ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
GitHub Actions から AWS や GCP などのクラウドリソースを操作するときは、 OIDC を使用することが主流だと思いますが、手順に沿って設定はできるもの仕組みがよく分かっていない方も多いと思います。 この問題は厄介で、様々な"分からない"が絡まりあって生まれている問題だと思います。 例えば、 どんな仕組み・流れでAWS・GCPを操作できるようになっているのか分からない(私) そもそもなぜOIDCを設定すると嬉しいのか分からない(私) 色々な設定をしたけど何をしているのか分からない(私) などが挙げられると思います。 これらを解消し、OIDCを利用したGitHub ActionsとGCPの連携の流れ・仕組みを探求するのがこの記事の目的です。 ※Google CloudのことはGCPと書きます。 ※記事で触れないこと GitHub Actions - Google Clou
GitHub Actions と AWS を OIDC で連携するときに自動的に証明書の検証をしてくれるようになった - kakakakakku blog
今まで GitHub Actions から AWS を OIDC (OpenID Connect) で連携する場合にサムプリントを取得して ID プロバイダを作る必要があった💡しかし,2023年6月27日に GitHub Changelog でサムプリントを2種類設定するという記事が公開されて対応することになったけど,2023年7月6日から AWS 側で自動的に証明書の検証をしてくれるようになって,特に気にする必要がなくなった.結果的に適当なサムプリントを指定しておけば良く楽になった👀 動作確認をする機会があったので簡単にまとめておこうと思う. github.blog ちなみに「2023年7月6日」という日付は AWS から送られてきたメールに載っていた📩 [NOTIFICATION] OpenIDConnect (OIDC) errors when using GitHub OID
June 27, 2023 We have received customers reporting errors with Actions’ OIDC integration with AWS. This happens for customers who are pinned to a single intermediary thumbprint from the Certificate Authority (CA) of the Actions SSL certificate. There are two possible intermediary certificates for the Actions SSL certificate and either can be returned by our servers, requiring customers to trust bo
TerraformでAWSのOIDCできるIAM Roleを作成しGitHubの設定まで一気に済ませる - Qiita
概要 TerraformではAWSなどのクラウドサービスのみならず、GitHubのリソースの管理もできます。 本記事ではTerraformを使ってGitHub ActionsからOpenID ConnectでAssume RoleできるIAM Roleの作成をします。 また、TerraformでGitHub Actionsのシークレットに作成したRoleのarnを登録するところまで一括でやります。 参考 https://zenn.dev/kou_pg_0131/articles/gh-actions-oidc-aws https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services https:
API認可にOAuth 2.0(以下、OAuth)、ID連携にOpenID Connect(以下、OIDC)を使うことは、いまでは当たり前の選択になっており、OAuth/OIDC基盤を構築した経験のある開発者も増えている。その一方で、OAuth/OIDCの最新動向をきちんと掴んでいる人はそれほど多いわけではない。そこでOAuth認可サーバーやOpenID Connectアイデンティティプロバイダをセキュアかつシンプルに実装するためのAPIサービスを提供するAuthleteのソリューション戦略担当VPの工藤達雄氏とソリューションコンサルタントの森川将聖氏の2人が登壇、2023年に今知っておくべきOAuth/OIDC拡張仕様のポイント、およびAuthleteを活用した実装アプローチについて解説した。 OAuth/OIDCのセキュリティ改善に役立つ「PAR」「mTLS」「DPoP」 OAuth/
GHES の GitHub Actions で Google Cloud との OIDC 連携がしやすくなりました
みなさん GitHub Actions の OpenID Connect (以下OIDC) 連携使っていますか? GitHub Actions はワークフローの中で OIDC の ID トークンを発行でき,これを Google Cloud などのクラウドプロバイダの認証に用いることでサービスアカウントのクレデンシャルを発行することなくクラウドプロバイダのリソースをワークフロー内で操作できるようになります.これによりクレデンシャルのローテーションなどの管理コストが減り,よりセキュアな連携が可能になります. 詳しくは GitHub の公式ドキュメントや解説記事を見ていただけると良いと思います. 基本的に良いことづくめな OIDC 連携ですが,GitHub Enterprise Server (オンプレ版 GitHub.以下GHES) では OIDC 連携が難しいケースがあります.OIDC 連携
