GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで - エンジニアHub|Webエンジニアのキャリアを考える!
GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで GitHubが公式に提供するGitHub Actionsは、後発ながらよく使われるワークフローエンジンとなっています。本記事では、藤吾郎(gfx)さんが、典型的なCI/CDのユースケースに即したワークフローの設定と管理について解説するとともに、注目されているGitHub OIDC(OpenID Connect)の利用についても紹介します。 GitHub Actionsは、GitHubが提供するCI/CDのためのワークフローエンジンです。ワークフローエンジンは、ビルド、テスト、デプロイといったCI/CD関連のワークフローを実行し、定期実行するワークフローを管理するなど、開発におけるソフトウェア実行の自動化を担います。 ▶ GitHub Actions - アイデアからリリースまでのワーク
『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
はじめに Authlete(オースリート)社主催の勉強会『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』(2020 年 1 月 31 日(済), 2020 年 2 月 21 日(中止))の内容がてんこ盛り過ぎるため、予習・復習用の情報を書き出そうと思います。 追記 2020 年 1 月 31 日の勉強会の資料と動画(字幕付き)を公開しました! OAuth / OIDC 勉強会参加者は、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本を知っていることが前提となります。 OAuth 2.0 は「アクセストークンを発行する仕組み」です。その中心となる仕様は RFC 6749 です。詳細については『一番分かりやすい OAuth の説明』と『OAuth 2.0 全フローの図解と動画』をご参照ください。 Op
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
OAuth / OIDCを学ぶための最短経路
はじめにここ数ヶ月、OAuth / OIDC の勉強をしていました。 はじめはどこからどう手を付ければいいのかわからず、OAuth と名のつく本や資料をとりあえず色々読んでいました。 勉強していくなかで、効率の良い学習方法が少しずつわかってきたので、まとめます。 学習する順番のまとめOAuth & OIDC 入門編 by #authlete - YouTubeを見るOAuth / JWT /OIDC の全体感を掴みますここではすべてを理解するのではなく、何がわからないのかをわかることが目的です雰囲気で使わずきちんと理解する!整理して OAuth2.0 を使うためのチュートリアルガイドを読むOAuth とはどういうものかということを理解しますOAuth、OAuth 認証、OpenID Connect の違いを整理して理解できる本を読むOIDC とはどういうものか、OAuth とはどう違うかと
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。 冒頭は、OAuth 2.0の概念や認可・認証までの流れと、それを理解する上で避けては通れない3つの技術仕様(JWS・JWE・JWT)についての解説です。 OAuth 2.0とは 川崎貴彦氏:株式会社Authleteの川崎です。本日は「OAuthとOpenID Connectの入門編」ということでオンライン勉強会を開催しますので、よろしくお願いします。最初にOAuth 2.0の概要の説明からです。 ブログに書いてある内容と一緒なんですが、まずユーザーのデータがあります。このユーザーのデータを管理するのが、リソースサーバーです。このユーザーのデ
[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 | DevelopersIO
「Terraform CloudもGithub ActionsみたいにOIDCを使ってAWS認証とかできたら最高だな」 と思ったことはありません? そんな方に朗報です。Terraform CloudがValutとクラウドプロパイダー(AWS,Azure,GCP)に対してOIDCで動的なクレデンシャル生成に対応しました。(beta版 2023/1/31時点 2023/4/9 GAになりました) Terraform Cloud Adds Dynamic Provider Credentials for Vault and Official Cloud Providers 今回はAWSでこのアップデートの内容を試してみました。 アップデート概要 これまでは、Terraform CloudでAWS,Azure,GCPなどにリソースをデプロイする際に、静的なクレデンシャル(AWSだったら、IAMアク
![[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6b705c59c81a0f6ffe7f8b44d8e1d34f0b831a08/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F02%2Fterraformcloud_1200x630.jpg)
OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife
