自社Webサイトをゼロトラスト対応SAML認証/SSOで運用(OneLogin 編 )
OneLoginを利用して自社のWebサイトをSAML2.0/シングルサインオンによる認証機能付きで構築&運用する場合の構成です。 一般的なWebページやWordPressで作成のWebページをSAML2.0/SSOで運用します。またSP/Webの2重化による負荷分散での運用も可能です。 パブリックなWebサイトはもちろん、LAN側の社内ローカルなWebサイトもIDaaSのidP 「OneLogin」を利用してシングルサインオンで運用することが出来ます。 今回はIDaaSサービスを提供の「OneLogin」をidPとして、利用する場合の構成例です。SSO対応の自社Webを任意の場所で運用が出来ます。 SAML認証 シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ idP(アイデンティティ・プロバイダ)とその情報を利用するSP(サービス・プロバイダ)で構成されま
SAML SSO for self-managed GitLab instances | GitLab
Tier: Free, Premium, Ultimate Offering: Self-managed This page describes how to set up instance-wide SAML single sign on (SSO) for self-managed GitLab instances. You can configure GitLab to act as a SAML service provider (SP). This allows GitLab to consume assertions from a SAML identity provider (IdP), such as Okta, to authenticate users. To set up SAML on GitLab.com, see SAML SSO for GitLab.com
Linux ログインをAzureADで認証する!!
Linuxサーバーへのログイン認証を「AzureAD」でやってみたいと思います。当然、AzureADで認証するので、多要素認証も利用できます!! ※こちらを「Azure AD 認証でLinuxへログイン!!」オススメします。 それでは、やってみよ~ 先ずは、AzureADでアプリケーションを作成します。 ※事前にLinux認証用のディレクトリを作成すると良いでしょう。 名前:表示名 アプリケーションの種類:ネイティブを選択 リダイレクトURL:トップレベルドメイン必須 作成したアプリケーションの[アプリケーションID]をコピーしておきます。 Linuxサーバーへのログインを許可するユーザーを作成します。 ※仮パスワードが発行されるので、一度ポータルへログインしパスワードを変更して下さい。 これで下準備が整いました。 ここからは、Linuxサーバーでの作業になります。 ※今回は OpenLo
Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ | DevelopersIO
おうちプロジェクトでSlack,Trello,AWS,Githubなんかを使っているのですが、メンバーが数人にも関わらずアカウント管理がめんどくさくなってしまいました。経験がある人も多いかと思います。せっかくなんでシングルサインオン(SSO)試してみるか と思い、最近グイグイきているAuth0を試すことにしました。 Auth0 Auth0はWebサービス、モバイルアプリ、IoT、社内アプリケーションの為のソリューションです 弊社のパートナーで、導入のサポートなども行っております。興味のある方は下記をご参照ください。 クラスメソッド > パートナー > 次世代認証基盤サービス「Auth0」 シングルサインオン(SSO)ログイン 単一の資格情報を使ってアプリケーションにログインすることで、様々なアプリケーションに自動的にサインインします。 使用しているサービスやアプリケーションごとに資格情報を
cybozu.com の SAML 認証のための AD FS 2.0 導入 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは。社内インフラ担当の川上です。 今回はサイボウズ社内から cybozu.com の SAML 認証を利用するために、社内に AD FS 2.0 を導入した事例について紹介します。 SAML 認証とは Security Assertion Markup Language (SAML) とは、異なるセキュリティドメイン間で認証情報を連携するための、XML ベースの標準仕様です。 この定義だけではおそらく意味がよくわからないと思いますので、SAML 認証を説明する際によく使われる例を挙げます。 パスポートによる入国のシナリオ: アメリカ合衆国は、日本国を信頼している (前提条件)。 日本人の A さんは、日本国が発行したパスポートを持っている (= 日本国により本人確認済み)。 A さんが、アメリカ合衆国に対して入国許可を求める。 アメリカ合衆国は、A さんのパスポートを確認し、入国を
SAML 2.0 + LDAP + AWSで複数アカウントのSSOを実現した話 - WILLGATE TECH BLOG
はじめに こんにちは! インフラチームの高畑です。 最近インフルエンザが流行っていて毎年かかっている私も、もうすぐかかるのではないかと日々怯えながら過ごしています。 今回は SAML 2.0 ID プロバイダ(IdP) と LDAP を連携して複数アカウントで管理している AWS の SSO(シングルサインオン)化についてお話しします! これまで何が問題だったのか これまで弊社では AWS コントロールパネルへのログイン情報を社内サーバを使ってオンプレで運用している社内専用 wiki で管理しており、都度該当のアカウント情報をコピーしてログインを行なっていました。 そのため、法令停電などの影響で wiki を見ることができずコントロールパネルに入れないという問題や、サービス毎に AWS のアカウントを分けているため、今後もアカウントが増え続け管理が大変になるといった問題もありました。 これ