個人開発を何度もしてきて、何一つとしてリリースしてない私が考えてみました。 リリースしないというセキュリティ担保では、やはり駄目だろう、と。 駄目なんだろうな、と思い、自分なりに整理してみました。 個人的な結論 結論から話せ、と世の中がいうので結論から言います。 OIDCの処理はバックエンドで行えるならバックエンドで行う ブラウザから利用するWebシステムならCookieを使えば良い せっかくだしcookieにはJWTを入れておけばいい 個人的にはこんな感じでいいんじゃないかと思いました。 理由はここから先に記載します。興味があったら見てください。 セキュリティは難しいし、得意じゃないのでご指導ご鞭撻は優しくしてください。(祈り) OIDCの処理はどこに置くのがいいのか OIDC自体はブラウザで結果を受け取ることも、サーバで受け取ることも可能です。 ということは、まずそもそもどこで完結させ
はじめに 2023年1月にCircleCIでセキュリティインシデントが発生し、Environment Variableの変更を余儀なくされました。 https://circleci.com/blog/january-4-2023-security-alert/ 手作業で結構辛かったので、OIDCを利用してAWSに接続するように変更したいと思います。 Circleで必要な情報を取得する CircleCIのOrganization SettingsにあるOrganization IDをメモっておきます。 Terraformでopenid_connectを作成する 必要なのは以下の3つです。 aws_iam_openid_connect_provider でOPENIDコネクトプロバイダーを作成する aws_iam_roleでCircleCI側に設定するRoleを作成する aws_iam_rol
GitHub - zitadel/oidc: Easy to use OpenID Connect client and server library written for Go and certified by the OpenID Foundation
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub Actions - Securing OpenID Connect (OIDC) token permissions in reusable workflows
GitHub Actions – Securing OpenID Connect (OIDC) token permissions in reusable workflows actionsoidcworkflows June 15, 2023 For securely enabling OpenID Connect (OIDC) in your reusable workflows, we are now making the permissions more restrictive. If you need to fetch an OIDC token generated within a reusable (called) workflow that is outside your enterprise/organization, then the permissions setti
OAuth 2.0とOIDCの理解は、ウェブアプリケーションのセキュリティを確保するために重要です。この記事では、これらのプロトコルがAuth0上どのように機能し相互に関連しているのかを解説します。アプリケーション開発者が認証基盤への理解をより深める一助となることを目的としています。
【2023年7月版 】GitHub Actions 上で OIDC 連携 Assume Role してみる | DevelopersIO
こんにちは、森田です。 本記事では、GitHub Actions で OIDC 連携で Assume Role する方法を紹介していきます はじめに 直近で thumbprint が変更となっているため、以前と同じ値で設定するとエラーが生じるようです。 An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: OpenIDConnect provider's HTTPS certificate doesn't match configured thumbprint thumbprint 変更は、証明書変更となるタイミングで生じますので、手動更新または、自動更新の仕組みを導入する必要があります。 本記事では、2023年7月時点での以下の thumbprint を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する
GitHub Actions – Update on OIDC integration with AWS
これからのOAuth/OIDCで知っておきたいこと。最新の拡張仕様やAuthleteを活用した実装方法
OIDCを利用した個人的なWEBシステムで認証情報を何をもって維持するのか考えてみた
CircleCIでAWSへのアクセスにOpen ID Connect(OIDC)を使う - Qiita
OAuth 2.0とOIDCの理解を深める: Auth0データモデル解説 | TC3株式会社|GIG INNOVATED.