TechNight 初のリモート開催 with コロナ時代なので、2020年の OpenID Foundation Japan のイベントは基本リモート開催を予定しており、その最初のリモート開催イベントとして、1年半ぶりに TechNight を開催します。 今回は、最近ブラウザの変化を追いかけながら、いま起きている変化・少し未来に起きるであろう変化・それらが OpenID Connect やユーザー認証に及ぼす影響を見ていきたいと思います。 リモート開催のため特に定員は設けませんが、おおよその参加者数や録画公開時の事務連絡等のため、視聴希望の方はみなさんこの Connpass に申し込んでいただけると幸いです。 講演内容 Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 講演者 : 真武信和 (@nov
はじめに WEBシステムでよく使用されるOAuth、OpenID Connect、SAMLとその違いについてざっくり概要をまとめました。 できるかぎり簡潔に書いたつもりですが本当にざっくりまとめたので、もっと詳しいことが知りたい方は最後の参考文献を読まれることをお勧めします。 基礎知識 認証と認可の違い 認証 アカウントを識別する識別子(ユーザID、メールアドレスなど)とそれに紐づくクレデンシャルと呼ばれる認証に使用する情報(パスワード、指紋、FIDOなど)を使用してアカウントを使用しようとしているユーザーがアカウントの所有者であるか確認すること。 認可 コンテンツに対するアクセス権の付与。 画面に対するアクセス権や、コンテンツに対する編集権限などが例として挙げられます。 ユーザー一人に対して個別にアクセス権を設定されることはあまりなく、ロールに対して権限が設定され、ユーザーはロールを割り
OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」とは Linux Foundationなどが発表
Linux Foundationは2023年10月4日(米国時間)、BastionZeroやDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」を発表した。OpenPubkeyの発表に合わせてBastionZeroは、Dockerコンテナ署名とOpenPubkeyの統合を発表している。 OpenPubkeyプロトコルとは? OpenID Connectと何が違う? BastionZeroによると、OpenPubkeyは、シングルサインオン(SSO)のデファクトスタンダードであるOpenID Connect(OIDC)にユーザーが生成した暗号署名を追加するプロトコルだ。 関連記事 Cloudflare、「CAPTCHA」に代わる「Turnstile」に完全移行、誰でも無制限に使える無料版も提供 Cloudflareは、同社が発行する全ての「CAPTCHA」
はじめまして。2019年の2月にOpenID Foundationの企業理事になりました柴田と申します。企業理事と言ってもまだまだ不慣れですが、微力ながらOpenIDの普及を通じて企業も利用者も安心してインターネットサービスが利用できる環境の実現に貢献していきたいと考えています。 さて、2019年5月13日~17日、ドイツのミュンヘンにて世界最大級のIdentity系カンファレンスであるEuropean Identity & Cloud Conference 2019が開催され、私も参加してきました。 そこでは、Identity関連の有識者からさまざまな興味深い技術やユースケース、法制度の整備状況などが紹介されたのですが、OpenID Foundationからも現在の活動状況が紹介されました。 既に様々なところで活用されている「OpenID Connect」ですが、まだまだ新しい仕様や認定
GitHub Actions: OpenID Connect token now supports more claims for configuring granular cloud access · GitHub Changelog
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
認証と認可はセキュリティを強化する上で欠かせない技術です。認証と認可を実現する技術として、OAuthやOpenID Connectがあります。OAuthは2012年に制定された認可のためのプロトコルです。このOAuthの拡張仕様として開発されたのが、認証のためのプロトコルであるOpenID Connectです。本記事では、OAuthとOpenID Connectの仕組みや特徴、違いについて解説します。 認証と認可とは OAuthやOpenID Connectを理解するためには、まず認証と認可について理解する必要があります。認証とは、通信の相手が「誰(何)であるのか」を確認・特定することです。認証には、ID・パスワードを使用する知識情報による認証、顔や指紋などを使用する生体情報による認証、SMSを使う所持情報をによる認証などがあります。それに対し、認可は、特定の条件下において、対象物(リソー
Flask とPyJWTを使用してGoogleとのOpenID連携するためのAPI作成方法についてメモする。 連携処理をバックエンド側に持たせたかったため、Docker起動できる形で過去に作成した検証コードをAPI化した。 作成するAPI 認可リクエスト作成API Googleへの認可エンドポイントへアクセスするためのURLをパラメータをつけて生成・返却する。 state,nonceはAPI呼び出し時に生成し、レスポンスとして返却する。 client_idなど固定の属性値は環境変数から取得する。 リクエスト例
You probably do not need OAuth2, nor OpenID Connect. This is a controversial opinion, even more so because my biggest professional achievements are two of the most successful open source projects in the OAuth2 and OpenID Connect world: Ory Hydra (started in 2015)Ory Fosite (started in 2016)Those two projects helped spawn a company that raised series A and an open source ecosystem used by millions.
