2023/10/05 Offersさんのイベントでの資料です。 https://offers.connpass.com/event/295782/ イベント後の満足度アンケート(5点満点)の結果は以下になります。 5点: 49% 4点: 39% 3点: 8% 2点: 4% こちらのスライドの内容は以下の本の抜粋になります。デモの内容、このスライドでは触れていないことについてご興味ある場合は以下の本をご参照ください。 https://authya.booth.pm/items/1296585 https://authya.booth.pm/items/1550861 本発表で扱っていないセキュリティに関しては以下の本がおすすめです。 https://authya.booth.pm/items/1877818 本の評判 https://togetter.com/li/1477483
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の全4記事中の3記事目です。前回はこちら。 www.m3tech.blog 9 JWT の実装 9.1 JWT概説 9.2 OpenID Connect の JWT 9.3 ヘッダーとペイロードの実装 9.4 署名の実装 公開鍵と秘密鍵を生成する 署名処理を作る 10 JWKS URI の実装 (GET /openid-connect/jwks) 11 RelyingParty で ID トークンの検証をする 12 OpenID Connect Discovery エンドポイントの実装 (GET /openid-connect/.well-known/openid-configuration) まとめ We're hiring 今回は全4回中の第3回目です。 (
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
Linux Daily Topics Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ Linux Foundationは10月4日(米国時間)、BastionZeroおよびDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」をローンチすることを発表した。 Linux Foundation, BastionZero and Docker Announce the Launch of the OpenPubkey Project -linuxfoundation.org The Linux Foundation, BastionZero and Docker are excited to announce the launch of OpenPubkey as a Linux
フルスクラッチして理解するOpenID Connect (2) トークンエンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の2記事目です。前回はこちら。 www.m3tech.blog 7. トークンエンドポイントの実装(POST /openid-connect/token) 7.1 アクセストークン 例 7.2 ID トークン 例 7.3 IDトークンを返す部分を作る 7.4 アクセストークンを返す 7.5 パラメーターの検証 7.6 認可コードの検証 7.7 クライアント認証 8 イントロスペクションエンドポイントを作る(POST /openid-connect/introspect) まとめ We're hiring 今回は全4回中の第2回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 7. トーク
フルスクラッチして理解するOpenID Connect (4) stateとnonce編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の4記事目です。前回はこちら。 www.m3tech.blog 13 state の実装 14 nonce の実装 15 まとめ 16 参考 Wre're hiring! 今回は全4回中の第4回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 13 state の実装 https://openid-foundation-japan.github.io/rfc6819.ja.html#anchor15 https://openid-foundation-japan.github.io/rfc6749.ja.html#CSRF state は OAuth 由来の仕様です。つまりアクセストーク
"OpenID Connectは認可のための仕組みであるOAuth 2.0を認証のために拡張したもの" という表現が気になったが実は... - r-weblife
ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるところがあるのでなんとかしておくべきだったのかもしれない。— 👹秋田の猫🐱 (@ritou) 2024年2月1日 この表現、検索するとたくさん出てくるんです。 仕様策定の時期 OIDC Core 1.0にある "OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol." という記述の解釈 というあたりからこのような表現になっているのでしょう。 ただ、この前提でプロトコル自体を解説、理解しようとすると何かうまくいかないところがあるの