お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていてこの分野を抑えときたい ただ単純に興味がある : そんな人いる? とかそんな感じな気はしますが、基本的なフローを乗り越えた先に広がる仕様沼への潜り方に戸惑っておられるようでした。 そこで、いわゆる RFC6749/6750/7636 あたりを完全に理解した開発者が山ほどある仕様にどう立ち向かっていくかを考えます。 仕様にも色々ある IETF の OAuth関連の仕様、いっぱいあります。密です。密です。みみみみみみみみ... tools.ietf.org 去年に一回まと
ritou です。 前の記事でちょっと確認済みメアドについての記載をしたあと、Twitterでちょっとやりとりしたり個別にDMで質問が来たりしたのでまとめます。 まとめ "確認済みメアド" のユースケースはいくつかある 新規登録時に自サービスで確認処理を行わずに利用 未登録ユーザーがソーシャルログインしてきた時に既存ユーザーとの紐付け IdPからもらった確認済みメアドをそのまま使っていい場合とそうじゃない場合がある 自サービスで提供しているメールアドレスかどうかで変わる部分を許容するかどうか email_provided のようなclaim があると便利かもしれない 確認済みメアドのユースケース 新規登録時の確認処理をスキップ これはID連携、ソーシャルログインのメリットとしてずっと言われているものです。 IdPで確認済みなのでRPは確認せずに信用して使おう というお話です。 よく知られて
【解説編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC engineers' blog
SREチーム(新卒)の市川恭佑です。これはカヤックSRE連載の2月号です。 よく見ると投稿日が3月になっていますが、どちらかと言うと2月が28日までしかない方に問題があるので、大丈夫です。(何が?) ということで、2023年も滑り出し好調のカヤックSRE連載ですが、前回の記事ではCircleCIからGoogle CloudにOIDCでアクセスする方法について、 ちゃんと動く(はずの)ソースコードをサクッと紹介いたしました。 techblog.kayac.com さて、Google CloudとCircleCIをお使いの皆様、もうOIDC対応は完了しましたか? 安心してください。私のプロジェクトでも一部未完遂です。(おい) ということで今回は、前回紹介したソースコードを深掘りして解説します。 私と同じように、途中でなんか面倒になって一旦塩漬けにしたら正直忘れかけてる長い道のりの途中にいる皆様
GitHub Actions から AWS や GCP などのクラウドリソースを操作するときは、 OIDC を使用することが主流だと思いますが、手順に沿って設定はできるもの仕組みがよく分かっていない方も多いと思います。 この問題は厄介で、様々な"分からない"が絡まりあって生まれている問題だと思います。 例えば、 どんな仕組み・流れでAWS・GCPを操作できるようになっているのか分からない(私) そもそもなぜOIDCを設定すると嬉しいのか分からない(私) 色々な設定をしたけど何をしているのか分からない(私) などが挙げられると思います。 これらを解消し、OIDCを利用したGitHub ActionsとGCPの連携の流れ・仕組みを探求するのがこの記事の目的です。 ※Google CloudのことはGCPと書きます。 ※記事で触れないこと GitHub Actions - Google Clou
GitHub Actions と AWS を OIDC で連携するときに自動的に証明書の検証をしてくれるようになった - kakakakakku blog
今まで GitHub Actions から AWS を OIDC (OpenID Connect) で連携する場合にサムプリントを取得して ID プロバイダを作る必要があった💡しかし,2023年6月27日に GitHub Changelog でサムプリントを2種類設定するという記事が公開されて対応することになったけど,2023年7月6日から AWS 側で自動的に証明書の検証をしてくれるようになって,特に気にする必要がなくなった.結果的に適当なサムプリントを指定しておけば良く楽になった👀 動作確認をする機会があったので簡単にまとめておこうと思う. github.blog ちなみに「2023年7月6日」という日付は AWS から送られてきたメールに載っていた📩 [NOTIFICATION] OpenIDConnect (OIDC) errors when using GitHub OID
GitHub - ory/kratos: Next-gen identity server replacing your Auth0, Okta, Firebase with hardened security and PassKeys, SMS, OIDC, Social Sign In, MFA, FIDO, TOTP and OTP, WebAuthn, passwordless and much more. Golang, headless, API-first. Available as a w
The Ory Network is the fastest, most secure and worry-free way to use Ory's Services. Ory Identities is powered by the Ory Kratos open source identity server, and it's fully API-compatible. The Ory Network provides the infrastructure for modern end-to-end security: Identity & credential management scaling to billions of users and devices Registration, Login and Account management flows for passkey
