タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
マイクロサービスでの認証認可 - Qiita
複数のクラウドサービスを利用している(マルチクラウド)など、単純には閉域網を構築できない環境でマイクロサービスアーキテクチャを採用する場合には、サービス間の認証認可が必要となる。この場合のサービス間の認証認可方式を決める参考となる、OSSやSaaS、Webサービスで採用方式ついて整理した。 Istio サービスメッシュの実装として有名なIstioではサービス間通信を以下のように制御できる。 Istioの認証認可では認証主体がService Identityというモデルで抽象化され、KubernatesやIstioで定義するService Accountに加えて、GCP/AWSのIAMアカウントやオンプレミスの既存IDなどをService Identityとして扱うことができる。 サービス間の認証 (Peer Authentication) は、各サービス (Pod) に設置するSideca
マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT
OCHaCafe Season4 #4の資料です. デモのソースコード等はこちらをご参照ください.
元ネタ @localdisk さんの記事です。 こちらで概ね適切に説明されているものの,文章のみで図が無くて直感的に把握しづらいので,初心者にもすぐ飲み込ませられるように図に描き起こしてみました。 図 解説 illuminate/auth: 最小限の認証認可コアロジック コアコンポーネント群の laravel/framework に含まれているものです。 Socialite 以外のすべてのパッケージが,実質このコアに依存していることになります。 以下の記事でこのパッケージの詳細について説明しているので,ここでは端折って説明します。 伝統的 Cookie ベースのセッション認証 こちらでも解説している, 「Cookie に識別子を載せ,それに対応する情報はサーバ側のファイルに記録する」 という手法に近いものです。 実装は illuminate/session にあり, PHP ネイティブのセ
Nuxt.js+Firebaseの認証・認可を実装した雛形プロジェクトを公開しました - Qiita
この記事について NuxtとFirebaseを使って、これまでいくつかサービス開発をしていますが、認証/認可の実装はどのサービスでも毎回同じようなコードを書いている気がします。 サービスとしてのコア部分ではないですが、センシティブな部分なのでしっかりと調べながら実装すると結構大変ですよね(毎回時間がかかってしまいます)。 ここ最近のサービスはNuxt +Firebaseで開発することが多く、認証 / 認可のコードベースのTipsが貯まってきたので公開したら需要あったりするのかな? サンプルになりそうなプロジェクト見当たらないし、コアな部分ではないのであまり楽しくないし...。 雛形のプロジェクトとして需要あれば公開します👍 — フジワラユウタ | SlideLive▶️ (@Fujiyama_Yuta) June 7, 2020 自分だけではなく、いろんな人が同じような課題感を感じている
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - Keycloak - OpenID Connect / OAuth 2.0 - Java / Spring Boot
ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブログに書きます。 今日の内容ですが、初めにパスキーの概要についてざっと触れます。 続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。 概要からいきましょう。 パスキーの紹介記事もたくさん出ているので要点だけまとめます。 パスキーとは「パスワードが不要な認証方式」であり、それを支える仕様はFIDOアライアンスとW3Cにより策
Goの初心者から上級者までが1年間の学びを共有する勉強会、「GeekGig #1 ~Goと私の一年~」。ここで株式会社Showcase Gigの高橋氏が登壇。マイクロサービスセキュリティの難しい点と、認証認可の実施方法を紹介します。 自己紹介 高橋建太氏(以下:高橋):「認証認可とGo」について説明します。まず自己紹介です。現在Showcase GigのPlatformチームに所属しています。主に認証認可の機能を担当しています。高橋建太です。 週1回会社でGoの知見を共有したり、ドキュメントを読んだり、Goについてみんなで話す緩い勉強会を主催で開催しています。もし合同で勉強会やりたい方がいれば、気軽に連絡してください。ぜひやりましょう。 「O:der」について まず前提知識として、「O:derとは?」について、あらためて説明します。ちょっと内部寄りな説明となり、実際のものは若干スライドの図
社内勉強会での発表資料です。
