こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 SAML環境のテストのために、SimpleSAMLphpを使って簡易IdP / SPをセットアップしました。SAML環境に関しては引き続き連載致します。今回は「SimpleSAMLphpを用いたIdPのセットアップ」を纏めます。 1. Webサーバ(Apache)+PHPの作成まず、CentOS 7を使ってWebサーバ+PHP(PHP 7.3以上)が動く状況を作成します。以下、特に注釈がない場合にはrootで作業します。 CentOS 7上でApacheをインストールします。通常は最小限のパッケージにしたいため、関連する必要なパッケージをそれぞれyumを用いてインストールしますが、ここではIdPのインストールにフォーカスしたいため、思い切って下記の様に「yum group install」で”Basic Web
このチュートリアルでは、Pulse Secure PCS と Azure Active Directory (Azure AD) を統合する方法について説明します。 Azure AD と Pulse Secure PCS を統合すると、次のことができます。 Pulse Secure PCS にアクセスできるユーザーを Azure AD で制御できます。 ユーザーが自分の Azure AD アカウントを使用して Pulse Secure PCS に自動的にサインインできるように設定できます。 1 つの中央サイト (Azure Portal) で自分のアカウントを管理します。 前提条件 開始するには、次が必要です。 Azure AD サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。 Pulse Secure PCS でのシングル サインオン (SSO) が有
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
はじめに Microsoft365 の AzureAD を使って業務関連のシステムの SSO 化を進めており、redmine もサクッと行けるだろうと思ったら結構ハマったので、自分のメモ & 誰かの役に立てば、と書いてみました。 なお今回の検証にあたっては @kaihei777 さんのこちらの記事 にとても助けていただいたので、お礼を兼ねてタイトルも真似させていただきました。大変助かりました m(__)m。 2024/1/4 追記: コメント欄に書きましたが Redmine 5.0 以降は chrodriguez/redmine_omniauth_saml を fork した davintoo/redmine_omniauth_saml を使う必要があるようです。とりあえず検証環境では動いた、という程度で私も未だ十分に確認できていませんが… 検証したプラグイン 「Redmine SSO A
情シス担当の内です。 総務省やIPAの「企業・組織の情報セキュリティ対策」ページでは以下のように書いてあります https://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/business/admin03.htm 複数のサービス間で同じパスワード使い回さないこと、同一のパスワードを長期間使い続けることは避けなければなりません。ユーザーには定期的にパスワードを変更するように指導しましょう。また定期的な変更といっても、2つか3つのパスワードをあらかじめ決めて、使いまわすのも避けるように指導した方が良いでしょう。パスワードをWebブラウザなどのソフトウェアに記憶させないこと IT業界で働く人にとっては百以上のシステムを利用してID/パスワードを管理することは、珍しく無いと思います。パスワードを管理するのってものすごい記憶力を
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
id認証サーバは統合しといたほうがアカウントの管理が楽だよねという意見がありましてやってみました。 やってみて苦しんだのちにサポート問い合わせして教えていただいて成功したので軽くメモっておきます。 ライセンスの件 はじめに確認するポイントですが、この連携設定についてはAzureAD Premium(P1)ライセンスが必須です。 ライセンスがないとグループと登録されたアプリケーションを紐づけることが不可能です。 作成したグループに対してライセンスを有効化する必要があります。今回は評価版を用いました。 ※ユーザ毎に¥600~900程と表示されてました(2017/8時点) 試用期間を超過するとそのまま使えなくなるようで契約が要るようです。 参考サイト: https://www.cloudbees.com/blog/securing-jenkins-role-based-access-contro
今回は、JekinsとのSAML認証でのシングルサイン設定を行ってみようと思います。 Jenkinsのプラグインマネージャを検索するとSAML プラグインがありますので、このプラグインを使用しSeciossLinkとの連携を行います。 Jenkins側の設定手順 JenkinsでSAMLプラグインのインストール プラグインマネージャーの利用可能タブで、「SAML」を検索すると以下画像のようにSAMLプラグインが表示されますので、「ダウンロードして再起動後にインストール」ボタンよりインストールを行います。 画像はインストール後のものです。 JenkinsでSAML2.0の有効化 ダッシュボードのグローバルセキュリティの設定を開き、ユーザー情報から、SAML2.0を選択します。 設定項目がいろいろありますが、以下のように設定していきます。
シンジです。社内インフラを見直してみると、Active Directoryの闇に加えて、パスワードポリシーを含むGPOの地獄に絶望する管理者は多いと思います。シングルサインオンの技術を使って、なるべくシンプルにそして簡素化しつつもセキュアな構成にしようと試みます。今回はそれら全てをすっ飛ばして、そもそもActive Directoryを使わずに、Windows端末のパスワードも抹殺して、シングルサインオンを実現したというお話です。 概要 通常だとユーザーが利用するパスワードは、基本的には端末のローカルに存在するか、Active Directoryなどのディレクトリサービスに保管されてて、それらを利用します。最近だとDirectory as a Serviceと言われるものを利用して、SaaSを利用するケースもあります。ちなみに有名どころはJumpCloudです。これほんと便利。でもエージェ
