並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 83件

新着順 人気順

oidcの検索結果1 - 40 件 / 83件

oidcに関するエントリは83件あります。 認証securityセキュリティ などが関連タグです。 人気エントリには 『OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife』などがあります。
  • OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

    こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut

      OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
    • メールアドレスをキーにしてID連携を行う設計の危うさ|ritou

      ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」

        メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
      • 30分でOpenID Connect完全に理解したと言えるようになる勉強会

        社内向け勉強会で発表した内容です。 30分でと書いてありますが、実際には50分かかりました。 また時間の関係で結構省いたりしている箇所があります。 2020/07/19追記 ご指摘をいただいた箇所を多々修正いたしました。 特にOIDCとSPAの章が初版とは大幅に変更されていますのでご注意く…

          30分でOpenID Connect完全に理解したと言えるようになる勉強会
        • 仕様が読めるようになるOAuth2.0、OpenID Connect 入門

          2023/10/05 Offersさんのイベントでの資料です。 https://offers.connpass.com/event/295782/ イベント後の満足度アンケート(5点満点)の結果は以下になります。 5点: 49% 4点: 39% 3点: 8% 2点: 4% こちらのスライドの内容は以下の本の抜粋になります。デモの内容、このスライドでは触れていないことについてご興味ある場合は以下の本をご参照ください。 https://authya.booth.pm/items/1296585 https://authya.booth.pm/items/1550861 本発表で扱っていないセキュリティに関しては以下の本がおすすめです。 https://authya.booth.pm/items/1877818 本の評判 https://togetter.com/li/1477483

            仕様が読めるようになるOAuth2.0、OpenID Connect 入門
          • 「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

            このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証・認可フローのしくみ」と題し、Authlete 代表の川崎貴彦が寄稿しました。 本プレゼンテーションでは記事のポイントや、理解を深めるために重要なポイントについて、著者の川崎がお話しします。 文字起こし はじめに 目次 記事の第1章、第2章、第3章は、こういう目次になっています。 ここからピックアップして、 こんなことを話してます、というところを、 紹介したいと思います。 自己紹介 Au

              「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete
            • "JWT=ステートレス"から一歩踏み出すための考え方

              おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2

                "JWT=ステートレス"から一歩踏み出すための考え方
              • よりよくわかる認証と認可 | DevelopersIO

                少し早いですが、メリークリスマス!事業開発部の早川です。 早いもので、入社して 1 ヶ月半が経ちました。 現在は、 prismatix の理解を深めながら、導入支援を行っています。 今回はその中から、認証 / 認可についてお伝えします。 と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。 ジョインしました 以来、初めての記事となりますドキドキ 目標 本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。 本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で「マイクロサービス時代の認証と認可」の話をしてきた #AWSDevDay 目的 まず、認証 / 認可を学ぶ理由を考えてみました。 近年、様々なサービスが API を通じてつながり、より便利

                  よりよくわかる認証と認可 | DevelopersIO
                • デジタル認証アプリとのID連携で使われている標準化仕様と勘所

                  ritou です。 みんなが待っていたデジタル認証アプリの情報が公開されました。 開発者向けのガイドライン、APIリファレンスなどのドキュメントも公開されています。 今回は開発者視点でどんな作りになっていて、利用するために理解が必要となる標準化仕様はどのあたりなのかを取り上げます。ちょっとOIDCのRPやOAuthのClient実装経験のある開発者向け、ぐらいの内容です。 概要 公開された情報からすると デジタル認証アプリサービス(アプリ+バックエンド)はマイナンバーカードを用いた当人認証を実施 現在は都度マイナンバーカードを利用する必要がありますが、いずれはスマホに保存されたカード情報を使ってもっと楽になりそう ID連携のIdentityプロバイダとして認証イベント情報、基本4情報といった属性情報を民間/行政サービスに提供 民間/行政サービスは認証イベント情報に含まれるユーザー識別子を利

                    デジタル認証アプリとのID連携で使われている標準化仕様と勘所
                  • GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

                    はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記

                      GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
                    • SPA+Backend構成なWebアプリへのOIDC適用パターン - r-weblife

                      ritouです。 マシュマロでSPA+BE構成のWebアプリでOAuthやOIDCしたい!って話をよくいただきます。 最近だと、こんな質問がありました。 OIDCから発行されたトークンの取り扱いについて質問させてください。 SPA +OIDC(認可コードフロー)構成によるWEBアプリケーションの開発を考えています。 idPによる認証後、バックエンドとフロントエンドのAPI通信に使うべきはIDトークンとアクセストークンだとどちらになるのでしょうか? 個人的には「ログイン成功した時点でOIDCの処理は終わり、あとかSPA + BEが独自のセッションCookieなりトークンを用いてよろしくやったら良いよ」という設計を適用します。もはや質... 続き→https://t.co/O2KWJrL4Mi#マシュマロを投げ合おう— 👹秋田の猫🐱 (@ritou) 2024年10月20日 SPAだろうが

