SPAにおける理想的な認可 - Qiita
こんにちは、kura(倉林 雅)です。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2022の23日目の記事です。 前回、Cookie・OAuth 2.0・OpenID Connectの目的別プロトコル選定において目的別での適切なプロトコルのお話をいたしました。 今回はその話に関連したSPAにおける認可についてご紹介します。 なぜSaaSにおけるSPAではOpenID ConnectとID Tokenを用いるのか? はじめに、プロトコル選定や設計・実装において多くの開発者の誤解に繋がっているのではないかと思われる仕様について触れたいと思います。 前回のお話では、新規にSPAを提供する場合はOAuth 2.0を選択するで解説したようにSPAでアプリケーションを提供する際には、OAuth 2.0による認可を行いフロントエンドのJava
RBAC認可を使用する
このページに記載されている情報は古い可能性があります このページの更新日は英語版よりも古いため、記載されている情報が古い可能性があります。最新の情報をご覧になりたい方は英語版のページをご覧ください: Using RBAC Authorization Role Based Access Control(RBAC)は、組織内の個々のユーザーのRoleをベースに、コンピューターまたはネットワークリソースへのアクセスを制御する方法です。 RBAC認可はAPIグループ rbac.authorization.k8s.ioを使用して認可の決定を行い、Kubernetes APIを介して動的にポリシーを構成できるようにします。 RBACを有効にするには、以下の例のようにAPI serverの--authorization-mode フラグをコンマ区切りのRBACを含むリストでスタートします。
こんにちは、LINEヤフー株式会社でSREとして働いている岩山です。 今回は出向先の出前館で進めているマルチテナンシーのKubernetes(k8s)クラスタとサービス間通信の認可について、その構築作業の中で得られた知見を紹介します。 いくつか導入したツールの紹介を同じチームの出向組メンバーである岡田・望月・岩山の3名でお送りします。 k8sのマルチテナンシーとは マルチテナンシーとは「テナント」と呼ばれる複数のチームなどの単位で k8s クラスタを共有することです。 参考: https://kubernetes.io/docs/concepts/security/multi-tenancy/ 出前館では数百名の開発者が20個前後のチームを構成し、アプリケーションの開発を行っています。それぞれのチームは複数のコンポーネントを持ち、全体としてマイクロサービスアーキテクチャが構成されています。
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...NTT DATA Technology & Innovation
SaaS on AWS における認証認可の実装パターンとは ? ~SaaS on AWS を成功に導くためのポイントとは 第 4 回~ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、パートナーソリューションアーキテクトの櫻谷です。 SaaS on AWS の連載第 4 回目、今回のテーマは「認証・認可」です。前回、前々回の 2 回にわたって、テナント分離のお話をしてきましたが、その中でテナント分離を行う目的に関してこんな記載がありました。 認証とは、その操作を行なっている人が「誰」であるか、確かにその本人であるということを証明するための仕組みです。(中略) 認可については 2 つのスコープに分けることができます。特定のテナント内の認可と、複数テナントをまたがったクロステナントでの認可です。 SaaS には「テナント」という概念があります。そのため、アクセスしてきているユーザーが誰であるかということに加えて、そのユーザーはどのテナントに所属しているのか、という点を検証することが重要になります。では、この情報はどこに保存し、どのように検証するのが適切でしょうか
都内の保育園4園を一斉閉園 業界大手、認可園増設の余波で | 毎日新聞
来年3月末で閉園予定の認証保育園の建物を見上げる、園児の保護者=大田区南雪谷2で2020年11月1日午後4時28分、林奈緒美撮影(画像の一部を加工しています) 保育業界大手が来春、東京都内で運営する認可外の4保育園を閉園する。公表したのは9月。思わぬ通告に、幼児を預ける保護者からは不安の声が上がり、専門家も「4園も一斉に閉じるのは前例がない」と驚く。なぜ閉園するのか。探ってみると、政府が導入した政策の影響も浮かんできた。 とまどう保護者「突然の閉園、困っている」 保育園は、認可園と認可外に大別される。多くの親が希望するのは、国が定めた設置基準を達成し、知事が認可した認可園だ。認可以外は認可外となるが、その中から各自治体の基準で認定するものがあり、東京都は認証園と呼んでいる。認可園に入れなかった親にとって受け皿役を果たしてきた。 今回、認証園の閉園を決定したのは、全国で200カ所を超える認可
その共有、安全ですか? 「便利な Google ドライブ ™ 」を 「 便利 で 安全 な Google ドライブ ™ 」に
Amazon CognitoのUser Groupを利用した権限管理について本気出して考えてみた。 - Qiita
