CloudFront で Lambda@Edge を使って OpenID Connect (OIDC) 認証
CloudFront と S3 を使ってサーバーレスなウェブサイトを構築し、特定のユーザーにのみ公開するために Google, GitHub など外部の認証プロバイダ (IdP) を使って認証をおこなう方法です。CloudFront ではリクエスト中継時に Lambda 関数を実行し認証などの処理をおこなうことができるため、それを使うことにします。 OpenID Connect による認証シーケンス CloudFront にアクセスした際のシーケンスは以下のようになります。 構築手順 OpenID Connect (OIDC) による認証をおこなう Lambda 関数を Widen/cloudfront-auth というツールを使って生成します。様々な認証プロバイダに対応していますが、ここでは Google で認証し、特定ドメインのメールアドレスのユーザーのみをアクセス許可してみます。 ※
Keycloakで実用的なリバースプロキシ型構成を構築してみよう (1/4):Keycloak超入門(7) - @IT
はじめに 企業内には、以下のような理由で標準的な認証/認可プロトコルに対応できないケースが存在することもあると思います。 レガシーなアプリケーションで改修が難しい 新規のアプリケーションであってもパッケージの制約で対応が難しい Keycloakは、認証/認可プロトコル対応プロキシと組み合わせることで、上記のようなケースにおいても大きな手間をかけずにシングルサインオン環境を構築できます。 これを実現するのが、Keycloakの「リバースプロキシ型構成」です。 リバースプロキシ型構成とは Keycloakのリバースプロキシ型構成とは、Keycloakと認証/認可プロトコル対応プロキシを組み合わせて構築するシステムアーキテクチャです(図1)。 この構成にすることで、連携アプリケーション(以下、連携アプリ)が、認証/認可プロトコルに非対応であっても、シングルサインオンできるようになります。また、連
一番分かりやすい OpenID Connect の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
マイクロサービス時代のSSOを実現する「Keycloak」とは
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。第1回目は、APIにおける認証/認可の仕組みとKeycloakの概要を紹介します。 連載目次 APIにおける認証/認可の仕組み 近年、金融や流通分野で注目されている「APIエコノミー」や「マイクロサービスアーキテクチャ」などの登場により、サービスの機能を「REST API」として提供することが当たり前になってきています。そして、REST APIを公開するためには、誰がアクセスしてきたのかを確認するための「認証(Authentication)」と、APIへのアクセスを誰に許可するのかという「認可(Authorization)」の仕組みが不可欠です。 しかし、複数のサービスがそれぞれ個別に認証/許可を
サンプルアプリケーションでKeycloakのSSO動作を確認してみよう
サンプルアプリケーションでKeycloakのSSO動作を確認してみよう:Keycloak超入門(2)(1/3 ページ) 本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。今回は、サンプルアプリケーションを使って、KeycloakによるSSOの動作を確認してみます。 連載目次 連載第2回目となる今回は「Keycloak」サーバを起動して、Keycloakが提供するサンプルアプリケーションを実行し、シングルサインオン(SSO)の動作を確認してみます。確認に利用したKeycloak、サンプルアプリケーションのバージョンは「3.2.0.Final」です。 今回はCent OS 7.2 64bitを使用しますが、他のLinux系OSやWindows OS上
OAuth & OpenID Connect 関連仕様まとめ - Qiita
はじめに OAuth や OpenID Connect に関連する仕様を紹介していこうと思います。 仕様はたくさんあるものの、ほとんどオプショナルです。しかし、「認可サーバーを実装する際は、RFC 6749 だけではなく、認可コード横取り攻撃への対抗策である RFC 7636 も実装すべきである」* という点は強調しておきたいと思います。 * 「PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと」という記事もご参照ください。 1. OAuth 2.0 (RFC 6749) OAuth 2.0 の仕様の本体は RFC 6749 (The OAuth 2.0 Authorization Framework) です。RFC 6749 の解説記事は世の中にたくさんあるので、ここでは要点だけ手短に紹介します。 RFC 6749 は、アクセストークンを発行
mod_auth_openidcによりApache HTTP ServerをOpenID Connect Relying Partyにする
こんにちは、滝澤です。 Apache HTTP ServerをOpenID Connect Relying Partyにするmod_auth_openidcというモジュールを使ってみる機会がありましたので、本記事で情報共有します。 なお、記事が長くなったので本編と設定例である3編に分けました。 本編 ←本記事 設定例 Google編 Azure AD編 複数プロバイダー編 本記事では本編として、mod_auth_openidcの概要とmod_auth_openidcの導入方法を紹介します。 OpenID Connectとは OpenID Connectについてはここでは特に詳しくは説明しませんが、いくつか説明やサイトを紹介します。 OpenID Connect Core 1.0 日本語訳によると次のように説明されています。 OpenID Connect 1.0 は, OAuth 2.0 プ
OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ
OpenID Connect概要 OpenID Connectをひと言で説明すると、 OAuth 2.0 + Identity Layer = OpenID Connect という表現が最もふさわしい。 OpenID Connectは、「OAuth 2.0を使ってID連携をする際に、OAuth 2.0では標準化されていない機能で、かつID連携には共通して必要となる機能を標準化した」OAuth 2.0の拡張仕様の一つである。 OpenID Connect登場以前は、OAuth 1.0/2.0ベースのID連携の仕組みがTwitterやFacebookなどの巨大SNSから提供され、人気を博した。これらの仕組みは今でも広く利用されている。 一方で、OpenID Connectの1つ前のバージョンのOpenID 2.0では、ID情報の連携はできるもののAPI連携には利用できないなど、デベロッパーに強
OpenID Connect IDトークン署名検証 - GMOインターネットグループ グループ研究開発本部
こんにちは。次世代システム研究室のM.Mです。 過去のブログにてOpenAMを利用したOpenID Connectについて紹介したことがありましたが、その際はOpenID ConnectのIDトークンの検証については省略していたので、今回はその続きとしてIDトークンの署名検証についてPHPにてどのように実施したか紹介したいと思います。 過去のブログはこちら OpenID Connectについてはこちら ・OpenID Connectプロバイダーとしては前回同様OpenAMを使って確認を行っています。 ・このブログに記載しているIDトークンの値などは実際の値を別の値に加工しているので利用することはできません。 目次 IDトークンとは IDトークン構造について PHPによるIDトークンの検証 1.IDトークンとは ユーザーがOpenID Connectプロバイダーにてログイン認証した後、Ope
【Auth0】Auth0+Apache(mod_auth_openidc)でシングルサインオンしてみる | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。いろいろなユースケースでAuth0を使ってみています。前回はWordPressにAuth0プラグインをインストールして、ユーザー認証を行ってみました。 【Auth0】Auth0事始め/WordPressのユーザー認証をAuth0+Google Appsでシングルサインオンしてみる | Developers.IO 今回はApacheからAuth0を扱ってみたいと思います。ApacheとAuth0を組み合わせることで、たとえば社内システムを外部アクセスから保護するためのBasic認証の代わりにAuth0を使ったアクセス制限として利用するということが可能になります。またApacheをリバースプロキシ−として用いれば、Auth0を扱うことが(アプリの改修コストなどで)難しい場合にも最低限のアクセス制限をかけることが可能になるかと思います。 mod
OpenAMによるOpenID Connect - GMOインターネットグループ グループ研究開発本部
こんにちは。次世代システム研究室のM.Mです。 現在、IDサービス、SSOに関連する開発案件に携わっており、OpenAMにてOpenID Connectによる認証・認可の仕組みを提供するIDサービスを検討しております。 OpenAMによるOpenID ConnectについてはGoogleなどで検索するとたくさん記事がでてきますが、実際に使ってみると苦労する箇所がいくつかでてきました。 今回はその苦労したポイントを紹介したいと思います。 OpenAMについてはこちら 以下の説明ではhttp://openam.example.com:8080/openamにてOpenAMにアクセスできるようにしたケースになります。 尚、今回利用しているOpenAMのバージョンは13.0.0になります。 目次 OpenAMによるOpenID Connectの設定方法 OpenID Connect利用の流れ 何に
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
はじめに この文書では、OAuth 2.0 + OpenID Connect サーバーをゼロから一人で実装した開発者(私)が、得られた知見について書いていきます。基本的には「実装時に考慮すべき点」を延々と述べることになります。 そのため、この文書は、「素早く OAuth 2.0 + OpenID Connect サーバーを立てる方法」を探している方が読む類のものではありません。そのような情報をお求めの方は、「Authlete を使って超高速で OAuth 2.0 & Web API サーバーを立てる」を参照してください。そちらには、「何もない状態から認可サーバーとリソースサーバーを立て、アクセストークンの発行を受けて Web API をたたいて結果を得る」という作業を、所要時間 5 ~ 10 分でおこなう方法が紹介されています。 文書のバイアスについて 私は、OAuth 2.0 + Ope
認証機能のないアプリケーションでOAuth2認証を提供する - 弥生開発者ブログ
こんにちは、@Dominion525 です。 好きなモビルスーツはMS-06R-1高機動型ザクIIです。 ちょっとしたダッシュボードとか気の利いたOSSのWebアプリケーションなどを動かすときに、気になるのは認証周りです。 都度、関係者分のアカウントを管理したり、パスワードの個別に変更したりするのは大変に面倒です。 こういうのはアプリケーション本体ではなくフロントのリバースプロキシで制限すると便利です。 ただし、基本認証などでは心もとないのでもう少し工夫をしてみます。 (もちろん、対象のアプリケーションは localhost からしかアクセス出来ないようになっているものとします。) mod_auth_openidc そこで、OAuth2認証を提供してくれる素敵Apacheモジュール*1が mod_auth_openidc です。*2 弊社では Google Apps を利用しているので、メ