OAuth2.0の挙動がどうなっているのかを掘り下げ、OpenID ConnectとOAuth2.0の仕様と挙動を比較しながら、OpenID Connectのことをざっくりとわかってもらうことをゴールとしています。 また、RailsでOAuth2.0を使う方法やOpenID Connectを使うための…
米グーグルや米アップルなどのアカウントでログインできるインターネットサービスが増えている。利用者が情報を連携してパスワード管理の手間を減らせる国際標準規格「オープンIDコネクト」の成果だ。策定した米OpenIDファウンデーション(OIDF)の理事長を2011年から務めるのが崎村夏彦氏である。OIDFにはマイクロソフトなど米国の巨大IT(情報技術)企業が規格策定に参画。複数サービス間の安全な通信
初めに 既存のRailsでシングルサインオン(以下SSO)を実装したいときによく出てくるのが、OpenID Connect。入門解説やフロー解説はありますが、実際にRailsで実装するときはどうすれば良いのかわからない...ということで調べてまとめてみました。実装前の前提知識ということで、ざっくり説明します。 参考 第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場 OpenID Connectとは? 分かりやすい解説がすでに幾つかあるので、そちらに任せます。ここの例はすでに存在するサードパーティ(Yahoo)のアカウントを使って自社サービス(Gree)のアカウントを紐づけるSSOの概要です。 スライド67ページ目の「サービス導入例」が分かりやすいです。この辺をみてある程度流れを確認した後に、初めのほうの説明見るとイイですね。ただ、構成要素について詳しい
GitHub Actions - Securing OpenID Connect (OIDC) token permissions in reusable workflows
GitHub Actions – Securing OpenID Connect (OIDC) token permissions in reusable workflows actionsoidcworkflows June 15, 2023 For securely enabling OpenID Connect (OIDC) in your reusable workflows, we are now making the permissions more restrictive. If you need to fetch an OIDC token generated within a reusable (called) workflow that is outside your enterprise/organization, then the permissions setti
Microsoft Entra ID を使った OpenID Connect 認証 - Microsoft Entra
OpenID Connect (OIDC) は、(認可に使用される) OAuth2 プロトコルに基づく認証プロトコルです。 OIDC では、標準化された OAuth2 からのメッセージ フローを使用して ID サービスが提供されます。 OIDC の設計目標は、"簡単なことは簡単に、複雑なことも可能にする" ことです。 OIDC を使用すると、開発者はパスワード ファイルを所有して管理しなくても、Web サイトやアプリ全体でユーザーを認証できます。 これにより、アプリケーションに接続されているブラウザーやネイティブ アプリを現在使用しているユーザーの ID を安全に確認する方法がアプリケーション ビルダーに提供されます。 ユーザーの認証は、ID プロバイダーで行う必要があります。ここで、ユーザーのセッションまたは資格情報がチェックされます。 そのためには、信頼されたエージェントが必要です。
はじめに OpenID Connect は理論的には知っているが、実際に動作するところをみて理解を深めてみようと思った 頭で理解できるとのと使えるのは違うので、実際に動作させてみる。 難しいプログラミングはできないので、curlコマンドを利用して動作させることにする。 まずは Yahoo!ID の v1 で試してみるので、以下を参考にYahoo!ID を取得してアプリケーション登録をしておく OpenIDとは ここでは、理論については省略するので、 OpenID の仕組みは以下を参考にすれば理解しやすいと思う。 https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe https://www.slideshare.net/kura_lab/openid-connect-id 大まかな流れ 大まかな流れは以下のようになる (R
【抄訳】OktaとOpenID Foundation、SaaSアプリの新たなアイデンティティセキュリティ標準の策定に向けたワーキンググループを発表
【抄訳】OktaとOpenID Foundation、SaaSアプリの新たなアイデンティティセキュリティ標準の策定に向けたワーキンググループを発表 OktaとOpenID Foundationは本日、SaaSアプリケーションの新たなアイデンティティセキュリティ標準であるIPSIE(Interoperability Profile for Secure Identity in the Enterprise)の策定に向けた第一歩として、Ping Identity、Microsoft、SGNL、Beyond Identityの4社とともにOpenID Foundationのワーキンググループを結成することを発表しました。この新しいオープン標準のビジョンは、SaaS企業が自社のテクノロジースタックのあらゆる接点において、自社製品のエンドツーエンドのセキュリティを強化するためのフレームワークを提供す