パーソルプロセス&テクノロジー株式会社のAdvent Calendar 19日目の記事です。 Azureの記事が多い中ですが、堂々とAWSの記事を書いていこうと思います。 今回は何番煎じかわかりませんが、Amazon Cognitoを利用して役職や階級の概念を持つサービス内の権限管理を行います。 順を追って構築していくので、記事を読み終わった際に 権限管理が可能な環境が構築できる状態 になっていただければ幸いです。 あくまで『権限管理を行う』が目的です。個々の解説は適当なので、公式のドキュメントを合わせて読んでみてください。 不明点あれば質問いただければ返答します(正しい答えが返ってくるとは言っていない。) 最初に Cognitoは、認証認可、またユーザーの管理なども兼ね備えたフルマネージドなサービスです。 GoogleやFaceBookを利用したソーシャルログインも実現することもできます
その1. 最小限の実装 極小の実装(セッション非利用、ユーザデータは埋め込み)で作成。 app.postではなく、router.postでやっている。 Passportに渡すパラメータが正しいか確認するため、リクエストボディをコンソールに表示する。 挙動の解説 express から、http://localhost:3000/ へのリクエストを indexルータ で処理。 passportにパラメータを渡すため、app.use(express.urlencoded( { extended: false }))が必要。 認証が成功した場合、passportミドルウェアはリクエストヘッダにreq.userをセットし、次のコールバックに処理を渡す。 動作を確認するのが目的なので、認証失敗時のページは実装していない。 実装 const express = require('express'); c
Relationship-based access control made fast, scalable, and easy to use.OpenFGA is an open-source authorization solution that allows developers to build granular access control using an easy-to-read modeling language and friendly APIs. Quick StartTrying OpenFGA is as easy as... Run the following snippet in a terminal in an environment with Docker installed: OpenFGA will be running at localhost:8080
OAuth 2.0 Playground
OAuth 2.0 Playground The OAuth 2.0 Playground will help you understand the OAuth authorization flows and show each step of the process of obtaining an access token. These examples walk you through the various OAuth flows by interacting with a simulated OAuth 2.0 authorization server. Choose an OAuth flow
はじめに このチュートリアルでは、『証明書に紐付いたアクセストークン』を活用して Amazon API Gateway 上に構築した API をこれまで以上に安全に保護する方法を紹介します。 OAuth アクセストークンが一度漏洩すると、攻撃者はそのアクセストークンをもって API にアクセスできます。従来のアクセストークンは電車の切符のようなもので、一度盗まれたら誰でも使えてしまいます。 この脆弱性はアクセストークンと同時にアクセストークンの正当な保有者である証拠も併せて提示することを API 呼出者に要求することで軽減することができます。その証拠は proof of possession と呼ばれ、よく PoP と短縮されます。使用時に PoP を必要とするアクセストークンは、搭乗時にパスポートの提示も併せて要求される国際線の航空券に似ています。 RFC 8705 (OAuth 2.0
こんにちは。サービスグループの武田です。 今回は使いどころがイマイチつかめない(※個人の感想です)IAMリソースの「パス」について紹介します。 IAMがなんなのか、というのは夏目のエントリなどを参照してください。 普段からAWSを使っている方でもIAMの「パス」を意識している人は、あまり多くないのではないでしょうか。というのも、別に意識しなくてもAWSは使えますし、マネジメントコンソールからIAMロールなどを作成する際には設定欄がなかったりします。ぶっちゃけ影が薄いです。 IAMの「パス」を設定する場合は、AWS CLIやSDKを使用することになります。例として、CLIでIAMロールを作成するのであれば次のように作成できます。 $ aws iam create-role --path '/cm-role/' --role-name cm-example --assume-role-poli
こんにちは!IDチームのたつみんです。 今年の「世界パスワードデー」である5月5日にApple、Google、Microsoftが共同で発表したPasskeyの取り組みが話題になったことを覚えている人も多いのではないでしょうか。 このPasskeyがiOS16で利用可能となったので早速Oktaでどのような挙動となるかを試してみました。 Passkeyとは はじめにざっくりとしたPasskeyの概要について触れておきます。 簡易な表現をすると、PasskeyはFIDO AllianceによるFIDO (WebAuthn )という標準規格で作成したキーをマルチデバイスで利用できるよう応用したものだと言えます。 これまでFIDOは以下のような課題があり、あまり一般的な認証要素とは言えませんでした。 Yubikeyに代表されるようなセキュリティキーを導入するハードル Apple Face ID/T