資料ダウンロード: https://www.authlete.com/ja/resources/videos/20200317/ 2020 年 3 月 17 日にオンライン開催した勉強会『OAuth & OIDC 勉強会 リターンズ【入門編】』の録画です。Authlete の川崎貴彦が、OAuth 2.0 と OpenID Connect の概要、JWS/JWE/JWT、ID トークン、OAuth 2.0 と OpenID Connect のフロー、JWK、PKCE、デプロイメントパターン、Authlete について説明しています。
GitHub ActionsのOIDC id tokenでGCPにアクセスしてみた - ryotarai's blog
注意: この記事は古くなっています。現在は正式リリースされています。ドキュメントはこちら 巷で話題になってるGitHub Actionsのid tokenでGCPにアクセスしてみた。 AWS federation comes to GitHub Actions | Aidan Steele’s blog (usually about AWS) これを参考に試してみた。 GCP側 以下、49482415725, ryotarai-github-oidc-sampleはproject number, project ID(このprojectは削除済み) cloud.google.com これを参考にWorkload Identityまわりの設定をする。 まず、IAM, Resource Manager, Service Account Credentials, and Security Tok
GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub Actions で configure-aws-credentials を使った OIDCではまったこと - tech.guitarrapc.cóm
GitHub Actions の OpenID Connector と AWS の OIDC Provider を使うことで、IAM Role を Assume できるというのは前回書きました。 tech.guitarrapc.com 構築中によく出るエラーに関しても書いたのですが、いざ実際に使おうとしたら別のエラーではまったので忘れないようにメモしておきます。 tl;dr; GitHub Actions で並列実行すると時々失敗する。 configure-aws-credentials を1 jobで複数回呼び出したときに初回の認証を上書きできない 正常動作例1 正常動作例2 問題の動作 tl;dr; OpenID Connect で認証すると、AWS OIDC Provider の認証の上限に引っ掛かりやすい Composite Action の中で、 configure-aws-cr
【書評】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) #技術書典 | DevelopersIO
OAuth や OIDC について、仕様を読みながら学習を進めていると、「何に使えるのかよくわからない値」や「挙動はわかっても実際にどのような攻撃を防げるのかがよくわからない値」がたくさん出てくるように感じます。 例えば以下は私の Slack での発言を検索した結果ですが、c_hash で何が防げるのかわからず苦悶しています。 そこで、OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) を読んでみたところ、この手の混乱に非常に役立つように感じたので、こちらで紹介させていただきます。 OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編) 仕様を元に OAuth や OIDC の勉強をしていてわかりづらいのは、具体的な攻撃の手法よりも前に、防御の方法について記載があるためではないかと感じています。 それに対して、この本では具体的な攻
June 27, 2023 We have received customers reporting errors with Actions’ OIDC integration with AWS. This happens for customers who are pinned to a single intermediary thumbprint from the Certificate Authority (CA) of the Actions SSL certificate. There are two possible intermediary certificates for the Actions SSL certificate and either can be returned by our servers, requiring customers to trust bo
January 13, 2022 While renewing GitHub Actions SSL certificates, an unexpected change in the intermediate certificate authority broke workflows using Open ID Connect (OIDC) based deployment to AWS. To fix the issue please follow the following steps: In the AWS Console, go to IAM -> Identity Providers Open the provider(s) for token.actions.githubusercontent.com Click Manage under Thumbprints Add th