インターネットやAIを駆使しながら、領域に捉われずにさらなる挑戦を行うDeNAの取り組みを紹介する「DeNA TechCon 2023」。ここで認証認可システムのリノベーションチームの岸直輝氏が登壇。Shift Leftの考え方を基に実践している静的解析や自動テスト、挙動の差分を自動で発見するための取り組みについて紹介します。全2回。前半は、開発において大事にしている「Shift Left」という考え方について。 認証認可システムのリノベーションチームに所属する岸直輝氏 岸直輝氏:それでは「リライトプロジェクトを安全・効率よく進めるための取り組み」というタイトルで発表いたします。よろしくお願いします。 初めに簡単に自己紹介したいと思います。名前は岸といいます。インターネット上では「p1ass」というIDで活動しています。DeNAには2021年に新卒で入社しました。現在は、認証認可システムの
サーバレスのバックエンド作成サービス「AWS Amplify」で認証認可機能付きのダッシュボードを作る
「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は「AWS Amplify」を使って認証認可機能付きのダッシュボードを作成します。 「AWS Amplify」とは Amplifyの公式サイトでは下記のように説明されています。 AWS Amplifyは、それぞれを連携させたり個別で使用したりできる、ツールとサービスのセットです。これらの機能により、フロントエンドウェブおよびモバイルのデベロッパーが、AWSによるスケーラブルなフルスタックアプリケーションをビルドできるようにします。Amplifyを使用するお客様は、数分の内にバックエンドを構成しアプリケーションと接続でき、また、静的なウェブアプリケーションのデプロイは数クリックだけで実行できます。さらに、AWSコンソールの外部でも、簡単にアプリケーションコンテンツの管理が
AWSではいろいろなサービスを組み合わせて情報を守る AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。 オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。 AWS(クラウド)の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー(ルートユーザー)でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため
freeeの礎となる認証認可基盤のマイクロサービス化プロジェクトの経緯と振り返り - freee Developers Hub
こんにちは、認証認可基盤・課金基盤のエンジニアリングマネージャーを務めている muraと申します。直近2年間は、今回お話しするfreeeの認証認可基盤のマイクロサービス化のプロジェクトにバックエンドエンジニア、エンジニアリングマネージャーとして携わってました。最近はfreeeが利用する課金基盤のエンジニアリングマネージャーも兼務するようになり、本格的にマネージャーの道を歩み始めたところになります。 本日は、私が2年間携わってきた「認証認可基盤のマイクロサービス化」のプロジェクトについてお話しします。このプロジェクトは私が入社するより前の2019年から進められてきたプロジェクトで、2022年6月末に移行に一区切りがついたものになります。プロジェクトの始まった経緯や実際の移行作業に加えて、4年間という長期間のプロジェクトへの振り返りについてお話させて頂ければと思います。 freeeの認証認可基
EKSでの認証認可 〜aws-iam-authenticatorとIRSAのしくみ〜 - もうずっといなかぐらし
こちらはAmazon EKS #1 Advent Calendar 2019 7日目の記事です。 EKSでIAM RoleをUserAccountに紐付けたり、ServiceAccountをIAM Roleに紐付けたりする際、AWSのドキュメントに従って設定してはいるものの、その設定によって実際にどんな処理が行われているかを具体的に知らない方も多いのではないでしょうか?(私も今回の記事のために調べるまではそうでした。) そこで今回の記事では、Kubernetesの認証認可の仕組みを解説したあと、AWSのIAMの認証情報をKubernetes内のUserAccountに紐付けるaws-iam-authenticatorの動作の仕組みとKubernetesのService AccountにIAM Roleを紐づける仕組みについて設定方法のレベルから一段掘り下げて実際の動作に焦点を当てながら説明
Cognitoと他の認証を協調させるような作り方はできるか 清水崇之氏(以下、清水):視聴者のみなさんから1つ質問がきています。「Cognitoと他の認証を協調させるような作り方はできますか」という質問について、いかがですか? 福井厚氏(以下、福井):はい。これもCognitoがフェデレーションの機能を持っています。例えばFacebookやGoogle ID、あとはSAM認証をサポートしているような他のIdPと連携させて認証することができるようになっています。そういう複合というか、組み合わせで認証させることも可能です。 清水:ありがとうございます。 中村航也氏(以下、中村):Deletion Policyの話に関係しますが、Cognitoのユーザー情報、DynamoDBに退避させておいて、いざという時に復旧できるようなアプローチがあるとしたら、そのDynamoDBはCognitoのスタック