Hello everyone! I’m happy to announce that version 3.1 of the AWS CLI Orb has been released as of April 21st, 2022. This latest version takes advantage of CircleCI’s OIDC Token that’s available by default in every context provided in each job. It enables users to generate a short-lived AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY and AWS_SESSION_TOKEN that’s only valid for 60 minutes by default. These
Check! GitHub Actions で OpenID Connect(OIDC) で Azure に安全に接続する
GitHub Actions ワークフローで、Azure/login アクションでログインする さいごに、GitHub Actions ワークフローで Azure にログインする処理を記述します。 Azure へのログインは azure/login アクションを利用できます。下記のように、client-id, tenant-id, subscription-id を指定します。詳細については、下記をご参考ください。 Azure/login: Connect to Azure jobs: login: runs-on: ubuntu-latest # この例では、エンティティ型で environment を指定したので、 # environment の名前がサブジェクト識別子に指定した文字列と一致する必要がある environment: name: staging permissions:
はじめに 前回の記事に引き続きAuth屋さんのOIDC本を読みました。 今回もチュートリアルのcurlとブラウザで行っている部分をgolangに置き換えてみたいと思います。 方針は前回の実装と同じです。 httpサーバを起動させる アクセスするとgoogleにリダイレクトさせる callbackを受けたら認可コードでトークンリクエストをする 取得したトークンでプロフィールにアクセスする OAuthではGoogleのPhoto APIにアクセスしましたが、プロフィール情報にアクセスするのが違いとなります。 IDトークンの検証も行いますが勉強のためなるべくライブラリなどは使用せず標準pkgで愚直に書いてみます。 golangに最近入門したのでお見苦しいコードを書いているかもですがご笑覧ください🙇♂️🙇♂️🙇♂️ 最終的なコードは以下にあります。 準備 OAuthでGoogleに設定
OpenID Connect フレームワーク fosite にコントリビュートしました - STORES Product Blog
こんにちは。プロダクト基盤本部 基盤グループの inari111 です。 私の部署は STORES 各プロダクトへ導入する ID 基盤の開発をしています。 今回は ID 基盤内で使われている OpenID Connect フレームワーク ory/fosite にコントリビュートしたことについて書きます。 ory/fosite とは ory/fosite は OAuth2 & OpenID Connect の Go フレームワークです。 fosite が提供している interface を実装することで OpenID Connect の仕様を満たすことができます。 Pull request を出すきっかけ リフレッシュトークンの有効期限が切れたときに意図していないエラーメッセージが返っていることがコードレビューで判明しました。 リポジトリを見に行くと Issue は立てられていたのですが P
GitHub ActionsでOpenID Connectを使用してAWS CDKのデプロイを実行してみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 昨年にGitHub ActionsでのOpenID Connect(OIDC)がサポートされるようになりました。 Secure deployments with OpenID Connect & GitHub Actions now generally available | The GitHub Blog これにより、AWSやAzure、Google Cloudなどの各種プロバイダーと連携してWorkflowの実行時にクレデンシャルを発行し、クラウドへのシステムのデプロイ時の認証に使用することができるようになります。このクレデンシャルは一時的にしか使用できないため、パーマネントなアクセスキーを使用する場合に比べて、漏洩時に悪用されるリスクを大きく軽減することができます。 今回は、GitHub ActionsでOpenID Connect
OpenID Configuration とは Google Microsoft Facebook Apple Yahoo! Japan LINE リクルート Slack PayPal その他 他にも見つけたら追記する。
OpenID Summit Tokyo 2020 で Digital Identity の未来について聞いてきた #openid_tokyo - TMD45'β'LOG!!!