ritouです。 某イベントのこの辺で出てくる質問に回答してみました。 Q. SAMLとの違い A. OAuthとは目的/用途が異なる。OIDCとの比較では、SAMLをモダンにしたのがOIDCという認識でおk。XML->JSON, XML Signature->JWTみたいな仕様の違いがある。あとはOIDCはSPAやモバイルアプリ、Verifiable Credentialsといった世の中の動向に追従して現在進行形で拡張仕様やプロファイル、ベストプラクティスの策定が進められている。 Q. 言葉の定義 A. 英語では決まっている。日本語に変換するときにおかしくなったり、IDaaSなどでOIDCをそのまま適用していない場合などで用語の混乱が起こりうる。 Q. 人間が介在しない認証フローではImplicit?非推奨? A. おそらくClientCredentialsの方が適している Q. Con
こんばんは、ritouです。 タイトルの通り、お話をしてきました。 それではどうぞ。 動画 (2024/4/12: 動画が公開されていたので追記しました) 内容 OIDF-Jでエバンジェリストをしています。ritouです。 今日はパスキーとID連携についてお話させていただきます。 この発表では次の3点について話します。 それぞれの特徴/特性 ID連携のIdP/RPそれぞれがパスキー認証をサポートすることで得られるもの 関連するOIDC/OAuth 2.0の仕様 まずはそれぞれの特徴、特性から見ていきます。 パスキー、具体的には「FIDOクレデンシャルを用いた認証方式」について、特徴を振り返ります。 まずは公開鍵暗号を利用すること、ブラウザなどの仲介によるフィッシング耐性による安全性です。 そして、利用者の確認としてローカル認証と呼ばれる画面ロック解除の仕組みを利用すること、各プラットフォー
GitHub - zitadel/oidc: Easy to use OpenID Connect client and server library written for Go and certified by the OpenID Foundation
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」とは Linux Foundationなどが発表
Linux Foundationは2023年10月4日(米国時間)、BastionZeroやDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」を発表した。OpenPubkeyの発表に合わせてBastionZeroは、Dockerコンテナ署名とOpenPubkeyの統合を発表している。 OpenPubkeyプロトコルとは? OpenID Connectと何が違う? BastionZeroによると、OpenPubkeyは、シングルサインオン(SSO)のデファクトスタンダードであるOpenID Connect(OIDC)にユーザーが生成した暗号署名を追加するプロトコルだ。 関連記事 Cloudflare、「CAPTCHA」に代わる「Turnstile」に完全移行、誰でも無制限に使える無料版も提供 Cloudflareは、同社が発行する全ての「CAPTCHA」
認証と認可はセキュリティを強化する上で欠かせない技術です。認証と認可を実現する技術として、OAuthやOpenID Connectがあります。OAuthは2012年に制定された認可のためのプロトコルです。このOAuthの拡張仕様として開発されたのが、認証のためのプロトコルであるOpenID Connectです。本記事では、OAuthとOpenID Connectの仕組みや特徴、違いについて解説します。 認証と認可とは OAuthやOpenID Connectを理解するためには、まず認証と認可について理解する必要があります。認証とは、通信の相手が「誰(何)であるのか」を確認・特定することです。認証には、ID・パスワードを使用する知識情報による認証、顔や指紋などを使用する生体情報による認証、SMSを使う所持情報をによる認証などがあります。それに対し、認可は、特定の条件下において、対象物(リソー
下記の仕様変更に追随するために更新。 クレデンシャルレスポンス暗号化関連のメタデータ群が credential_response_encryption という一つの JSON オブジェクトにまとめられた。 クレデンシャルレスポンスから format プロパティが削除された。 RAR オブジェクト内の format プロパティが復活した。 openid_credential タイプを持つ RAR オブジェクトは credential_configuration_id プロパティか format プロパティのどちらかを含まなければならなくなった。 クレデンシャルオファー内の credential_configurations プロパティが credential_configuration_ids へと名称変更された。 2. OID4VCI 仕様 OID4VCI 仕様は、Verifiable C
はじめに この記事は、「Digital Identity技術勉強会 #iddance Advent Calendar 2023」10日目の記事となります。 https://qiita.com/advent-calendar/2023/iddance OpenID Connect ムズカシイ… なんとなく、OpenID ConnectやOAuth2.0の仕様を勉強して、わからないなりに手を動かし、ググりまくり、実際にRP・OP側の実装経験らしきものを積んでくると お、これで自分も基本的な所は理解できてきたかな? などと軽い気持ちで思い出した頃に、実装ミスや答えに窮する質問を受けて落ち込むもの。 自戒の意味も込めて、一般に言われていることが仕様上はどう記載されているかやTipsも含めて残していきたいと思います。 今回読んでいくのは「OpenID Connect Core 1.0」です。 はじめ
