレ資産へのアクセスを拡張する](https://cdn-ak-scissors.b.st-hatena.com/image/square/ed6d376158c493e3957a0e4362b32756ccea3cdf/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhbun4jV3kqErTqlPiYNtjxxMBUrpzymR7Te7u_N460G4cERaMwcuv7xiROdaX7J0YajwbPDn87uuJsJVBMj8gjkIH5lo0heswMdJtJhUD8GPKutmSzkGmNxpdRMFS-WxsZP4zYOYOqQkLO%2Fw1200-h630-p-k-no-nu%2F1.AddOnpremApp.png)
[小ネタ]NAT構成のVMに構成されたAD FSへiOSデバイスを登録する
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 今回は完全に小ネタというか自分用のメモです。 普段、BootcampなMacbook AirにWindows 10を入れ、その上でVMware Workstationを動かして、AD FSやMIMを動かして検証してるんですが、VMやAzureだけでクローズできないネタを検証する場合です。 具体的にはiOSやAndroidデバイスなどをAD FSへデバイス登録してデバイス認証をしたい場合、以下が困ります。 ・JailbreakしていないiOSだとhosts登録が出来ない ・色々と事情があってVMをNAT構成で動かしているので母艦PC以外からVMへアクセスできない ということで、対処してみます。 と、言ってもやることは母艦にApacheを立ててForward
![[小ネタ]NAT構成のVMに構成されたAD FSへiOSデバイスを登録する](https://cdn-ak-scissors.b.st-hatena.com/image/square/ede2e125992b7daa2d9fcfe5c547bd214af3027c/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjtA0EtHttw8aLGqJOj3d3McDv5eDLcwjBfgSq1lNc92Jjwnxc8vnnvz1ADX9W7pj_LBDQE33cqkQtHzx-gFlGVDC94XDXSR__SpwuiFO4f8paLlXgLIu_0rP8D9345mr97R1yRCCGKurlz%2Fw1200-h630-p-k-no-nu%2F1.httpd.png)
CentOS+Apacheの認証をAzure AD/OpenID Connectで行う
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 某普通な人がnode.jsとPAMを使ったApache+Azure ADの認証(Basic認証)の記事を書いていたので、そういえばPingIdentityの人が作ってるmod_auth_openidc使ってなかった事を思い出したのでやってみました。 参考)割と普通なブログ Linux+Apache の認証で Azure Active Directory を利用する http://normalian.hatenablog.com/entry/2017/01/08/031209 やりたいことは、CentOSにホストされたApache上のWebコンテンツへのアクセスAzure ADで保護する、という非常にシンプルなシナリオです。 ※意外と実案件でもこの手の引き
[Windows 10]PIN対パスワード、そしてWindows Passport
こんにちは、富士榮です。 昨年夏のリリース時から「パスワードは時代遅れです」というメッセージで世の中を混乱の渦に巻き込んできたWindows 10ですが、半年が経過した今でも「やっぱり意味がよくわからない」という声をしばしば耳にします。 ※ちなみにTH2のビルドだと「PINのセットアップ」というメッセージになっています。 これまでも各所の記事やセミナなどでは簡単に話をしたことはあるのですが、ちょうど前回から書き始めているWindows 10のドメイン参加やサインインの仕組みの大前提になる話でもあり、良い機会でもあるので簡単にまとめておきたいと思います。 (ちなみに多分に私見が入っています) ◆何が議論されているのか? まず、これまで起きている議論はどういうものなのか、簡単にまとめておきます。 Windows 10をセットアップすると「PINはパスワードを使用するよりも早くて安全です」という
![[Windows 10]PIN対パスワード、そしてWindows Passport](https://cdn-ak-scissors.b.st-hatena.com/image/square/ec15125467cd4780e24941cb91587b90b3a446f9/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEgyUJ89KkuGkPWUtw2RGFevpqsCwNhlUl7-ynVQ0Uwu3AtfKabSOMkdfL_8h-xMd9vphF2KDLPeP919MeO1mYpMx6PFOz7EwEStuuROedaVHDTpNuYN9Oy1EYPHj9MEH7c-kSNoRRmt5RE%2Fw1200-h630-p-k-no-nu%2F1.png)