認証/認可基盤PERMANの紹介 | CyberAgent Developers Blog
みなさま、こんにちは、こんばんはokzkと申します。 数年前にはAmebaの画像基盤でストレージを超ガンバッてた輩です。 今回は、内製の認証認可基盤のPERMANを紹介します。 PERMANって? Permission Managerからとって、PERMANです。 (藤子不二雄先生の漫画とは一切関係ないです) 簡単にいうと認証/認可基盤ですが、難しい言葉でいうと、Identity Governance & Administration(IGA)に分類されるシステムです。 ユーザサービス向けではなく社内向けのサービスとなっています。 具体的にはRBAC(Role Base Access Control)を志向していて、なんか色々対応しています。 整理せずに、ざっと例を上げると以下のようなカンジです。 SAML2(AWS, Google, AzureAD, Slack, GitHub, その他
【資料公開】PCI DSSの認証認可に関する要件とそのための実装を学ぶ勉強会をやりました(インフラ編) | DevelopersIO
中山(順)です 今回もPCI DSSに関する勉強会の続きです。 【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) 今回はその続きとして、認証認可をテーマに勉強会を実施しました。 参加メンバーは引き続き弊社AWS事業本部コンサルティング部のメンバー + とあるQSAの皆様です。 IAMによるデータへのアクセス制御については、弊社臼田が担当しました。 【資料公開】PCI DSSにおけるIAMデータアクセス 私はAWSのレイヤーにおける認証
【書き起こし】メルペイチームが考える「ゼロトラスト」をベースとした認証・認可の在り方と課題 #merpay_techtalk | メルカリエンジニアリング
【書き起こし】メルペイチームが考える「ゼロトラスト」をベースとした認証・認可の在り方と課題 #merpay_techtalk 2021年11月5日に、メルペイ・メルコインのエンジニアたちによる「Tech Talk 〜 ゼロトラストをベースとした安定的なシステム稼働の取り組み〜」を開催しました。 現在のメルペイサービスにおける認証・認可の仕組みや、セキュリティ対策に欠かせない「ゼロトラスト」と認証・認可の関係、それらを踏まえたメルカリグループの現状と課題をご紹介します アーカイブはこちら! https://www.youtube.com/watch?v=gXxd75iBXzE 登壇者紹介 竹井 悠人(@yuto)/ 株式会社メルコイン Securityチーム Manager スタートアップを渡り歩いてきたソフトウェア エンジニア。2016年に暗号資産交換業者 (取引所) に入社して以後、最高
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
EKSクラスターへ「kubectl」コマンドでアクセスする際の認証・認可の仕組みと設定 | DevelopersIO
上記のデフォルトロールに当てはまらないアクセス権限を定義したい場合は、新たなロールを定義することになります。 例えば、ポッドの参照のみ行えるアクセス権限は、以下のロールで定義できます。 pod-reader-clusterrole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] $ kubectl apply -f pod-reader.yaml clusterrole.rbac.authorization.k8s.io/pod-reader created ただし、実際には「ポッドの参照のみ」のアクセス権
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR] WebサービスやSaaS(Software as a Service)の開発において、認証や認可における脆弱性が発覚した場合、その深刻度は大きいことが多く対策は必須です。 言うまでもなく、どんなに素晴らしい機能が提供されていたとしても、脆弱性を突かれて情報漏洩やデータ破壊などを起こしてしまえば、ソフトウェアで提供される価値が地に落ちてしまうからです。 認証と認可の脆弱性は全体の3割以上にも セキュリティスタートアップとして多くのSaaS開発企業などにセキュリティ診断(脆弱性診断)を提供しているFlatt Security社は、同社が2022年の1月から1年強の間にBtoB SaaSを対象として検出した脆弱性を集計すると、ソフトウェアのロジックや仕様に起因するものが非常
![WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a17c829e4653c973c5ecf17b68fb4192034d2926/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fflattsecuritypr0105b.png)
The Qiita Advent Calendar 2019 is supported by the following companies, organizations, and services.