OpenID Configuration とは Google Microsoft Facebook Apple Yahoo! Japan LINE リクルート Slack PayPal その他 他にも見つけたら追記する。
4日で売上部数100部達成!あんがいみんなIdPをやっている…!ありがとうございます! 今回はOAuth 2.0+OpenID Connectをサポートした認証認可サービスを作っていきます。 10月09日に開発着手し、約1ヶ月でどこまで実装を進めていったのか、日記形式で記録していきました。 実装言語はGo、利用したフレームワークはory/fositeとなっています。 成果物は残念ながらクローズドソースなので公開できないのですが、内部でどういう設計や決断をしたかは読み取れると思います。 ある程度認証認可について知識がある前提で書いていますが、自分で認証認可サービスを実装しようとするとどんな苦しい目にあうのか、実装者の生態が観察できます。
OpenID TechNight vol.20 ~ 分散型 ID 技術勉強会 (2023/11/09 19:00〜)
お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。 2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。 お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。 11月 9 OpenID TechNight vol.20 ~ 分散型 ID 技術勉強会 米国 OIDF は分散型 ID に関してどのような活動をしているのか、していないのかを整理して学ぶ
なお、今回は一番オーソドックスなところから、ということで認可コードフロー(Authorization code flow)をベースに考えていきたいと思います。ちなみにOpenID Connect Core 1.0の仕様はOpenIDファウンデーションジャパンの翻訳・教育WGが日本語化していますので必要に応じて参照していきたいと思います。
OpenID Connect authorization code flow mechanism for protecting web applications
The Quarkus OpenID Connect (OIDC) extension can protect application HTTP endpoints by using the OIDC Authorization Code Flow mechanism supported by OIDC-compliant authorization servers, such as Keycloak. The Authorization Code Flow mechanism authenticates users of your web application by redirecting them to an OIDC provider, such as Keycloak, to log in. After authentication, the OIDC provider redi
"日刊 OpenID Providerを作る" を見守る会
前回、認可エンドポイントの目標はトークンエンドポイントでトークンと交換するための認可コードを取得することである、という説明をしました。今回はトークンエンドポイントなので認可エンドポイントで発行された認可コードを受け取りトークン(IDトークン、アクセストークン、リフレッシュトークン)をクライアントへ渡すことが目標となります。 3.1.3.1. Token Requestによるとリクエストをする際は、クライアントの認証をあらかじめ定めた方法で行った上でgrant_typeにauthorization_codeを指定し、取得した認可コードをPOSTする必要がある様です。 前回のコメントの通り、トークンエンドポイントは クライアント認証 grant_typeに対応するパラメータから各種トークンを生成する と言う処理となります。 grant_type=authorization_code なので c
Self-Issued OpenID Provider v2 - draft 13 Abstract OpenID Connect defines mechanisms by which an End-User can leverage an OpenID Provider (OP) to release identity information (such as authentication and claims) to a Relying Party (RP) which can act on that information. In this model, the RP trusts assertions made by the OP, i.e. the OP is the issuer of these assertions.¶ This specification extends