SAMLにチャレンジする理由 ここに来て、大手や新興ベンダーから続々とSASE関連のソリューションがリリースされています。オンプレ型のネットワークセキュリティの移行が少しずつ準備が整ってきている雰囲気を感じるこの頃です。 さて、今回はSAMLがテーマです。 SAMLを使ったことのない人はおそらくいないと思います。多くのクラウドシステムではSSO(シングルサインオン)で利用されているので、仕組みがわからなくてもユーザーとして利用しているはずです。 ただ実際にネットワーク機器へSAMLを実装するケースはそれほど機会は多くないと思います。今でも多くの環境ではローカル(RadiusやAD/LDAP)を活用するケースが多いというのも事実です。 SASE(ZTNAやSWGなど)の登場によってユーザー認証の実現については少し見直しが必要かもしれません。SASE製品では、従来のローカルDBとは連携せず、S
Security Assertion Markup Language (SAML) は、ID プロバイダーとサービス プロバイダー (IdP) 間で認証および認可データを交換するためのオープン標準です。 SAML は、セキュリティ アサーション (サービス プロバイダーでアクセス制御の決定を行うために使用されるステートメント) 用の XML ベースのマークアップ言語です。 SAML 仕様には、次の 3 つのロールが定義されています。 プリンシパル (通常はユーザー) ID プロバイダー (IdP) サービス プロバイダー (SP) 使用する状況 エンタープライズ SAML アプリケーション用にシングル サインオン (SSO) エクスペリエンスを提供する必要があります。 特にセキュリティ ドメイン間で SSO を拡張すると、SAML で対処される最も重要なユース ケースの 1 つは SSO
【累計3500部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
OneLogin を Amazon Cognito ユーザープールのセキュリティアサーションマークアップ言語 2.0 (SAML 2.0) ID プロバイダー (IdP) として使用したいと考えています。 簡単な説明 Amazon Cognito ユーザープールでは、サードパーティ (フェデレーション) を介してサインインできます。これには、OneLogin などの SAML IdP 経由も含まれます。詳細については、「サードパーティ経由のユーザープールサインインの追加」および「ユーザープールへの SAML ID プロバイダーの追加」を参照してください。OneLogin を SAML IdP としてセットアップするには、Amazon Cognito ユーザープールと、アプリケーションを含む OneLogin アカウントが必要です。 解決策 アプリクライアントとドメイン名を使用して Amaz
※以下の設定は、動作確認済みのエディション[Azure Active Directory Premium P2]を元に記載しております。 1. MS Azureポータルにログイン Microsoft 365を管理しているAzureのポータルにログインします。 ログイン後、ポータルより「Microsoft Entra ID」メニューをクリックしてください。 2. アプリの登録 「概要」ページの左メニューから「エンタープライズ アプリケーション」メニューをクリックします。 アプリケーション一覧画面が表示されますので、画面上部にある「+新しいアプリケーション」ボタンをクリックしてください。 「Azure AD ギャラリーの参照」画面が表示されますので、画面上部にある「独自のアプリケーションの作成」ボタンをクリックしてください。 右側に「独自のアプリケーションの作成」画面が表示されますので、以下の
0.はじめに python (pysaml2) から cybozu.com の SAML 認証を確認してみます。 1.Amazon Linux の EC2 インスタンスを作成する E2 コンソールページから、Amazon Linux の AMI を選択し、ポチポチと EC2 インスタンスを作成する。 AMI ID : amzn-ami-hvm-2017.03.0.20170417-x86_64-gp2 (ami-923d12f5) Instance Type : t2.micro Security Groups : SSH HTTPS その後、Elastic IP を割り当てます。 2.初期設定やセキュリティ設定を設定する 一般的な初期設定やセキュリティ設定などを行います。 root ユーザのパスワードの設定 ホスト名の変更 /etc/sysconfig/network /etc/host
アクション,アクティビティ,アクセスログ,アクセシビリティ,追加する,アプリを連携させる,メンバーを追加する,Slack に追加する,管理者すべてのパスワード,アナリティクスandroid,社内通知,社内お知らせ,App ディレクトリ,アプリのアイコン,Apple Watch,アプリの承認,アーカイブする,Asana,Atlassian,オートメーション化アプリ,バッジ,お支払い情報,請求,Bitbucket,ボットユーザー,box,ブラウズする,通話,通話:、キャンセル,変更,チャンネル,簡単にチャンネルを作成,チャンネルの管理,チャンネルの通知,チャンネルのおすすめ,ドメインを申請する,閉じる,企業文化,プラスデータエクスポート,作成する,コンピューター,会話,変換する,接続する,連携アカウント,接続,接続する,メッセージをコピーする,作成,カスタマイズ,カスタマイズする,カスタム S
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く