久しぶりの渋谷へ、会員企業枠で拝聴しに行ってきた。 www.openid.or.jp 仕事では toB SaaS に携わっていますが、認証認可には主に認可の RP 側として toC な認可 IdP(LINE, Google, Yahoo! JAPAN, Facebook, Twitter, など)に接しています。それゆえに、普段はすでにスタンダードになった(IdP に実用されている)仕様に触れるばかりです。 聞いてきた話は、記事タイトルがすべてなんですが、第四次産業革命の現在進行系の "サイバースペース"(インターネット。我々の新たな生活空間)のなかで人やモノを認識するのが Degital Identity であり、サイバースペース上で「私は私である」という Identity をどう実現するかというノンフィクションの SF めいたお話なのでした。 OpenID Summit Tokyo 2
「OpenID」や「OAuth」の開発で知られるデビッド・リコードン氏がホワイトハウスのテクノロジーディレクターに指名される
「OpenID」や「OAuth」といったウェブサイトの認証方式を開発したことで知られるデビッド・リコードン氏が、アメリカのジョー・バイデン次期大統領の政権移行チームによって、ホワイトハウスのテクノロジーディレクターに指名されたことが明らかになりました。 President-elect Joe Biden and Vice President-elect Kamala Harris Announce Additional Members of White House Staff | President-Elect Joe Biden https://buildbackbetter.gov/press-releases/president-elect-joe-biden-and-vice-president-elect-kamala-harris-announce-additional-mem
OpenID Connect 1.0 with Spring Security #jjug_ccc #jjug_ccc_b / oidc-with-spring-security
OpenID Connect 1.0は、OAuth 2.0をベースとした認証プロトコルです。このセッションでは次の内容をわかりやすく解説します。 - OpenID Connect 1.0の概要とフロー - なぜOAuthは「認可」でOpenID Connectは「認証」なのか - Spring Securityの利用方法 このセッションは中級者向けです。次の知識を前提として解説します。 - OAuth 2.0の認可コードグラントのフローを説明できる - Spring Security 5.xのOAuth 2.0機能を使ったことがある(既に非推奨となっている「Spring Security OAuth2」ではありません)
Cognito ユーザープール + ALB の認証に Okta で OpenID Connect (OIDC) 連携を追加してみた | DevelopersIO
ちゃだいん(@chazuke4649)です。 Amazon Cognito と Application Load Balancer を使用すると、AWSサービスだけで簡単に認証機能を実装できます。 前回、Cognito + ALB + Google認証を試したので、今回は、別のパターンを試します。 前回のエントリはこちらです。 今回は、前回のGoogle認証部分をOIDC認証で Okta に置き換えたバージョンとなります。下図が構成図となります。 こちらもやはり、Cognitoを経由せずに、直接 ALBの組み込み認証機能とOIDCとしてのGoogle認証するパターンと似ているので、混同にご注意ください。 作業手順 作業手順の概要としては、以下の5つを順番に行っていきます。 Amazon Cognito ユーザープールを作成する Amazon Cognito ユーザープールを設定する ALB
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。本記事は、OAuthやOpenID Connect実装時に重要なデプロイメントパターンについてです。これにはいくつかのパターンがあり、その解説と、OAuth 2.0認可サーバーにAuthleteを組み合わせた時のフローについても合わせて説明していきます。 デプロイメントパターンについて 川崎貴彦氏:次はデプロイメントパターンの説明です。OAuthやOpenID Connect、認可サーバーやIdPを実装して配備する。みんな商用のときはそれを使っていると思いますが、いくつかのパターンに分けられるので、それを説明します。 よくあるのは、閉じたネッ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenID TechNight vol.17 ~ with コロナ編 (2020/08/20 17:00〜)
OAuth、OpenID Connect、SAMLとその違いについて大雑把にまとめると - Qiita
OpenID Connect入門|デジタル・ビジネスのキーテクノロジー最新動向
OAuthとOpenID Connectについて~仕組みや特徴など解説~
Flask、PyJWTを使用したGoogle OpenID 連携用API作成 メモ - Qiita
Why you probably don't need OAuth2 / OpenID Connect!
わかった気になる!OpenID Connect
巨大ITと国際規格策定 米OpenIDファウンデーション理事長 崎村夏彦氏 - 日本経済新聞
RailsでOpenID Connectするときの前提知識 - Qiita
OpenID Connect を curl を使って理解してみる - Qiita
OpenID Connect Support added to AWS CLI Orb - v3.1
Using Github Actions OpenID Connect to push to AWS ECR without Credentials - tedious ramblings
golangでOAuthとOpenID Connectの違いを整理して理解する
公開されている OpenID Configuration まとめ
Amazon.co.jp: OpenID Connect入門: 概念からセキュリティまで体系的に押さえる: 土岐孝平: Digital Ebook Purchas
OAuthやOpenID Connectの実装におけるデプロイメントパターン