毎回ググってるので備忘録。 GCP はこっち。 概要 GitHub Actions では OpenID Connect (OIDC) がサポートされています。 OIDC を使用することにより長期間有効なアクセスキーなどを用意することなく AWS 認証を行うことができます。 詳細については下記ページをご参照ください。 この記事では GitHub Actions で OIDC を使用して AWS 認証を行うまでの手順をまとめます。 リポジトリ この記事内で使用しているサンプルコードは下記リポジトリで管理しています。 手順 1. ID プロバイダを作成する まず OIDC に使用する ID プロバイダを AWS で作成します。 Terraform で作成する場合のサンプルコード data "http" "github_actions_openid_configuration" { url = "
OAuth 2.0 および OpenID Connect (OIDC) は、関連技術を含め、数多くの仕様から構成されています。API アクセス認可やデジタルアイデンティティを専門としない方にとっては、OAuth 2.0 / OIDC 仕様をどこからどのように理解し、これらの仕様に準拠したサーバーをどのように実装すれば良いのか、難しさを感じることも少なくないかと思います。 そこで今回は、一昨年実施し好評を博した、OAuth 2.0 & OpenID Connect をフルスクラッチ実装したエンジニア(株式会社 Authlete 代表)による解説を中心とした勉強会を再開催いたします。また最近の仕様策定の動向についても、アップデートをお伝えいたします。 OAuth 2.0 と OpenID Connect の概要 JWS/JWE/JWT、ID トークン OAuth 2.0 と OpenID Co
【実践編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC engineers' blog
SREチーム(新卒)の市川恭佑です。これはカヤックSRE連載の1月号です。 みなさんの記憶に新しいと思いますが、先日CircleCIで大きなセキュリティインシデントがありました1。 このインシデントを受けて、環境変数やContextに保存された外部サービスへの認証情報を更新しながら「自分もOIDC対応しておけば......」と後悔した方も少なくないと思います。 外部サービスの例として、Amazon Web Services (AWS)に関しては、公式OrbにてOIDC連携がサポートされていたり、AWS側のIdentity and Access Management (IAM)設定を含む情報がインターネット上に数多く公開されています。 ゆえに、CircleCIのパイプラインからAWSにアクセスする箇所について、OIDC連携に対応する難易度は比較的低いです。 これに対して、Google Clo
2012 年に OAuth 2.0 (RFC 6749 / 6750)、2014 年に OIDC 1.0、そして 2015 年に PKCE (RFC 7636) / JWT (RFC 7519) がそれぞれ標準仕様となり、いまでは多方面に活用されるようになりました。一方で 2015 年以降も、さまざまな OAuth 2.0 拡張仕様が登場し、さらに OAuth 2.0 / OIDC 適用のプラクティスも改良されています。 もしかしたら、数年前には標準が存在せず独自拡張を試みるしかなかったユースケースに、いままさに策定中の仕様が活用できるかもしれません。あるいは、以前は最良であると考えられていた OAuth 2.0 適用の定石も、いまでは時代遅れになっているかもしれません。 今回の勉強会では、主に「ポスト PKCE / JWT(2015 年以降)」を中心に、Authlete 社の独断と偏見に
ついにaws-actions/configure-aws-credentials@v1にOIDCでAssumeRoleできる機能が取り込まれました! | DevelopersIO
吉川@広島です。 Release v1.6.0 · aws-actions/configure-aws-credentials 数日おきにチェックしていたのですが、今日見た所3日前にリリースされていました!気づくのに少し遅れを取ってしまいました。 GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO GitHub Actions OIDC+configure-aws-credentialsは最高なのですが、唯一、configure-aws-credentialsのリリースバージョンが切られていないことだけが気になっていました。 みんなが待ち望んだrelease GitHubドキュメントでも aws-actions/configure-aws-credentials@master とバージョンではな
ritouです。 なんか反応いっぱいあったこれですが 一番伝えたかったのは ログインだけなら(ClientSecret)いらねーじゃん なのでその部分を書きます。特に新しい話ではありません。 まとめ まとめます。 OIDCで新規登録やログインさせたいだけ、かつUserInfo API叩かなくていいなら、 client_secretはいらないよ! Implicitって言っても、OAuth 2.0 の response_type=token は使わん方がいいけど OIDC の response_type=id_token は使っていい みんな大好きSAMLと大体一緒よ。しらんけど。 こんなところですね。 ID連携の時、リソースアクセスしてる? OIDC Core ってのは IDTokenによる "認証イベント" 情報、ユーザーの属性情報を受け渡し UserInfo APIによる最新のユーザー属