日経ネットワークにAzure AD特集を寄稿しました
► 2024 (316) ► 11月 (11) ► 10月 (31) ► 9月 (30) ► 8月 (31) ► 7月 (31) ► 6月 (30) ► 5月 (31) ► 4月 (30) ► 3月 (31) ► 2月 (29) ► 1月 (31) ► 2023 (2) ► 12月 (1) ► 6月 (1) ► 2022 (6) ► 12月 (1) ► 11月 (2) ► 10月 (1) ► 7月 (1) ► 2月 (1) ► 2021 (11) ► 12月 (2) ► 8月 (1) ► 7月 (2) ► 5月 (1) ► 4月 (2) ► 3月 (1) ► 1月 (2) ► 2020 (10) ► 12月 (1) ► 10月 (1) ► 9月 (2) ► 7月 (1) ► 6月 (1) ► 5月 (3) ► 4月 (1) ► 2019 (24) ► 12月 (1) ► 11月 (2) ►
[Windows 10]Azure ADに参加したPCへリモートデスクトップ接続する
こんにちは、富士榮です。 Windows 10がリリースされてから、Azure ADへの参加やHybrid構成など検証したいことはたくさんあるのですが、いかんせんクライアントOSなので都度手元の端末をセットアップしなおして、、というのが非常に煩雑です。 そんな時のAzure VMなのですが、Windows 10のイメージをVMで作っても接続がリモートデスクトップになるので、Azure ADへの参加するところまでは行けてもAzure AD上のユーザでどうやってログインしたら???という疑問がわいてきます。 単純にAzure AD上のユーザを入力してもログインできません。 と、いうことで、今回はちょっとした工夫をしてみます。 (Morgan Simonsen氏が検証していましたのでその方法の紹介です) ◆接続先コンピュータでの作業 流れとしては、リモート接続設定の構成変更およびAzure AD
![[Windows 10]Azure ADに参加したPCへリモートデスクトップ接続する](https://cdn-ak-scissors.b.st-hatena.com/image/square/a74cfeaaedc334941d67760c4df2f28f2aefc1bd/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjzcwLXPxGGuH0tQ19akCGc6ylbpDNYf4WV8aHSjaetQYiCcYYMGvYHRdB4lsCpbNB3E4sCs1js6V4UyGBoDgVJIVEbf1CF3l8X3BGBdqu2_InB5FEIgEsVbehyfm0l5Z9EYCrLgfoiIY4%2Fw1200-h630-p-k-no-nu%2F1.before.png)
[AADSync/MIM]プロキシサーバ経由でID同期を行う
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 企業内からOffice365などのSaaSアプリケーションをAzure Active Active Directory(Azure AD)経由で使う場合、オンプレミスのActive Directory上のアカウントをAzure AD Sync(AADSync)やMicrosoft Identity Manager 2016(MIM)のAzure AD Connectorを使って同期するのが一般的なシナリオです。 しかし、ほとんどの企業のネットワークには厄介なことにプロキシサーバが配置されており、AADSyncなどクラウド上のサービスに直接通信を行うサーバーを導入する際、どこに配置するのか非常に悩んだり、面倒な申請を上げてプロキシのバイパス設定や、場合によ
![[AADSync/MIM]プロキシサーバ経由でID同期を行う](https://cdn-ak-scissors.b.st-hatena.com/image/square/6975ee754e9ec89479dc6b33f2fb2b9367ddbe13/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjzbZIjiFRqFvt23vf6EQmX_Wyb6txiXOPXCY9vWxl01v7JLWZCgGatpN-lmVF50AvxtptQiIomDXi3jxY-EgLZL8xJbuBxMmQSdfw-4TeKyEdRCb4mn4F8X0Af1ingh5OkibzD0InkNU4%2Fw1200-h630-p-k-no-nu%2Ffig.png)
[Azure MFA]新Azure AuthenticatorアプリでGoogle2段階認証を使う
Azure Active Directory(AzureAD)やOffice365を使っている方ならみんな使っている(はずの)、多要素認証ですが、SMS、電話、アプリケーションといった選択肢がある中、みなさんどんな方法で多要素認証してますか?