SAML対応のシングルサインオン製品(クラウド対応)を調べてみた - Qiita
なぜSAMLがいいのか? クラウドサービスにシングルサインオンできる製品、例えばOneloginやSKUID、Oktaといった製品で一般的に利用されているのは、フォームベース認証の置き換え(シングルサインオン)です。 これをSAML認証(正確にはSAML 2.0認証だが、面倒なので以下ではSAML認証と書く)に置き換えると何が嬉しいのか。利用者の立場で、自分が理解できるようにまとめてみました。といっても、理由は一つだけです。 SAML認証を使う理由はクッキーの不正アクセス防止 フォームベース認証だと、認証クッキーをブラウザにキャッシュするため、なりすましによりクッキーへの不正アクセスを許してしまう可能性があります。 しかし、SAMLの場合、クッキーを利用せずに認証情報をIdP (Identity Provider、シングルサインオン製品)ならびにSP (Service Provider、I
How To: Single Sign-On (SSO) between G Suite and Office 365 with G Suite as identity provider (IdP)
What are we trying to accomplish?We’ve been working with one of our G Suite accounts and manually syncing members to Office 365 who have requirements for Microsoft Office licenses. This is a huge pain and we wanted to tighten up our security with SSO everywhere and enforcing 2FA. Traditionally organizations have used Microsoft’s Active Directory (AD) and its federation solution, Active Directory F
GoogleアカウントでOffice365(Azure AD)にSSOログイン
自分の団体のログイン環境をGoogleアカウントに全部にまとめたくて、Office365もGoogleアカウントでSSOログインできるようにしようと思ったら思ったより苦戦した話。 とりあえず情報があまりない。Azure ADをIdP、GoogleがSPとしてSSOは沢山あるんだけど、逆がなかなか見つからない。 大まかな流れはGoogleさんのヘルプ Office 365 クラウド アプリケーション を読めば出来そうな気がするが、Azure ADと連携する上で必要な肝心な項目が省略されている。これに補足する形でメモしておく。 PowerShellコマンドなどは http://www.viewds.com/blog/making-office-365-work-with-an-external-saml-identity-provider.html も参考に。 第1部 Office 365 を
OpenAMってなに? - Qiita
はじめに Hello, Qiita! 大変なことを始めてしまいました。ブログというものを書くこと自体が初めてなのですが、細々とやっていきたいと思います。 なんで今OpenAM? 一言で言うと、仕事で検証することになっただけです。その過程で得た知識を吐き出そうかなぁと思いました。 私は業界で言うところの情シスの人間なのですが、最近は会社のIT企画のお手伝いのような仕事をしています。その業務の中で、全社の共通ID基盤として「OpenAM使えそう!」と血迷ったことを自分が言い出したので、言い出しっぺがそのまま検証することになったというわけです(´;ω;`)ブワッ 何を伝えたいのか? OpenAM使ってID基盤作りたいとか、シングルサインオンしたいとか、多要素認証したいと考えている人は結構いるのじゃないかなぁ?と勝手に想像しています。そんな人達に「あ〜、なんだかわたしでもできそう〜(๑•̀ㅂ•́
SAMLとは |クラウド型シングルサインオン・アクセスコントロール(IDaaS) OneLogin - サイバネット
SAMLとは、Security Assertion Markup Languageの略称であり、OASISによって策定された異なるインターネットドメイン間でのユーザー認証を実現するXMLベースの標準規格です。この規格は2002年に策定され、2005年にはバージョン2.0がリリースされました。 SAMLを活用することで、企業は自らが管理するアイデンティティ情報源(例:Active Directory)を用いて、シングルサインオン(SSO)を多数のクラウドサービスやWebアプリケーションで可能にします。これにより、ユーザーは一度だけ認証サーバーへのログインを行えば、SAML対応の各種アプリケーションにアクセスできるようになります。 また、SAMLはユーザーの属性情報なども付与することができます。単純にユーザーの認証を行うだけでなく、ユーザーがクラウドサービス内のどの機能を許可するなどの認可も行
カスタム SAML アプリを設定する - Google Workspace 管理者 ヘルプ
シングル サインオン(SSO)を利用すると、ユーザーは管理対象の Google アカウントの認証情報を使って企業向けのすべてのクラウド アプリケーションにログインできます。Google は 200 を超える一般的なクラウドアプリと事前統合された SSO を提供しています。 事前統合済みのカタログに含まれていないカスタムアプリで SAML ベースの SSO を設定するには、次の手順を行います。 [アプリを追加] [カスタム SAML アプリを追加] をクリックします。 アプリ名を入力して、アプリのアイコンをアップロードします(省略可)。アプリアイコンは、[ウェブアプリとモバイルアプリ] のリスト、アプリの設定ページ、アプリ ランチャーに表示されます。アイコンをアップロードしなかった場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。 [続行] をクリックします。 [Googl