                        SPA+Backend構成なWebアプリへのOIDC適用パターン - r-weblife
                      • 2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife

                        おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超えるものではありません。 ちょっとだけ長いですが、ちょっとだけです。お付き合いください。それでは始めましょう。 JSON Web Token boot camp 2020 今回の勉強会では、JWTについて概要、仕様紹介という基本的なところから、業務で使っていくにあたって気をつけるべき点といったあたりまでカバーできると良いなと思っています。 JSON Web Token 概要 まずは概要から紹介していきます。 JSON Web Tokenの定義とはということで、RFC7519のAbstractの文章を引用します。 JSON W

                          2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife
                        • 『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita

                          はじめに Authlete(オースリート)社主催の勉強会『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』(2020 年 1 月 31 日(済), 2020 年 2 月 21 日(中止))の内容がてんこ盛り過ぎるため、予習・復習用の情報を書き出そうと思います。 追記 2020 年 1 月 31 日の勉強会の資料と動画(字幕付き)を公開しました! OAuth / OIDC 勉強会参加者は、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本を知っていることが前提となります。 OAuth 2.0 は「アクセストークンを発行する仕組み」です。その中心となる仕様は RFC 6749 です。詳細については『一番分かりやすい OAuth の説明』と『OAuth 2.0 全フローの図解と動画』をご参照ください。 Op

                            『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
                          • パスワードレス時代のOpenID Connectの活用 / 20230404-OAuth-Numa-Workshop

                            OAuth Numa Workshop 2023での講演資料になります。 https://openid.connpass.com/event/275302/ SMS・メールを利用した認証やFIDOによるパスワードレスの認証が普及し始めています。 一方でFIDOなどの手段はまだ対応のハードルが高…

                              パスワードレス時代のOpenID Connectの活用 / 20230404-OAuth-Numa-Workshop
                            • OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ

                              ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、

                                OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
                              • GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に

                                GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に GitHubは10月27日と28日の2日間(太平洋時間)、オンラインイベント「GitHub Universe 2021」を開催、GitHub Actionsの新機能としてOpenID Connectをサポートしたと発表しました。 GitHub Actionsは、GitHubのイベントなどをトリガーとしてGitHubのサーバ上に用意された任意のDockerコンテナの実行を連係させていくことにより、ユーザーが自由にワークフローを定義できるというものです。 ワークフロー内のアクションとしてコードのビルドやテストの実行、クラウドへのデプロイなど、GitHubの機能にとらわれない、さまざまな動作を組み合わせることができます。 参考:[速報]GitHub Actions発表、Dock

                                  GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に
                                • SPAセキュリティ入門~PHP Conference Japan 2021 | ドクセル

                                  スライド概要 シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk

                                    SPAセキュリティ入門~PHP Conference Japan 2021 | ドクセル
                                  • ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife

                                    おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで

                                      ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
                                    • CI/CDサービスのOpenID Connect対応 Dive Into - Lento con forza

                                      これははてなエンジニアアドベントカレンダー2022 39日目の記事です。 昨日は id:nakaoka3 の ミーティングの時間になると勝手に議事録を開いてほしいでした 先日あった、CircleCIのインシデントのAdditional security recommendationsとして、OIDC Tokenを使うことが推奨されていました。GitHub ActionsやCircleCIなどのCI/CDサービスでは外部サービスへの認証を行うために、OpenID Connectに対応しています。OpenID Connect対応がされていることは知っていたのですが、OpenID Connectといえば、外部サービス連携をしてログインに使うイメージだと思います。たとえば、Googleの認証情報で、はてなアカウントにログインするなどといったようにです。僕の中で、ユーザー認証に使うOpenID Co

                                        CI/CDサービスのOpenID Connect対応 Dive Into - Lento con forza
                                      • SAMLとOAuthとは?比較と違い、OpenID(OIDC)との関係を解説 | Okta

                                        Security Assertion Markup Language(SAML)は、認証プロセスです。毎朝、仕事を始める際にコンピューターにログインするときには、SAMLが使用されるケースが多いのではないでしょうか。SAMLは、XML形式のマークアップ言語の一種で、シングルサインオン(SSO)のプロトコルの一種としても使用されています。 Open Authorization(OAuth)は、認可プロセスです。新たなユーザー名とパスワードを使用せずに、あるサービスから別のサービスに移ることができます。例えばGoogleにログインし、その資格情報を使用してHootsuiteにアクセスする場合は、OAuthを使用したことになります。 どちらのアプリケーションもWebのシングルサインオン(SSO)に使用できますが、SAMLがユーザー固有になる傾向があるのに対して、OAuthはアプリケーション固有に