Slackが新しいロール管理アーキテクチャを詳しく説明
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Azure AD Verifiable Credentialsを活用した分散型ID(DID)とは?慶應大でも導入 2021.05.28 活用事例 Azure, DID はじめに 一般的に、私たちのアイデンティティ(名前や住所といった属性の集合)や個人を特定するための識別子(Identifier)は、会社や行政など特定の機関によって発行され、集中的に管理されています。デジタル化が進むにつれて様々なサービスを利用できるようになり、IDデータも増えました(例えばTwitterとFacebookを利用している人はIDをふたつ持っています)。 IDの管理が特定組織に依存しているため、大規模な情報漏洩・不正利用のリスクがあり、実際に様々な会社や公的機関から一度に多くの個人情報が漏洩する事件がたびたび報じられています。 こうしたアイデンティティや識別子の管理手法として、分散型モデルが提案されており、分散
【AWS SSO】AzureAD+AWSSSOで、弊社のAWSアカウントにおけるユーザー管理をAzureADに集約しつつ、アクセス権限をアカウント管理者側で管理できるようにしてみた - Qiita
【AWS SSO】AzureAD+AWSSSOで、弊社のAWSアカウントにおけるユーザー管理をAzureADに集約しつつ、アクセス権限をアカウント管理者側で管理できるようにしてみたAWSSSOAzureADユーザー管理AWSSSO うぇっしゃっしゃーす。 クラウドアーキテクチャチームの齋藤です。 AWSをご利用の方の中で、マルチアカウント運用されている方ってどれくらいいらっしゃるでしょうか。 アカウント一つならまだしも、いくつもAWSアカウントがあって個別にIAMユーザー発行とかしてると退職者アカウントの削除忘れとかあったり、色々面倒ですよね。 え?わからないって? ほんじゃぁ、ソースコードのいろんなところに同じような処理をコピペしたせいで、修正加えるときに全部手作業で直さないといけないめんどくささを思い出してください。 めんどいでしょ? 同じような処理は一か所にまとめて使いまわせるほうが
Athenz(アセンズ)は、Role Based Access Control(ロールを利用したアクセス制御)を利用して、サービス間の認証・認可を行うシステムです。 旧Yahoo! Inc.にて開発されたシステムであり、2017年にOSS化されました。 2021年1月にはCNCF Sandboxプロダクトとなり、活発に開発が行われています。 Athenz 当社では2015年からAthenzを利用しており、2017年のOSS化にも貢献しています。 社内では多くのアプリケーションが稼働し、それぞれがAPI連携にてデータのやりとりをしています。それらのアプリケーション間の認証・認可の基盤システムとしてAthenzを活用し、当社が提供するサービスのセキュリティ向上に寄与しています。 社内にて利用してきた実績をもとに、Athenzへの改善提案・関連プロダクトの開発・提供や、各種カンファレンスにて社内
It's Time for OAuth 2.1
Trying to understand OAuth often feels like being trapped inside a maze of specs, trying to find your way out, before you can finally do what you actually set out to do: build your application. While this can be incredibly frustrating, it’s no accident that OAuth is actually made up of many different RFCs, building upon each other and adding features in different ways. In fact, the “core” OAuth sp
Authorization Code Flow with PKCE Clientの実装(Node.js) - Qiita
はじめに RFC7636 PKCE(Proof Key for Code Exchange by OAuth Public Clients)は認可コード横取り攻撃の対策(authorization code interception attack)として策定された仕様です。 また、PKCEは認可コード横取り攻撃にかかわらず、OAuth2.0におけるCSRFの対策としても機能します。 なお、stateによるCSRF対策ではクライアントが検証を実施するのに対して、PKCEによるCSRF対策では認可サーバーが検証を実施するという違いがあります。(PKCEを利用した場合でも、クライアントが固定値などの脆弱なcode_challenge、code_verifierを利用するとCSRFに対して脆弱になるためクライアントに対策の責務がないわけではありません) PKCEはスマートフォンアプリなどのPubl
Authorization