OktaとALB認証機能をOIDCで連携して認証機能がないアプリケーションに認証機能を追加してみた[n8n実装] | DevelopersIO
こんにちは、臼田です。 みなさん、認証してますか?(挨拶 先日n8nというOSSのワークフロー自動化アプリケーションを建てる記事を書いたのですが、このアプリにはまだ認証機能がありませんでした。 しかしながら幸いにも、AWSならALBでビルトイン認証としてOIDCで他のIdPと連携して認証する機能があります!OSSの足りないところはAWSの機能で補える、すばらしい。 というわけでこれをやってみました。 なお、OneLoginやGoogleや弊社の認証基盤のprismatix 認証サービスで連携する記事もありますので貼っておきます。 OneLogin(OIDC)でALB認証機能を使ってみた 【新機能】AWS ELBのApplication Load Balancer(ALB)の認証機能でWebアプリにGoogle認証を追加する [新機能] Application Load Balancer(A
![OktaとALB認証機能をOIDCで連携して認証機能がないアプリケーションに認証機能を追加してみた[n8n実装] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fbe337859637c322c72d81511988682e8459604d/height=288;version=1;width=512/https%3A%2F%2Fd1tlzifd8jdoy4.cloudfront.net%2Fwp-content%2Fuploads%2F2020%2F02%2Fokta_logo_1200_630.png){kind=logo}
GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO
2022/1/8 aws-actions/configure-aws-credentials@v1アップデートを反映しました https://dev.classmethod.jp/articles/aws-configure-credentials-v1 吉川@広島です。 [GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO 先日こちらのブログを書いたのですが、色々と変わったため、最新内容を反映した手順を新しくブログにすることにしました(古い記事には注釈を入れておきます)。 IDプロバイダを作成 まずIAM ID Providerを作成します。 プロバイダのタイプ: OpenIDConnect プロバイダのURL: https://token.ac
概要 前にApp RunnerでSGを操作する やつ作ったけどLambdaの関数URLでもっとシンプルに出来そうなので試してみました 仕組みはシンプルにGoogleのOIDC でもらえるid_tokenをつけてLambdaへリクエストするだけ 使うのはS3バケットとLambdaのみ 例として開発環境の起動ボタンを作ります ※この手の要件だとcognitoを使う例が多いかと思いますが今回はLambda側で署名の検証をします lambda側 必要なロールを割り当ててlambdaを作成 関数URLも設定します フロント側でhtmxを使用するので、必要なCORS設定も行います Lambdaのソースコード "use strict"; import jwt from "jsonwebtoken"; import fetch from "node-fetch"; import jwkToPem from
躓きまくったので備忘録。 AWS はこっち。 概要 GitHub Actions では OpenID Connect (OIDC) がサポートされています。 OIDC を使用することによりサービスアカウントキーなどを用意することなく GCP 認証を行うことができます。 詳細については下記ページをご参照ください。 この記事では GitHub Actions で OIDC を使用して GCP 認証を行うまでの手順をまとめます。 リポジトリ この記事内で使用しているサンプルコードは下記リポジトリで管理しています。 手順 1. IAM Service Account Credentials API を有効にする OIDC で認証情報を作成するときには IAM Service Account Credentials API を利用するため、有効にしておく必要があります。 Terraform で有効に
GitHub Actions が OpenId Connect に対応したので AWS OIDC Provider と連携する - tech.guitarrapc.cóm
前々から言われていた GitHub Actions で OpenID Connect 経由で、各種Cloud Provider の認証を得るのが GA しました。 めでたい。 github.blog これにより、aws-actions/configure-aws-credentials のみで認証が組めるようになったので見てみましょう。 https://github.com/marketplace/actions/configure-aws-credentials-action-for-github-actionsgithub.com tl;dr; 動作例 基本 Terraform で AWSを用意する。 OIDC Provider を用意する IAM Role を用意する リソースを作成 GitHub Actions の構成 FAQ GitHub Actionsで実行してみたら動作しない