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 OpenID Connectってシンプルなプロトコルだと思いますが、やっぱりOpenID Providerの気持ちにならないと本当のところはわからないよね、ということで「OpenID Providerを作る」シリーズ(デ⚫︎ゴ⚫︎ティーニ風)でもやってみようかと思います。 超絶ベーシックなところまでは前回・前々回のポストを踏まえて2時間くらいで作ってみたのでまずはこちらを解説しつつ実装を一緒に育てていきたいな、と考えています。 とりあえず作ったところまではこちらのレポジトリで公開しています。(前回のポストからの追加部分としては認可コードをJWEにしたところくらいです。詳しくはReadmeを見てください) https://github.com/fujie/
Auth屋さんと学ぶ 仕様が読めるようになる OAuthとOpenID Connect 入門 (2023/10/05 12:00〜)
※LTやディスカッション内容は変更の可能性があります、ご了承ください。 💁♀️こんな方におすすめ 「OAuth」と「OpenID Connect」を雰囲気で理解している方 「OAuth」と「OpenID Connect」との違いが分からない方 「OAuth」と「OpenID Connect」の基本的な仕様書や各種サービスの関連ドキュメントが読めるようになりたい方 🎤登壇者 🗣️スピーカー 技術同人作家 Auth屋 氏 (@authyasan) OAuth、OpenID Connectの初学者向けの本を書く技術同人誌作家。初めて執筆した「雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本」が技術書典にて一日で800部を頒布。インプレスより商業版も刊行された。続編の「OpenID Connect本」、「OAuthへの攻撃本」をあわせた雰
Keycloak で試す WebAuthentication (WebAuthn) x OpenID Connect (OIDC)
Keycloak で試す WebAuthentication (WebAuthn) x OpenID Connect (OIDC) Digital Identity 技術勉強会 #iddance Advent Calendar 2023 8 日目の記事です。 本投稿では、OpenID Connect (OIDC)[1] と Web Authentication (WebAuthn)[2] の関連性に触れつつ、Keycloak を Identity Provider (IdP) として使用してパスワードレスな認証を導入する考え方について記載します。 以下の記事で WebAuthn RP を実装する方法や Passkeys をサポートする方法を記載していますが、自ら WebAuthn RP を実装することなく WebAuthn を使用した認証を導入する方法があることを紹介できればと思います。
OpenID Connect入門(Authorization Codeフローを画面遷移と共に説明します) - Qiita
はじめに Webサービスで「Googleでログイン」や「Yahoo! IDでログイン」といったボタンをよく見かけます。 このような、SNSなどの外部アカウントと連携してログインできる仕組みを「ID連携」や「ソーシャルログイン」といいます。 本記事は、ID連携を支える技術の代表格である「OpenID Connect」(OIDC)の入門記事です。 ID連携技術の周辺では普段あまり目にしない用語が多く使われています。また、冗長な文章が多いこともあり、なんとなく苦手意識を持っている方も多くいるのかなと思います。 正直、私もその一人でしたが、細かいコトを抜きにして流れをおってみたら意外と理解できるようになった気がします。 本記事はそんな元初心者の私が、はじめの一歩として理解すべき用語とフローを画面遷移と共に説明したものです。 「OIDCが(なんとなく)わかった。基本のフローも想像できる。用語も聞いた
はじめに 何の記事か Cognitoで外部プロバイダー(GitHub)認証を実装しようとして断念した体験談 試行錯誤して学んだことのまとめ(OAuth2.0とOIDCの大まかなフローとCognitoの機能について) 実装しようと頑張ったけどできなかった!でも学ぶこともあったよ!という感じの記事です。 この記事で話さないこと 認可・認証についての基礎 Cognitoの基礎、概要 やろうとしたこと、やったこと フロントはNext.js、認証ライブラリにNextAuthを利用。 ユーザーはGitHubアカウントでログイン、主なコンテンツはGitHubと連携するアプリケーションです。 認証機能の実装にAWS Cognitoを利用。 外部IDプロバイダーとしてGitHubを設定。(OAuthAppアプリを使用) Cognitoがサポートしているのは以下の三つです。 ソーシャルIDプロバイダー(Fac
「Keycloak と React で動かして学ぶ OpenID Connect」というタイトルで DevelopersIO 2023 大阪に登壇しました! #devio2023 | DevelopersIO