認証・認可はどんな種類のアプリケーションにも求められる機能だ。一方で、技術仕様が複雑で実装が困難な領域でもある。「仕様の調査に膨大な時間がかかった」「認証の実装方法に不備があり、アプリケーションに脆弱性を作ってしまった」といった経験を持つエンジニアは少なくないだろう。そうした課題を解決してくれるのが、Auth0株式会社が提供する認証・認可のプラットフォームである。多種多様な機能を有する同社のライブラリは、わずか数行のコードを記述するだけで利用可能だというから驚きだ。同社ソリューションズエンジニアの山口央氏が、Auth0のサービスを用いて認証・認可の課題を解決する方法を解説した。 講演資料:ソフトウェア開発における認証・認可の位置付けと課題、現実解を探るアプローチ Auth0株式会社 ソリューションズエンジニア 山口央氏 認証・認可を外部サービスでまかなうことの利点 現代は、数多くのアプリケ
【レポート】Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ | DevelopersIO
本記事は、2019年8月21日に行われたmerpay社の主催するイベント、「Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~」の参加レポートです。 Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ レポート セッションの概要 メルペイ社の認証基盤チームの担当している 外部向けに提供しているOIDCなどの認可の仕組み 内部のマイクロサービス間通信の認証の仕組み のうち、後者についてのお話を聞いてきました。セッションのスライドはこちらで公開されています。 チームがやっていること 認証基盤チームではユーザーアカウント管理とかログインはやってない 従業員の管理とかはやってない セキュリティについてはセキュリティチームと相談しながらやっている それ以外の認証認可を認証基盤チームがやっている 現状のアーキテクチャ
この記事について Webアプリのアクセス制御を行いたい!となったときに学ぶべきなのは認証・認可の仕組みです。 AWSにはAmazon Cognitoというユーザー管理を行うための仕組みが存在し、これを利用すれば「実装するだけなら」簡単にアプリのアクセス制御を行うことができます。 この記事では「Cognitoが実際に何をやってくれているのか?」というところまで掘り下げながら、簡単なReactアプリを作っていきます。 アジェンダ Cognitoのユーザープールを作って触ってみる Reactアプリに認証の仕組みを入れてみる Cognitoで認証済みの人だけが叩けるAPIをLambda + API Gatewayで作る CognitoのIDプールを作り、AWSでの認可の仕組みを学ぶ Cognito IDプールで認可された人だけが叩けるAPIをLambda + API Gatewayで作る 使用する
この記事は Retty Advent Calendar 2020 10日目の記事です。 adventar.org はじめに こんばんは、最近趣味でサックス🎷 を習い始めたエンジニアの櫻井です。 ServiceMeshの話題が出てからだいぶ経ちますがそろそろ自分でも触っておきたいなと思いServiceMeshを実現するツールの1つであるIstioにチャレンジしてみました。 今回はIstioの公式サンプルであるBookinfo ApplicationにJWT(JSON Web Token)による認証・認可を入れてみます。 この認証と認可については色々調べてみたものの、あんまり参考記事を見つけることができなかったので少々梃子摺りました。(なお本記事についてはService MeshやIstioについての詳しい説明は割愛しているため、まずそれらがなんぞや?という場合にはリンクの記事を読むことをオ
はじめに Amplifyを利用してアプリケーションを作る場合、Cognito User Pool/Cognito Identity Pool(Cognito Federated Identities)を利用してAPI GatewayでAuthorizationする方法が暗黙裡にデフォルトになっているように見えます。 よく使われるであろうと思われる割には、その仕組みについての説明があまり見当たらなかったので解説記事を書こうとしましたが、前提となる事項があまりにも多いことが分かったので、個別の記事として分離しました。 本稿では、AccessKeyIdやSecretAccessKeyの使われ方、AWS APIにおけるSignature V4の仕組みなどについて解説します。 API GatewayのAuthorization方式として「AWS_IAM」という項目を選択できますが、本稿の内容を理解す