こんばんは、ritouです。 今日は OpenID Connect Client Initiated Backchannel Authentication Flow 通称CIBA のユースケースについて書きます。 CIBA は決済や送金のためのもの? 自分の記事でも、CIBAのユースケースとしてコンビニ決済への導入例を挙げてみたりしました。 そして、CIBAにやたらと詳しい某Authlete社の記事を見ても、送金とか決済などで使えそうな話がプンプンします。 www.authlete.com www.authlete.com お金周りはUX改善のメリットとして伝え安いですし、クレカ決済のDecoupled AuthNの実例もあります。 CIBAもFAPIとの絡みがあるのでこの辺りを例示しがちではありますが、今回はそんな流れに逆張りとばかりにシンプルなユースケースに注目します。 「スマートフォ
2022年3月26日に待望のCircleCI OIDCサポートがリリースされました。 よーしブログ書くぞと思ったらクラメソさんが先に記事を投稿していたので、実際に自分が試したところをTipsとして記載します。 Terraformでの実装 OIDC Provider まずはOIDC Providerの定義から。 resource "aws_iam_openid_connect_provider" "circleci" { url = "https://oidc.circleci.com/org/${local.circleci_org_id}" client_id_list = [local.circleci_org_id] thumbprint_list = [ "9e99a48a9960b14926bb7f3b02e22da2b0ab7280", ] } locals { circlec
TerraformでAWSのOIDCできるIAM Roleを作成しGitHubの設定まで一気に済ませる - Qiita
概要 TerraformではAWSなどのクラウドサービスのみならず、GitHubのリソースの管理もできます。 本記事ではTerraformを使ってGitHub ActionsからOpenID ConnectでAssume RoleできるIAM Roleの作成をします。 また、TerraformでGitHub Actionsのシークレットに作成したRoleのarnを登録するところまで一括でやります。 参考 https://zenn.dev/kou_pg_0131/articles/gh-actions-oidc-aws https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services https:
Terraform だけを使って GitHub Actions OIDC ID プロパイダの thumbprint を計算する方法
GitHub Actions が提供する ID プロパイダのルート証明書が変更されて、OIDC を使った AWS への認証が通らなくなるという現象が起こりました。 ドキュメントや多くのブログでは AWS 側の ID プロパイダに渡す thumbprint として固定値 a031c46782e6e6c662c2c87c76da9aa62ccabd8e が指定されていたので、新しい thumbprint を計算して更新する対応を迫られた方が多いのではないかと思います。 計算自体は上記公式ドキュメントに載っている通りに行えば問題ありませんが、せっかくなので Terraform だけを使って自動で thumbprint を取得する方法を紹介します。 なお、Terraform の実行結果は2022年1月13日時点のものです。 Terraform コード data "http" "github_act
CloudFront で Lambda@Edge を使って OpenID Connect (OIDC) 認証 - Qiita
CloudFront と S3 を使ってサーバーレスなウェブサイトを構築し、特定のユーザーにのみ公開するために Google, GitHub など外部の認証プロバイダ (IdP) を使って認証をおこなう方法です。CloudFront ではリクエスト中継時に Lambda 関数を実行し認証などの処理をおこなうことができるため、それを使うことにします。 OpenID Connect による認証シーケンス CloudFront にアクセスした際のシーケンスは以下のようになります。 構築手順 OpenID Connect (OIDC) による認証をおこなう Lambda 関数を Widen/cloudfront-auth というツールを使って生成します。様々な認証プロバイダに対応していますが、ここでは Google で認証し、特定ドメインのメールアドレスのユーザーのみをアクセス許可してみます。 ※
OpenID とはなにか OpenID は認証に関する規約・フォーマットで、OpenID 財団が管理しています。 現在最新のOpenId規約は、OpenID Connect 1.0 (OIDC) と呼ばれるもので、 単に OpenID Connect を指して OpenID と呼ばれるケースも有るようです。 技術的な構成 OpenID Connect (OICD) は、認証に関する仕組みですが、 技術的には単純に ID Token を発行する仕組み、と位置づけることができます。 OICDは、 IDaaS のような サードパーティによる分権的な認証システムの実現を可能にしていますが、 サードパーティーとの接続フォーマットは Oauth2 の方式を踏襲しており、 OICD の技術的な特異点は接続後の ID Token 発行にフォーカスすることができます。 簡略的には以下のような図式が成り立ちま
SPA用に Amazon Cognitoユーザープール の設定と OIDC を連携させる手順 | DevelopersIO