RedmineをG SuiteでSAML SSOしてみた - Qiita
# プラグインディレクトリへ移動 $ cd /var/lib/redmine/plugins/ # プラグインをclone $ git clone https://github.com/chrodriguez/redmine_omniauth_saml.git # redmineのHOMEへ移動 $ cd /var/lib/redmine # プラグインに必要なライブラリをインストール $ bundle install # プラグインを適用 $ RAILS_ENV=production bundle exec rake redmine:plugins 2.G SuiteでSAMLアプリを作成 ステップ 1 SAML アプリケーションで SSO を有効にする 「カスタムアプリをセットアップ」 ステップ 2/5 Google IdP 情報 オプション 1 SSO の URL : これが、sam
IdPとは | OSSのデージーネット
IdP(Identity Provider)とは、SAML認証における認証情報の提供者のことである。組織内で利用しているLDAPやActive Directoryなどの認証サーバとIdPを連携することで、普段利用しているログインIDとパスワードを使ってクラウドサービスなどへログインすることができる。 一般的なクラウドサービスでは、それぞれのサービスごとに個別の認証情報を持つことができる。しかし、個々のクラウドサービス毎に別々のパスワードを設定したり管理したりするのは、非常に煩雑で手間がかかり、ユーザーにとって利便性が低い。そのため、最近の各種クラウドサービスでは、SAMLのような共通の認証プロトコルを使うことが増えている。こうしたSAML認証をサポートするクラウドサービスでは、利用者側でIdPを用意することで、様々なサービスの認証情報を一元管理することができる。 なお、IDP(Intrud
SAML ベースのシングル サインオンをデバッグする
この記事では、SAML ベースのシングル サインオンを使用する Microsoft Entra ID のアプリケーションについて、シングル サインオンの問題を見つけて修正する方法を説明します。 開始する前に マイ アプリによるセキュリティで保護されたサインイン拡張機能をインストールすることをお勧めします。 このブラウザー拡張機能により、シングル サインオンに関する問題の解決に必要な SAML 要求および SAML 応答の情報を収集しやすくなります。 拡張機能をインストールできない場合でも、この記事では、拡張機能がインストールされている場合とされていない場合の両方について、問題を解決する方法を示します。 マイ アプリによるセキュリティで保護されたサインイン拡張機能ををダウンロードしてインストールするには、次のいずれかのリンクを使用します。 Chrome Microsoft Edge SAML
SAML認証を勉強せずに理解したい私から勉強せずに理解したい私へ - Qiita
コードがないし自分向けなのでポエム枠です 結論 簡単に説明してくれる所はサイボウズ様が詳しい。(難しい所を読み飛ばせば) SAML認証を使用したシングルサインオンを設定する | cybozu.com共通管理 ヘルプ SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ 動かしてみないと実感わかないかも。 難しいと思った所は実はライブラリを使うならほとんど隠して担ってくれている。 はじめに 突然SAML認証と仲良くしなきゃいけなくなった人へ - Qiita を読んで(読まずに)挫折して SimpleSAMLphp で開発用の SAML ID Provider を立てる - suer のブログ に手を出している途中の人が書いています。(SP側はonelogin/php-samlのdemo1です) 足首浸からないぐらいの浅学の身なので、内容には十分ご
SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Slashチームの渡辺です。 Slashチームでは、ユーザー管理や認証周りなどの、cybozu.comの各サービスに共通する機能を開発しています。今回は、3月にリリースされた、SAML認証を用いたシングルサインオン機能1についてお話させて頂きます。cybozu.comでのSAML認証の概要にくわえて、それらの機能をどのように設計・実装していったか、という誰も興味ないニッチな話題を扱います。 SAML2 って? 「SAMLなんて聞いたこと無いけどなんとなく興味があるぞ!!」という物好きな方のために、SAMLの概要とcybozu.comでの利用について、簡単に説明します。そんなものは既に知っているというSAML猛者な方は読み飛ばして頂いて構いません。 SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリ
Jenkins の認証に Azure Active Directory を使った - backyard of 伊勢的新常識
昨年の冬に MacBook Pro を買い換えたことで 1 台サーバーとしておいておける Mac ができたので、iOS アプリのビルド用に Jenkins 2 を構築して設置しました。 インターネットに公開するものの、さすがに認証がないとつらい、だけど BASIC 認証は Firefox がうまく覚えてくれなくなってるっぽいので避けたいと思い、別の認証を試すことにしました。 ちょうど、Azure AD の存在を思い出したので、連携させて認証できるようにしてみました。 以下 Jenkins を設置した場所を [JENKINS_URL] と表記します。 グループの作成 Azure AD 上に Jenkins 管理者と Jenkins 利用者という形でグループを作成しておきます。(Azure AD 「ユーザーとグループ」の中にあります) 各グループのオブジェクト ID が後で必要になるので控えて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