                                          SAMLとOAuthとは?比較と違い、OpenID(OIDC)との関係を解説 | Okta
                                        • BtoB SaaSにおけるIDaaSの選択が難しい

                                          Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて

                                            BtoB SaaSにおけるIDaaSの選択が難しい
                                          • GitHub Actions + google-github-actions/auth で GCP keyless CI/CD

                                            GitHub Actions + google-github-actions/auth で GCP keyless CI/CD 追記 2021/10/08 v0.3.1 にすると aud 周りの設定変更が必要 ソース 追記 2021/10/07 OIDCトークン発行元のURLが変更になったようです ソース 要約: GitHub ActionsでCI/CD的なことやろうとしたとき、SecretsとかにGCPのService AccountのKeyとか置かなくてもデプロイとかできるようになったらしいのでやったらできた。 経緯 AWS federation comes to GitHub Actions という記事が出て。 GitHub ActionsのOIDC id tokenでGCPにアクセスしてみた といってGCPでもやれるか確かめた人が出て。 Use gcloud with creden

                                              GitHub Actions + google-github-actions/auth で GCP keyless CI/CD
                                            • GitHub Actions: Secure cloud deployments with OpenID Connect · GitHub Changelog

                                              AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                                                GitHub Actions: Secure cloud deployments with OpenID Connect · GitHub Changelog
                                              • OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife

                                                お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていてこの分野を抑えときたい ただ単純に興味がある : そんな人いる? とかそんな感じな気はしますが、基本的なフローを乗り越えた先に広がる仕様沼への潜り方に戸惑っておられるようでした。 そこで、いわゆる RFC6749/6750/7636 あたりを完全に理解した開発者が山ほどある仕様にどう立ち向かっていくかを考えます。 仕様にも色々ある IETF の OAuth関連の仕様、いっぱいあります。密です。密です。みみみみみみみみ... tools.ietf.org 去年に一回まと

                                                  OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife
                                                • 図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係 - Qiita

                                                  JWS/JWE/JWT/IDトークンの包含関係 JWS (JSON Web Signature) と JWE (JSON Web Encryption) の直列化方法には、それぞれ JSON 形式とコンパクト形式がある。 JWT (JSON Web Token) は JWS か JWE だが、いずれにしてもコンパクト形式である。仕様でそう決まっている。 仕様により、ID トークンには署名が必要なので、ID トークンは JWS もしくは「JWS を含む JWE」という形式をとる。 ID トークンは「JWE を含む JWS」という形式はとらない。なぜなら、仕様により、ID トークンを暗号化する際は「署名してから暗号化」という順番と決まっているため。 アクセストークン/JWT/IDトークンの包含関係 アクセストークンの実装が JWT だとは限らない。 仕様により、ID トークンは必ず JWT で

                                                    図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係 - Qiita
                                                  • 偽の ID (識別子) のアンチパターン

                                                    こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (

                                                      偽の ID (識別子) のアンチパターン
                                                    • OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

                                                      おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ

                                                        OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
                                                      • GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog

                                                        ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A

                                                          GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
                                                        • 【解説編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC Engineers' Blog

                                                          SREチーム(新卒)の市川恭佑です。これはカヤックSRE連載の2月号です。 よく見ると投稿日が3月になっていますが、どちらかと言うと2月が28日までしかない方に問題があるので、大丈夫です。(何が?) ということで、2023年も滑り出し好調のカヤックSRE連載ですが、前回の記事ではCircleCIからGoogle CloudにOIDCでアクセスする方法について、 ちゃんと動く(はずの)ソースコードをサクッと紹介いたしました。 techblog.kayac.com さて、Google CloudとCircleCIをお使いの皆様、もうOIDC対応は完了しましたか? 安心してください。私のプロジェクトでも一部未完遂です。(おい) ということで今回は、前回紹介したソースコードを深掘りして解説します。 私と同じように、途中でなんか面倒になって一旦塩漬けにしたら正直忘れかけてる長い道のりの途中にいる皆様

                                                            【解説編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC Engineers' Blog
                                                          • ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理

                                                            ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す

                                                              ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
                                                            • GitHub Actions と AWS を OIDC で連携するときに自動的に証明書の検証をしてくれるようになった - kakakakakku blog

                                                              今まで GitHub Actions から AWS を OIDC (OpenID Connect) で連携する場合にサムプリントを取得して ID プロバイダを作る必要があった💡しかし,2023年6月27日に GitHub Changelog でサムプリントを2種類設定するという記事が公開されて対応することになったけど,2023年7月6日から AWS 側で自動的に証明書の検証をしてくれるようになって,特に気にする必要がなくなった.結果的に適当なサムプリントを指定しておけば良く楽になった👀 動作確認をする機会があったので簡単にまとめておこうと思う. github.blog ちなみに「2023年7月6日」という日付は AWS から送られてきたメールに載っていた📩 [NOTIFICATION] OpenIDConnect (OIDC) errors when using GitHub OID