こんにちは、ちゃだいんです。 今回は、Amazon Cognitoユーザープール とOIDC を連携させる手順を作成する機会がありましたので、その内容をご紹介します。 基本的には、公式ドキュメントを参考に進めます。 Amazon Cognito ユーザープール - Amazon Cognito 前提 今回進める上で、以下のような前提とします。 ウェブアプリは Single Page Application (SPA) 開発環境で使用するサービスのドメインはdev.example.comとする ローカル環境で実行していて、そこから認証を行いたい その他のリソースは構築済み 手順 1.Cognitoユーザープールを作成する ユーザープール名を決めます。 今回はproject-dev-userpoolと入力します。 一般的なEメールアドレスを「ユーザー名」として使用してサインアップ・サインインす
OAuth/OIDC コンサルティングの実際
ふだんプリセールスや、コンサルティング(正確にはプロフェショナルサービス)で、どんな感じでお客さまからヒアリングして OAuth 2.0 (OAuth) / OpenID Connect (OIDC) に落とし込んでるのか、ちょっと書き出してみる。 全体を把握する多くの場合、お客さまはすでにやりたいことを頭に描いていて、その実現に OAuth なり OIDC が使えそうだという感触を持っている。その上での第一歩は、まずは全体の構成を整理するところから。ヒアリングするのは次の 3 つの要素。 1. 提供するサービス / API の内容アイデンティティ情報(認証結果/SSO、属性情報)なのかデータや機能なのか2. API クライアント / リライングパーティファーストパーティ / サードパーティサーバーアプリケーション / ネイティブアプリケーション事業単位・管理単位3. アイデンティティ情報
はじめに 今更ながら、GitHubとAWSをOIDC(OpenID Connect)で連携して、GitHub ActionsからS3へ連携したので、やり方について記載 OIDC そもそもOIDCってなんだっていう人は、ChatGPTさんに聞いたら以下をおすすめしてくれたので、記載しておきます。 その上で、GitHubの該当ページには、以下のように説明がありました。 No cloud secrets: You won't need to duplicate your cloud credentials as long-lived GitHub secrets. Instead, you can configure the OIDC trust on your cloud provider, and then update your workflows to request a short-l
※ 2023年改定: 全体まとめを最新の議論にそったものに変更しました。 Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuther を脱したと言えるでしょう。 ■ 想定読
![OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 [2023年改訂版] - Auth屋 - BOOTH](https://cdn-ak-scissors.b.st-hatena.com/image/square/c9fc72c2826e7719626dfdbc0f48298c44cb36f3/height=288;version=1;width=512/https%3A%2F%2Fbooth.pximg.net%2Fc%2F620x620%2Fcf80a27c-5163-4a4b-9d2b-2ba823d41bec%2Fi%2F1877818%2Fd6527239-b373-4d0b-9006-c49c7046d45c_base_resized.jpg)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
OAuth 2.0 / OIDC を理解する上で重要な3つの技術仕様
OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点
GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する
OAuth & OIDC 入門編 by #authlete
GitHub Actions – Update on OIDC integration with AWS
GitHub Actions - Update on OIDC based deployments to AWS
GitHub Actions で OIDC を使用して AWS 認証を行う
OAuth & OIDC 勉強会 【入門編】 - Authlete
いまどきの OAuth/OIDC 一挙おさらい (2020 年 1 月) - Authlete
OIDCのImplicit FlowでClientSecretを使わずにID連携する
社内の人しか押せないボタン(Google OIDC + AWS Lambda 関数URL)
GitHub Actions で OIDC を使用して GCP 認証を行う
OIDC CIBAで作る「スマートフォンでログイン」機能 - r-weblife
CircleCI-AWSをOIDC認証で連携する際のTips
OIDC と JWT の関わり - Oauth2.0 との違いなど
GitHub ActionsからOIDCでCredential情報を使わずにAWSと連携 - Qiita
OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 [2023年改訂版] - Auth屋 - BOOTH