ビジネスブロックチェーンExpoは、ブロックチェーン技術を活用した産業課題解決・支援やビジネス創出を目指す国内外の企業を紹介するイベントです。その中で、スマートロックで有名なビットキーのVPoEである山本寛司氏が、ビットキーが目指すミッションについて紹介しました。 テクノロジーの力であらゆるものを安全で便利に気持ちよくつなぐ 山本寛司氏:ビットキーの山本と申します。本日はブロックチェーンの課題感とID権利、取引を管理する分散合意プラットフォームでの挑戦について、みなさまと共有できればと思っています。よろしくお願いいたします。 私はビットキーでVP of Engineering、いわゆるVPoEをやっています。CTOのようなイメージをもってもらえればいいかなと思います。 簡単にですが、私の経歴を紹介させてください。もともとエンジニアの道は歩いておらず、ロースクールを卒業して、縁があって前職は
Amazon Elasticsearch Service の認証・認可に関する面倒くさい仕様をなるべくわかりやすく説明する - 無印吉澤
はじめに 最近、仕事で Amazon Elasticsearch Service(以下、Amazon ES)を本格的に使う機会があって、認証周りの仕様で苦労させられました。 Elasticsearch を本格的に使う人は、自分で Elasticsearch クラスタを立てたり、Elastic Cloud を使ったりしてしまうからか、Amazon ES 周りの情報は意外と見つかりませんでした。せっかくなので、今回の記事では、自分が Amazon ES を使うにあたって調べた情報をまとめてみます。 はじめに いろいろな Elasticsearch Amazon ES の基本 Amazon ES が提供する認証・認可 パブリックアクセスの場合 VPC アクセスの場合 IP アドレス以外の認証・認可方法は AWS 署名しかない Elasticsearch API へのリクエストを AWS 署名する
サーバーレスアーキテクチャにおけるセキュリティの2つの質問 清水崇之氏(以下、清水):では3つ目の相談にいきたいと思います。いただいた質問・相談が「サーバーレスアーキテクチャにおけるセキュリティについて」という非常にざっくりしたものになっているんですが、今回はサーバーレスのセキュリティというテーマなので、AWSの考えるサーバーレスのセキュリティについてまずはお話ししようと思います。 下川賢介氏(以下、下川):(スライドを示して)「AWS Lambda/責任共有モデル」とタイトルに書いてありますが、実はこの前にEC2とかVMベースの責任共有モデルも公開されています。それと見比べてもらうと、黄色のAWSが管理している範囲がLambdaの場合は多くなっています。 例えばプラットフォームの管理とか、オペレーティングシステムやネットワークの設定の管理、そういった黄色で着色されている部分は、AWSのマ
長い話を抜きにして、早くコードを書きたいという人は1. はじめにを飛ばしてください。 Spring初学者は2. プロジェクトの作成から、 簡易な認証・認可機能を実装したい人は3. 簡易な認証・認可機能の実装から、 実業務向けの認証・認可機能を実装したい人は4. 実業務向け認証・認可機能の実装から読み始めると良いと思います。 1. はじめに 1-1. 背景 まず最初に、認証・認可について説明します。簡単に説明すると、以下のようになります。(詳しく知りたい人への参考ページ:よくわかる認証と認可) 認証 (Authentication) 通信相手が誰であるかを確認すること。 認可 (Authorization) 画面にアクセスする権限や処理を行う権限など特定の条件に対して、リソースアクセスの権限を与えること。 この認証・認可の機能をSpring Frameworkで作成されたWebアプリケーショ
2023年3月6日紙版発売 2023年3月6日電子版発売 大竹章裕,瀬戸口聡,庄司勝哉,光成滋生,谷口元紀,くつなりょうすけ,栃沢直樹,渥美淳一,宮川晃一,富士榮尚寛,川﨑貴彦 著 B5判/160ページ 定価2,178円(本体1,980円+税10%) ISBN 978-4-297-13354-2 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 本書は,Webシステムのセキュリティを支える技術を幅広く解説します。具体的には,公開鍵暗号,共通鍵暗号,ディジタル証明書,電子署名,認証・認可などの基礎技術の用語や理論の説明から,それらを応用したSSL/TLS,SSH,OAu
EKSの認証・認可の仕組み解説
