Google の IDToken の sub の値が変わるって本当?|ritou
ritouです。 私の投稿でお馴染み、メアドをキーにするID連携実装に加えて廃業したスタートアップのドメインを取得してメールアドレスを利用可能になったらホゲホゲっていうお話にとんでもないことがしれっと書かれていました。 Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co. 問題はこの文です。 Why Doesn’t The SUB Identifier Solve this?I have worked with a few of these downstream providers to look for a solution. There is a documented unique user identifier (the sub claim) that could theor
認証・認可サーバの OSS Authelia を試す
ユーザー認証や管理を行うアプリケーションを探していたところ Authelia という良さそうな OSS を見つけました。ただ現時点では日本語の情報が殆どなかったので、実際に環境を構築して機能をいろいろ試してみます。 Authelia について ドキュメント Github ドキュメントより引用 Authelia is an open-source authentication and authorization server and portal fulfilling the identity and access management (IAM) role of information security in providing multi-factor authentication and single sign-on (SSO) for your applications via a
デジタルIDウォレットとは何なのか、私見と妄想とともに - Qiita
最近 ID 界隈で話題になっているトピックとして、デジタルIDウォレット(DIW) というコンセプトがあります。これは、身分証、運転免許証や、銀行のキャッシュカード、さらにはお店のポイントカードまで、あらゆる本人のアイデンティティに関するデータを、スマホアプリに保存し、必要に応じて、必要な情報だけ、必要あれば複数をまとめて一度に、提示できるというコンセプトです。 話題になっている背景、必要となる技術、欧米の動きなど、2023年12月時点での私の理解をまとめました。 明確なソースがある情報は、極力ソースとなるURLを添付しています。 また、一般論としてここに記載する情報については、国内外の多くの識者の方のお話を、直接的、間接的に伺う中で、私の中で咀嚼、消化した内容となっております。ここの皆様のお名前は略させて頂きますが、御礼申し上げます。それでも、本ブログの内容に誤りがあれば、すべて私の責任
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
パスキーとID連携の関係を考察する際の観点|ritou
パスキーの登場以来、ID連携、特にソーシャルログインは認証方法として比べられることが多くなりました。この記事では、この2つを比較したりその関係を考察する際に意識しておくべき観点を整理しておきます。 それぞれの特徴両者は異なる特徴を持っています。 パスキー 用途: 認証 パスキーの管理: プラットフォームが提供するパスワードマネージャー、サードパーティーのパスワードマネージャー、セキュリティキー、ブラウザ 属性情報: 一緒に保持できて引き回せるデータは User Handle ぐらい ID連携 用途: 新規登録、認証、属性情報の取得/同期 アカウント情報の管理: Identity Provider 属性情報: プロフィール情報、確認済みメールアドレスなどを取得可能なのが一般的 特徴が異なるために、導入箇所や意味合いも異なります。 ざっと思いつくのが 新規登録 ログイン 再認証 ぐらいでしょう
認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)
みなさま、認可の設計に苦しんでいるでしょうか?私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o
今なら間に合う分散型IDとEntra Verified ID
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。Read less
分散型IDに関する10の所感(2022年2月版)
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 なんだかんだでuPortを触ったり現Azure Active Directory Verifiable Credentialsの前身を触ったり、最近だと数カ所で実証実験プロジェクトを立ち上げたり、MS主催のDecentralized Identity Hackathonで入賞してみたり、と分散型IDに関わり始めて5年くらい経っていたりしますので、現時点で分かったことをメモしておこうかと思います。(往々にして数年後に見返すとう〜ん、となるやつだけど気にしないことにする) ※そういう意味では2019年の#didconでその時点でわかっていることをある程度まとめて発表してからおよそ3年も経つんですね・・・ また機会があればdidconでも開催してじっくりお話さ
1st party clientへのOpenID Connectの導入 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 の11日目の記事です。 自分たちで管理しているサービス(以下、1st party client)及びそのアカウントに対して、OAuth及びOpenID Connectのプロセスを導入することについて話します。 正直、自分の中で完全に答えがまとまっている状態ではありませんが、つよつよID厨の皆様方の意見を聞きたいので、現状の考えをまとめておきたいと思います! 背景 ※ この背景はフィクションです。実在の人物や団体などとは一切関
Microsoft Entra Verified ID | Microsoft Security
製品 製品グループ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel セキュリティ AI Microsoft Copilot for Security ID (アイデンティティ) とアクセス Microsoft Entra ID (Azure Active Directory) Microsoft Entra 外部 ID Microsoft Entra ID ガバナンス Microsoft Entra ID 保護 Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra Permissions Management Microsoft