                                                                GitHub Actions と AWS を OIDC で連携するときに自動的に証明書の検証をしてくれるようになった - kakakakakku blog
                                                              • OAuth & OIDC 入門編 by #authlete

                                                                資料ダウンロード: https://www.authlete.com/ja/resources/videos/20200317/ 2020 年 3 月 17 日にオンライン開催した勉強会『OAuth & OIDC 勉強会 リターンズ【入門編】』の録画です。Authlete の川崎貴彦が、OAuth 2.0 と OpenID Connect の概要、JWS/JWE/JWT、ID トークン、OAuth 2.0 と OpenID Connect のフロー、JWK、PKCE、デプロイメントパターン、Authlete について説明しています。

                                                                  OAuth & OIDC 入門編 by #authlete
                                                                • FAPIとKeycloakの概要

                                                                  連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で

                                                                    FAPIとKeycloakの概要
                                                                  • GitHub ActionsのOIDC id tokenでGCPにアクセスしてみた - ryotarai's blog

                                                                    注意: この記事は古くなっています。現在は正式リリースされています。ドキュメントはこちら 巷で話題になってるGitHub Actionsのid tokenでGCPにアクセスしてみた。 AWS federation comes to GitHub Actions | Aidan Steele’s blog (usually about AWS) これを参考に試してみた。 GCP側 以下、49482415725, ryotarai-github-oidc-sampleはproject number, project ID(このprojectは削除済み) cloud.google.com これを参考にWorkload Identityまわりの設定をする。 まず、IAM, Resource Manager, Service Account Credentials, and Security Tok

                                                                      GitHub ActionsのOIDC id tokenでGCPにアクセスしてみた - ryotarai's blog
                                                                    • GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP

                                                                      You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                        GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP
                                                                      • GitHub - google-github-actions/auth: A GitHub Action for authenticating to Google Cloud.

                                                                        You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                          GitHub - google-github-actions/auth: A GitHub Action for authenticating to Google Cloud.
                                                                        • 【書評】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) #技術書典 | DevelopersIO

                                                                          OAuth や OIDC について、仕様を読みながら学習を進めていると、「何に使えるのかよくわからない値」や「挙動はわかっても実際にどのような攻撃を防げるのかがよくわからない値」がたくさん出てくるように感じます。 例えば以下は私の Slack での発言を検索した結果ですが、c_hash で何が防げるのかわからず苦悶しています。 そこで、OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) を読んでみたところ、この手の混乱に非常に役立つように感じたので、こちらで紹介させていただきます。 OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) 仕様を元に OAuth や OIDC の勉強をしていてわかりづらいのは、具体的な攻撃の手法よりも前に、防御の方法について記載があるためではないかと感じています。 それに対して、この本では具体的な攻

                                                                            【書評】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) #技術書典 | DevelopersIO
                                                                          • Passwordless deployments to the cloud

                                                                            AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                                                                              Passwordless deployments to the cloud
                                                                            • GitHub Actions – Update on OIDC integration with AWS

                                                                              June 27, 2023 We have received customers reporting errors with Actions’ OIDC integration with AWS. This happens for customers who are pinned to a single intermediary thumbprint from the Certificate Authority (CA) of the Actions SSL certificate. There are two possible intermediary certificates for the Actions SSL certificate and either can be returned by our servers, requiring customers to trust bo

                                                                                GitHub Actions – Update on OIDC integration with AWS
                                                                              • 行政機関等・民間事業者向け実装ガイドライン | デジタル認証アプリ | ドキュメント | デジタル庁 開発者サイト

                                                                                概要「デジタル認証アプリ」は、マイナンバーカードを使った認証や署名を、安全に・簡単にするための、デジタル庁が提供するアプリです。行政機関や民間事業者は、デジタル認証アプリと連携するAPIを活用することで、マイナンバーカードを使った本人確認・認証や電子申請書類への署名機能を簡単に組み込むことができます。 サービスの概要については、以下の情報をご確認ください。 行政機関向け情報民間事業者向け情報認証・署名のプロセスはOAuth 2.0 認可コードフロー、およびOpenID Connect 認可コードフローに基づきます。 署名プロセスのみ、認可コードフローにて署名処理を実施するためにクライアントクレデンシャルズフローが扱われます。 必要に応じて、トークンリフレッシュフローにてトークンのリフレッシュを行うことが可能です。 ※「リソースオーナーパスワードクレデンシャルズフロー」ならびに「インプリシッ

                                                                                  行政機関等・民間事業者向け実装ガイドライン | デジタル認証アプリ | ドキュメント | デジタル庁 開発者サイト
                                                                                • Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO

                                                                                  みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー

                                                                                    Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO

                                                                                  新着記事