EKS の認証・認可では AWS の IAM 認証 と Kubernetes の認証という2つの要素が登場するため 少し分かりづらいものになっています。 この記事ではEKSの認証・認可について解説します。 EKSで認証・認可では次の2つの仕組みが存在します。 ConfigMap aws-auth IAM Roles for Service Accounts (IRSA) それでは見ていきましょう。 aws-auth 最初はaws-authです。 aws-authはIAMエンティティに対して, Kubernetesの権限を付与するための設定(ConfigMap)です。 次のような場合に利用します。 管理者や開発者がkubectlを使ってEKSクラスタにアクセスする Code Build等のCIサービスからEKSクラスタにデプロイする EKSのコンソールにpod等のKubernetesワークロ
GraphQL/REST における Authorization, Authentication について。 https://www.prisma.io/tutorials/graphql-rest-authentication-authorization-basics-ct20/ REST API Authentication (認証) Authentication には JWT を利用する。JWT を生成するコードは、以下のようになる。読み込み権限を与えることを示す "read-post" を claim として保持させ、暗号化には HS256 を利用し、この暗号化時のシークレットキーとして "secret" という文字列を利用する。 code:js import * as jwt from "jsonwebtoken"; const token = jwt.sign({ claims:
SaaS on AWS における認証認可の実装パターンとは ? ~SaaS on AWS を成功に導くためのポイントとは 第 4 回~ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、パートナーソリューションアーキテクトの櫻谷です。 SaaS on AWS の連載第 4 回目、今回のテーマは「認証・認可」です。前回、前々回の 2 回にわたって、テナント分離のお話をしてきましたが、その中でテナント分離を行う目的に関してこんな記載がありました。 認証とは、その操作を行なっている人が「誰」であるか、確かにその本人であるということを証明するための仕組みです。(中略) 認可については 2 つのスコープに分けることができます。特定のテナント内の認可と、複数テナントをまたがったクロステナントでの認可です。 SaaS には「テナント」という概念があります。そのため、アクセスしてきているユーザーが誰であるかということに加えて、そのユーザーはどのテナントに所属しているのか、という点を検証することが重要になります。では、この情報はどこに保存し、どのように検証するのが適切でしょうか
ユーザーがログインして使うサービスにおいて認証・認可の仕組みを実装する際、セキュリティの観点を考慮して設計をする必要があります。設計に時間が掛かり、サービスの本質部分を開発する時間が十分に取れないこともあります。 自社開発プロダクト「SEARCH WRITE」でもログイン機能や管理機能を実装していますが、一から作る代わりに Auth0というIDaaSを導入し、セキュアな認証・認可の仕組みを比較的簡単に組み込むことで、サービス本来の価値づくりに集中できました。本番環境で1年以上運用してみた経験に基づき、Auth0のメリット・デメリット、そして導入する際の失敗談を紹介します。 Auth0とはWebアプリやモバイルアプリ、WebAPIなどに対して認証・認可の機能を提供するIDaaS(Identity as a Service)です。 IDaaSとはクラウド経由でログイン情報管理・シングルサインオ
【Spring】Spring Securityを使ってWeb APIの認証、認可を行う | SEのプログラミングと英語の勉強ブログ
やりたいこと Spring MVCの@RestControllerを使って作成したWeb APIに対する認証、認可をリクエスト中のAuthorizationヘッダの値で行います。この認可はリクエストごとに行います。 実装方法の概要 実装方法の概要は以下の様になります。 リクエスト中のAuthorizationヘッダの値によって認証、認可処理を行うためのフィルター、サービスを作成する Spring Securityでリクエストごとに認可処理を行うためにセッションを使用しないよう設定する。 @RestConrollerを付けたクラスのメソッドに必要な権限を持っているかをチェックするために@PreAuthorize(“hasAuthority('権限名’)")のように@PreAuthorizeアノテーションをつける 以下の環境で動作確認しています。 Java 11 Spring Boot 2.3