![[Azure MFA]新Azure AuthenticatorアプリでGoogle2段階認証を使う](https://cdn-ak-scissors.b.st-hatena.com/image/square/d7941967e1f6aa40882343f61bd7ec4f70145de2/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEh9brHN4-FbKlOXdDqexfF7Z4tWuh7nEaYF3Vxq25PUDm4WXSqpL73eZFvTUojCdexlaQVeEfwLLOLLgRXgeeueGwyrJQxV5ISLxChl9eNyH-pnrpRqO7ErxM2WYV3JSYhVzR_6zf_y6ck%2Fw1200-h630-p-k-no-nu%2F0.MFA.png)
[Office365/AzureAD]OpenAMとのID連携②
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 前回のポストの続きです。 今回は予告した通りID連携を、カスタムドメインの作成~SSO設定、OpenAMのIdP/SP/CoT(Circle of Trust)定義の順に実際に設定していきます。 ◆OpenAM/IdP(Identity Provider)設定 今回の構成はOpenAM上のユーザでOffice365へログオンしたいので、OpenAMをIdentity Provider(IdP)として設定する必要があります。 尚、実際にはOffice365とOpenAMの間にAzureADが挟まっており、Office365/portal.office.com⇒(ws-federation)⇒AzureAD/login.microsoftonline.com⇒(SAML2.0)⇒Op
![[Office365/AzureAD]OpenAMとのID連携②](https://cdn-ak-scissors.b.st-hatena.com/image/square/d585029b997d966e7aba384b5ffd19ac03a7c017/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEja8DOijiaygb2I6ukKUBdwtw2iImXZ1bbPjjlmHfNd-wJ9zEVn0ZwINmLhWRbx6wqsgeCMAWD4FaWwfsPBnvwgb-Xy09KYL9sjq6__pV3jfb_I2tFP3KFpIq14ST-K5i8kNmKQxVyLtRc%2Fw1200-h630-p-k-no-nu%2Ffig.png)
「改訂新版クラウド環境におけるアイデンティティ管理ガイドライン」が発売されます
► 2025 (4) ► 2月 (2) ► 1月 (2) ► 2024 (366) ► 12月 (31) ► 11月 (30) ► 10月 (31) ► 9月 (30) ► 8月 (31) ► 7月 (31) ► 6月 (30) ► 5月 (31) ► 4月 (30) ► 3月 (31) ► 2月 (29) ► 1月 (31) ► 2023 (2) ► 12月 (1) ► 6月 (1) ► 2022 (6) ► 12月 (1) ► 11月 (2) ► 10月 (1) ► 7月 (1) ► 2月 (1) ► 2021 (11) ► 12月 (2) ► 8月 (1) ► 7月 (2) ► 5月 (1) ► 4月 (2) ► 3月 (1) ► 1月 (2) ► 2020 (10) ► 12月 (1) ► 10月 (1) ► 9月 (2) ► 7月 (1) ► 6月 (1) ► 5月 (3) ►
IdM プロジェクトの進め方
► 2024 (281) ► 10月 (7) ► 9月 (30) ► 8月 (31) ► 7月 (31) ► 6月 (30) ► 5月 (31) ► 4月 (30) ► 3月 (31) ► 2月 (29) ► 1月 (31) ► 2023 (2) ► 12月 (1) ► 6月 (1) ► 2022 (6) ► 12月 (1) ► 11月 (2) ► 10月 (1) ► 7月 (1) ► 2月 (1) ► 2021 (11) ► 12月 (2) ► 8月 (1) ► 7月 (2) ► 5月 (1) ► 4月 (2) ► 3月 (1) ► 1月 (2) ► 2020 (10) ► 12月 (1) ► 10月 (1) ► 9月 (2) ► 7月 (1) ► 6月 (1) ► 5月 (3) ► 4月 (1) ► 2019 (24) ► 12月 (1) ► 11月 (2) ► 10月 (1) ► 9
[WAAD]Windows 8 の PowerShell で ServicePrincipal 関連の操作を行う
既出情報ですが、意外と引っかかるのでメモとして書いておきます。 Windows 8 / Windows Server 2012 では Microsoft Online Services Module for PowerShell をインストールして ServicePrincipal 関連のコマンドレット(例えば Get-MsolServicePrincipal)を実行しても ObjectNotFound と言われてしまいます。 これは ServicePrincipal 関連のコマンドレッドが含まれるモジュール(MSOnlineExtended)を実行するのに PowerShell 2.0 のエンジンが必要なためです。※コントロールパネルの Windows の機能から見ると PowerShell 2.0 とありますが実際は Version 3.0 が実行されているからです。(プロンプトから
![[WAAD]Windows 8 の PowerShell で ServicePrincipal 関連の操作を行う](https://cdn-ak-scissors.b.st-hatena.com/image/square/5be2496f7fcae456b5e3fe8f3ed988198a546a95/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhsGnCuWLd04ZqMUdFjUHTu6uNDYqJAveDgiWFbV5k3jX1xLS4Eqx5pU0XeJLaeI5dyRVLBctLmygr9FDrE2c_yDCUyCqcPHUFlfQwRXhRryhzDR4qRdDCaFeCQieCHtRIBKK-UFE1gZc8%2Fw1200-h630-p-k-no-nu%2F1.error.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[AADSync]パスワード同期機能が追加
[WAAD]Windows Azure Active Directory が正式リリース
[WAAD] Preview ポータルのLook & Feel
[Office365/AD FS2.0] クライアント・アクセス・ポリシー・ビルダー
Windows Azure Active Directory Developer Preview が公開