「Keycloak と React で動かして学ぶ OpenID Connect」というタイトルで DevelopersIO 2023 大阪に登壇しました! #devio2023 こんにちは。小売流通ソリューション部の中島です。 2023/7/19(木)にDevelopersIO2023大阪に登壇しました。 久しぶりのオフラインでの開催とのことでしたが、非常にたくさんのみなさまにご来場いただきました。 こういう場所で登壇するのは初めての経験だったので拙い部分もあったかと思いますが、足を運んでくださったみなさま誠にありがとうございました! セッション内容 OpenID Connect について勉強してみたんだけどいまいちどういう風に動いているのかわかっていない・・・という方向けに、KeycloakとReactを使ったデモアプリを動かしながら、認可コードフローと照らし合わせて、ブラウザのDev
2024年2月8日午後11時より、Youtubue 配信で「XRIの世界線から見たDIDとOpenID」というのをやります。 かつて、XRIという識別子体系がありました。この識別子からメタデータを引き出すResolutionの仕組みはOpenID Authentication 2.0に採用されるなどある程度の普及は見ましたが、結局消えてなくなってしまいました。 このXRIというのは実はDIDとても良く似ています。このため、DIDの発展を望むならば、XRIの歴史を紐解いて、同じ轍をふまないようにすることは重要であると思われます。そこで、今回はXRIのたどった道を、エピソードなども交えながら紹介しようと思います。 お酒でも片手に、ご覧いただければと思います。 ちなみに、ここでも見れますが、ここからYoutubeに飛ぶとコメントもみることができるのでそちらのほうが吉かと思います。 それではよろし
OpenID Summit Tokyo 2024
News & Topics 2023.12.14 参加申し込みを開始しました 2023.12.04 タイムテーブルを公開しました 2023.10.24 概要・講演者募集ページを公開しました OpenID Connect 10 年の軌跡とデジタル ID が描く未来 OpenID Connect 1.0 の仕様が発行されてから 2024 年でちょうど 10 年目を迎えます。 OpenID Summit Tokyo 2024 では OpenID Connect のこれまでの歩みと現在地、そして今まさに仕様策定が進んでいる最新のプロファイルについて、ビジネス・ユースケースとテクノロジの両方の目線から日本のみなさまへお伝えしたいと考えています。 前回の OpenID Summit Tokyo 2020 からコロナ禍を挟んだこの 4 年間でデジタル ID がどのように世の中を変えたのか、現在から将来に
はじめまして、エンジニアの稲垣です。 はじめての記事投稿ですが、こっそりと他の記事に2回登場したことがあります。(ぜひ見つけてみてください!) はじめに HRBrainでは先日、OpenID Connectによるシングルサインオン対応をリリースしました。 OpenID ConnectとはOAuth2.0を使ってユーザ認証を行うための方法です。 シングルサインオンの文脈でよく登場するユーザ認証方法のひとつです。 今回から複数回にわけて、OpenID Connectを提供する認証プロバイダ(以降、OP)を利用して、OpenID ConnectのClientをGoで実装する方法について書いていきます。 今回はAuth0設定編です! 認証フロー まずOpenID Connectによる認証フローについて見てみたいと思います。 OpenID Connectによる認証は以下のフローで行われます。 まずユ
NGINXのシングル サインオン (SSO)、多要素認証 (MFA)、SAML、OpenID、OAuth、監査 - Evidian
Evidian > Evidian ID およびアクセス管理ソリューション (IAM) > NGINXのシングル サインオン (SSO)、多要素認証 (MFA)、SAML、OpenID、OAuth、監査 NGINX シングル サインオン (SSO)、多要素認証 (MFA)、SAML、OpenID、OAuth、監査 Evidian IAM スイート
OpenID Foundation の SSF、CAEP、RISC の概要と Microsoft Entra ID での実装について
本記事について 本記事は Digital Identity 技術勉強会 #iddance Advent Calendar 2023 6 日目の記事です。 本記事では、現在 Open ID Fundation で標準化が進められている SSF (Shared Signals Framework)、 CAEP (Continuous Access Evaluation Protocol)、RISC (Risk Incident Sharing and Coordination) の概要について説明し、 Microsoft Entra ID (旧 Azure AD) の継続的アクセス評価 (CAEP) に対応したクライアント アプリを作成する方法、および検証した内容について説明します。 記載している内容に誤りがございましたら修正いたしますため、 Twitter やコメントでご指摘いただけますと幸
OpenID Connectを使用してGitHub Actionsでアクセスキーレスなデプロイをおこなう - Qiita
セキュリティ強化を目指して、なるべくIAMユーザーの使用を最小限に抑えて、IAMロールで一時的な権限付与を行う手法を取り入れてきました。 ただ、GitHub Actionsのデプロイワークフローにおいては、AssumeRoleする際にIAMユーザーのクレデンシャル(アクセスキーとシークレットアクセスキー)が必要だと思っていて、以下の記事でもその方法を採用しました。 しかし、よく調べてみたら、OpenID Connectを使うと、クレデンシャルを使わずにワークフロー内でAssumeRoleできることがわかり、ワークフローを改善しました。 DevOps経験のあるエンジニアには既知の内容だと思いますが、初心者の方々への参考として、改善内容を共有します。 OpenID Connectとは OpenID Connect(OIDC)は、ユーザー認証を行うためのオープンスタンダードプロトコルです。OAu