自己主権型アイデンティティ(Self-Sovereign Identity)の概要 - Qiita
この記事の内容 自己主権型アイデンティティ(Self-Sovereign Identity)に関する動向やその実装技術についてお勉強した内容を整理していきます。 目次 はじめに SSIについて SSIのキーファクター まとめ はじめに 最近デジタルアイデンティティの世界で「自己主権型アイデンティティ(Self-Sovereign Identity)」という考え方が注目され始めています。EUや北米では以前からその実用化に向けた取り組みや議論がされており、国内でもブロックチェーン界隈を中心に徐々に話題に上がるようになってきています。なぜブロックチェーン界隈なのかというと、ブロックチェーン技術と相性の良いユースケースだからです。なぜ相性が良いのかという話は後述するとして、今回はSelf-Sovereign Identity(長いので以後"SSI"に省略)の概要と基本的なアーキテクチャについて学ん
OAuth2の次に来ると言われる認可プロトコルGNAPとはなにか | メルカリエンジニアリング
Merpay Advant Calendar 2020、23日目の記事は、趣味で認証認可をやっている @nerocrux が送りいたします。 最近 GNAP という認可プロトコルのワーキンググループドラフトが出ていて頑張って細かく読みましたので、(次回はいい加減に仕事でやってることについてお話しますが)今回はその GNAP について紹介させてください。 GNAP とはなにか? GNAP は Grant Negotiation and Authorization Protocol の略で、認可のプロトコルです。Justin Richerさんという方を中心に策定しています。作者によると、GNAP の発音は げなっぷ になります。 認可(Authorization)プロトコルと言えば、OAuth 2.0 (RFC6749) が広く知られ、運用されています。GNAP は OAuth 2 の後継とし
パスワードレスな認証方式やアカウントリカバリーについての振り返り2020
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 19日目の投稿です。 急に穴が空いたのでアカウントリカバリーとかの話でリカバリーしましょう。 今年は認証やら本人確認などが騒がしい年でありました。 大きな問題の話はおいといて、自分のブログ記事に書いたぐらいの話を用いて振り返ります。 1. 一般的なパスワード認証 - パスワード = メール/SMSを用いたパスワードレス認証? bosyuがTwitter/Facebookのソーシャルログインに加え、メールでリンクや認証コード的な文字列を送信、それを検証することでログイン状態とするパスワードレスな認証機能を実装されていました。 bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife (追記: ころちゃん氏が関連する記事を書いてました。パスワ
Auth0、AWS東京リージョンで提供開始
Auth0、AWS東京リージョンで提供開始〜日本国内のAWSデータセンターからサービス利用が可能に〜 2つのDX(デジタルトランスフォーメーションと開発者体験)向上のための認証ソリューションを提供するAuth0株式会社(本社:東京都渋谷区、代表:ユーへニオ・ペース)は、Auth0をパブリッククラウド環境にてご利用のお客様へ、2020年12月15日よりアマゾン ウェブ サービス(以下、AWS)東京リージョン上で構築した環境にて提供開始いたしました。これにより、パブリッククラウド 環境をご利用のお客様は、これまでの米国、欧州、豪州に加え、日本国内のAWSデータセンターからサービスの利用が可能になります。 本発表について、Auth0 共同創業者CEOのユーへニオ・ペースは以下の様に述べています。 「日本企業においては企業規模に関わらずクラウドの利活用が重要であり、弊社としても高まる日本企業からの
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました(以下よりダウンロードいただけます)。 ゼロトラスト・アーキテクチャとは概念であり、また十分に成熟した領域とは言えないため、内容を正しく理解することは容易ではありません。ゼロトラスト・アーキテクチャは製品/ベンダーによって多様な実現方法があるのが実態ですが、対応したソリューションの1つを導入したとしても、ゼロトラスト・アーキテクチャを実現できる訳ではありません。 本書のポイントとして、ゼロトラストの定義や7つの理念を紹介している点が挙げられます。この定義と理念をNISTが整理したことで、ゼロトラストに関する共通
2020年のWebAuthnアップデート
Digital Identity技術勉強会 #iddance Advent Calendar 2020 12日めの記事です。 年末ということで、気楽に2020年のWebAuthn関連の話題を振り返ってみたいと思います。WebAuthnは2019年に一度W3C勧告になりましたが、その後も色々な実装での採用の拡大や、WebAuthn Level2という新しい改訂版の仕様策定の進展など、2020年も色々動きがありました。それらの中から、興味を惹かれた話題を解説していきます。 SafariでFace ID/Touch IDがPlatform AuthenticatorとしてサポートWebAuthn周りで今年最大の進展というと、やはりSafariのWebAuthn実装がFace ID/Touch IDをPlatform Authenticator(内蔵の認証デバイス)としてサポートしたことが挙げられ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Identifying User Idenity
OpenID Foundation Publishes “OpenID for Verifiable Credentials” Whitepaper | OpenID
Microsoft's Dream of Decentralized IDs Enters the Real World
4 ways Microsoft is delivering security for all in a Zero Trust world | Microsoft Security Blog