Details of Kubernetes authorization mechanisms and supported authorization modes. Kubernetes authorization takes place following authentication. Usually, a client making a request must be authenticated (logged in) before its request can be allowed; however, Kubernetes also allows anonymous requests in some circumstances. For an overview of how authorization fits into the wider context of API acces
GitHub - flatt-security/blog-specification-vlunerabilities-check-sheet: 「仕様の脆弱性」まとめブログ用のチェックシート
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
認証認可とワンセットで語られることが多い印象だが、今回話すのは「認可(Authorization)」の話だ。「認証(Authentication)」の話は含まない。 (システムで言う)認可とは、大雑把に言うと「誰が」「何を」「どうすることが」「できる/できない」の要素に従って判定することだ。 どちらも略すと「Auth」になってしまってクラス名が衝突したりするので困ることがある。区別するために認証はAuthN、認可はAuthZと略されることがある。「WebAuthn」などは一例と言えるだろう。 弊社内ではまず話題になってこなかったため、実装の話が流れたとき、非エンジニアからは「認可?権限と何が違うの?おいしいの?」といった声が聞かれたり聞かれなかったりした。 認可制御の種類 MNTSQで採用した認可制御 認可のrailsのgemの紹介 pundit cancancan MNTSQの認可制御の
Announcing HIBA: Host Identity Based Authorization for SSH
The latest news from Google on open source releases, major projects, events, and student outreach programs. How do you manage SSH access to a fleet of hosts? While OpenSSH provides many methods from a simple password to the use of certificates, each of these on its own still presents challenges. Let's start by clarifying the difference between Authentication and Authorization. The former is a way
Microsoft and Okta are investigating potential attacks by the Lapsus$ hacking group
Microsoft and identity authentication company Okta are both investigating potential attacks that may have been carried out by the South American hacking group Lapsus$. The collective claims to have stolen source code for Bing, Cortana and internal Microsoft projects from a server. Lapsus$ released a torrent on Monday that's said to contain 37GB of source code for around 250 projects, according to
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マルチテナンシーのKubernetesクラスタとサービス間通信の認可
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Cedar Language Playground
Googleドライブ セキュリティ管理ツール DriveChecker(ドライブチェッカー)
Passport.js の基本的な利用方法 (Node.js & Express) - Qiita
Fine Grained Authorization | OpenFGA
金融グレード Amazon API Gateway - Authlete
AWS IAMリソース パスのススメ | DevelopersIO
OktaでPasskeyが利用できるようになっていたのでいろいろ確認してみた
Azure AD Verifiable Credentialsを活用した分散型ID(DID)とは?慶應大でも導入
Athenz - Yahoo!デベロッパーネットワーク
MNTSQ CLMの認可の実装 - MNTSQ Techブログ
sp.m.jiji.com
www.nikkei.com
hypergadget.jp
www.nikkei.com
woman.nikkei.com
kai-you.net