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
[参考情報] 【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ URL:https://qiita.com/kura_lab/items/812a62b5aa3427bdb49d タイトル: 『OpenID Connect 入門 〜コンシューマー領域におけるID連携のトレンド〜』 概要: コンシューマー領域におけるID連携のトレンドであるOpenID Connectの概要と仕様のポイントについてご紹介します。 OpenID TechNight Vol.13 - ID連携入門 Aug. 26, 2015 URL:https://openid.doorkeeper.jp/events/29487Read less
アイデンティティ管理とその動向
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog Yahoo! JAPAN 研究所の五味です。 アイデンティティ管理とは、ネット社会における利用者個人やその個人に関わる情報を適切に保護しながら活用する技術の総称です。従来は、AAA(Authentication、Authorization、Auditing、それぞれ、認証、認可、監査)に関わる基盤技術でしたが、近年ではネットワークの発展に伴い、ドメインをまたがる分散システムにおけるデータ連携のための基盤技術と位置づけられてきています。そこで、本稿では、特に、ID連携に関する以下のような話題について説明いたします。 ID連携とは ID連携モデル ID連携の応用 ID連携トラストフレームワーク ID連携トラストフレームワーク アイデア
OpenID Foundation Japan - 翻訳・教育 Working Group
OpenID Foundation Japan 翻訳・教育 Working Group は、OpenID Foundation Japan 参加メンバーを中心に、有志により運営されています。現在は主に OpenID & OAuth 関連仕様書の翻訳活動を行っています。 翻訳ドキュメント一覧 OpenID 認証は、エンドユーザが識別子 (Identifier) を管理していることを証明する方法を提供するものである。OpenID 認証を利用すれば、リライングパーティー (Relying Party、以下 RP) はエンドユーザのパスワードやメールアドレスなどにアクセスする必要がなくなる。 OpenID Attribute Exchange は、エンドポイント間で属性情報を交換するための OpenID の拡張仕様である。ユーザーの属性情報を更新または取得するためのメッセージを提供する。 Open
「OpenID Connect」を理解する
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
OpenIDが果たす役割を知る
いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 OAuth 2.0に続いて「OpenID」を振り返る はじめまして、ritouです。第1回、第2回でOAuth 2.0を紹介したNovさんと同じく、OpenID Foundation Japanのエバンジェリストとして活動しています。 第3回と第4回ではOpenIDについて紹介します。本稿では、OpenIDがどのような課題を解決できるのかという基本的なところから振り返ります。 ユーザー認証の現状 OpenIDプロトコルを説明するために、まずユーザー認証の現状から振り返ってみましょう。 現在、多くのサービスが
OpenIDファーストプロトタイプを作ろう
サンプルコードを使って簡単なプロトタイプを作ろう これまで、OpenIDの背景や攻撃の種類や対処の仕組みについて簡単に見てきましたが、第4回では、サンプルコードを使って簡単なプロトタイプを作ってみましょう。 Web上でOpenIDの実装方法を紹介した記事を見つけることができますので、詳細はそちらを参考にしていただき、本連載ではサンプルコードを元にどれだけ簡単に試すことができるかを追及してみたいと思います。特に今回は、PR(ユーザーが利用したいサービス)の立場でYahoo!JapanのOpenIDを利用した認証システムを作ってみます。 なお、前提として先にYahoo!JapanのでOpenIDを登録しておきましょう。 サンプルコードをインストールする ライブラリは、一般的によく使われているPHP OpenID Libraryを使ってみます。以下のサイトから最新のライブラリをダウンロードしまし
悪意のある攻撃から身を守るには?
nonce:リプレイ攻撃に対する対処方法 第2回の最後で少し紹介しましたが、セキュリティーの大事な考え方の1つにnonce(ノンス)というものがあります。nonceとは、number used onceの略で、1回だけ使われる番号という意味です。ワンタイムトークンと呼ばれることもあります。 トークンというのは、文字の並びという意味で、セッションIDを使ったセッショントークンなどは、一般的な認証やフォームを使ったやりとりに幅広く利用されています。 ご存じのとおり、サーバーのリクエストは常にブラウザを使って人間が行うとは限りません。telnetを使ったり、プログラムを使うことによって、POSTやGETなどのHTTPリクエストができます。それは、悪意あるユーザーにとってみれば、強力な武器になり、例えば3秒ごとに認証を試みるといったことも、もちろん可能になります。 よって、セッションをベースとした
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