OpenID Connect
OpenID Connectとは、サービス間で、利用者の同意に基づきID情報を流通するための標準仕様です。利用者がOpenID提供サイトに登録したID情報を使って、ほかのOpenID対応サイトにログインすることが可能になります。氏名、住所、カード番号といった属性情報を、本人の承認のもとにサイト間で連携することにより、利用者はこれまでサイトごとにバラバラに登録していたID情報を、一元管理できるようになります。 OpenID Connectの最新版は、2014年2月に発行されたOpenID Connect1.0です(2021年3月現在)。APIエコノミーやFintech、デジタルトランスフォーメーションの広がりにより、サービスやデータを繋いで新たな価値を創出したビジネスが増えてきています。そういった中で、APIを使ってユーザー情報を連携(ID連携)したい場合に使える技術として注目されています。
エンジニア・デザイナーのキャリア(副業、転職、フリーランス)、採用の流れ、教育・育成、マネジメント/評価制度などについて話をしていくチャンネルです。▼エンジニアの副業体験例Androidだけでなく、Flutterも探求したい。サイバーエージェント降矢大地が「初の副業」で気づいたことhttps://offers.j...
登壇者 技術同人作家 Auth屋 氏 (https://twitter.com/authyasan) OAuth、OpenID Connectの初学者向けの本を書く技術同人誌作家。初めて執筆した「雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本」が技術書典にて一日で800部を頒布。インプレスより商業版も刊行された。続編の「OpenID Connect本」、「OAuthへの攻撃本」をあわせた雰囲気OAuth本シリーズは同人誌としては異例の累計1万部を超える。昨年末、翔泳社より「Firebase Authenticationで学ぶ ソーシャルログイン入門 ID管理の原則にそった実装のベストプラクティス」を刊行。 【モデレーター】株式会社InnoScouter CTO 大西 政徳 氏(https://twitter.com/monarisa_m
概要 OpenID Connect Cerification を取得するために必要なことと、流れを整理しました。 公式サイトに詳しく書いてあることですが、実際に取得していく中でわかりにくい点があったので、これから取得しようとしている方の参考になれば幸いです。 本記事は Basic OP という、 Authorization Code Flow で実装した Provider のみを対象としています。 OpenID Connect Certification とは? OpenID Foundation が提供しているプログラムで、このプログラムを通過することにより、対象の実装が OpenID Connect の標準仕様を満たしていることを宣言し、OpenID Certified Mark を使えるようになります。 参考 OpenID Certified Mark OpenID Certific
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
仕様が読めるようになるOAuth2.0、OpenID Connect 入門
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ
Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ | gihyo.jp
"仕様が読めるようになるOAuthとOpenID Connect入門"の質問への回答
OpenID Summit Tokyo 2024 でパスキーとID連携について話しました
OAuthとOpenID Connectについて~仕組みや特徴など解説~
OpenID for Verifiable Credential Issuance - Authlete
OpenID Connectの仕様を改めて読み返してみる -
公開されている OpenID Configuration まとめ
OAuth 2.0+OpenID Connect認証認可サービス製作日記:ひかる黄金わかめ帝国
OpenID Providerを作る)まずは全体像から
Self-Issued OpenID Provider v2 - draft 13
OpenID Providerを作ることでOpenID Connectを知る
AWS Cognitoと学ぶOAuthとOpenID Connect
XRIの世界線から見たDIDとOpenIDーYoutube配信
GoでOpenID ConnectのClientを実装する(Auth0設定編) - HRBrain Blog
Auth屋さんと学ぶ 仕様が読めるようになる OAuthとOpenID Connect 入門
10/5(木)「Auth屋さんと学ぶ 仕様が読めるようになる OAuthとOpenID Connect 入門」を開催
OpenID Connect Certification を取得するまでの流れ - Qiita