こちらのイベントで"マイクロサービスにおける認証認可基盤" について話しました。 mercari.connpass.com 内部通信の認証ということで、なかなか外に出せない技術的なテーマかと思いますが、今回アウトプットする機会があったのでアウトプットしました。 発表資料はこちらです。 speakerdeck.com メルペイ認証基盤チームに興味のある方は以下の記事が参考になるかと思います。 興味があれば是非お話だけでも聞きに来てください。 www.pospome.work
こんにちは。株式会社SHIFT DAAE部の栗山です。 今日はAWS Cognitoを「裏側」の認証・認可サーバーとして使用するためのAPIを紹介します。 CognitoにはHosted UIというログイン画面が組み込まれており、これを使用すると認証処理を実装したり、そのための画面を作成する必要はありません。パスコード認証画面も、SNS認証画面もすべてCognitoが用意してくれます。 しかしながら、このHosted UIはデザインの自由度が低く、とくに一般顧客向けのシステムでは利用するのはなかなか難しいと思います。そこで今回はHosted UIを使用せず、Cognitoに対してAPIサーバからアクセスするようにして、Cognitoの各種認証機能を使用するためのAPIを紹介したいと思います。 ※タイトルの「裏側」というのは、ユーザーが直接Cognitoにアクセスする構成ではなく、Cogni
認証認可調査研究事業一式 報告書(令和2年9月)
医療福祉分野におけるITとデータ利活用の推進状況及び直近の認証認可技術の進展を踏まえ、近年普及が進んでいる認証・認可の技術規格であるOpenID及びFIDOを中心に調査研究を行い、その報告書がまとまりましたので、公表いたします。 1検討の背景 厚生労働省では、認証認可に係る事業として、「医療等分野のネットワーク接続の機関認証に関する調査・研究」(2017 年度)および「利用者認証に関する調査研究」(2018 年度)を実施している。 「利用者認証に関する調査研究」(2018 年度)の調査研究の結果、提供されるサービスの内容や利用場所、利用者の属性、閲覧される(保護すべき)情報の機微性などによって異なる認証方式を用いる必要があることが整理された。また、それらすべての認証方式を提供するために、ユーザ/管理者画面・認証API・FIDOサーバ・認証局(OpenID)・HPKI/JPKI/外部ID
IDENTICONS – 認証・認可アーキテクチャを描くためのAuth0公式アイコン集 #Auth0JP | DevelopersIO
Auth0のアーキテクチャ作成用のアイコン Auth0のブログなどを見ていると、Auth0を利用したシステムアーキテクチャの図におしゃれなアイコンが使われていることに気が付きます。 「このアイコンを使ってアーキテクチャ図を描いてみたいな」と思い、Auth0 Japanに聞いてみたところ 一般公開されている とのことでした。2019年6月に公開されたようです。 Introducing Identicons.dev - Royalty-free, free Identity icons IDENTICONS 「IDENTICONS」というサイトからPNG/SVG形式でダウンロードできます! IDENTICONS ロイヤリティフリー、スライドやドキュメントなどに自由に使用して良いとのことです。 LIGHT, DARKの2パターンが利用可能 白地のドキュメント用の「LIGHT」、黒地のドキュメント
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Laravel の認証・認可パッケージが多すぎてわけわからんので図にまとめた - Qiita
認証・認可基盤に Keycloak を使って開発生産性を上げた話
PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife
マイクロサービスセキュリティの「7つの難しさ」とその対応策 Open ID ConnectとSDKの実装で認証認可の安全性を担保
認証認可の情報の追い方みたいな(2020/01/10 FFTT#381)
35万行以上のコードで作られたPerlの認証認可基盤をJavaで刷新 “安全かつ効率のよい”改修に必要な「Shift Left」という考え方
AWS IAMとは何か?クラウドで重要な認証・認可の基礎を理解する
「Cognitoと他の認証は協調できる?」「環境を分けた場合の振り分けは?」 AWSソリューションアーキテクトが回答する認証・認可のQ&A
コンシューマ向けサービスで使われている 認証認可仕様とデジタル署名 / saloff1-ritou
認証認可技術のカレンダー | Advent Calendar 2019 - Qiita
開発者はコアな機能の実装に集中できる! Auth0が提供する認証・認可の最適解【デブサミ2019夏】
Cognitoで学ぶ認証・認可 in AWS - Qiita
IstioとAuth0で認証・認可を体験してみた - Retty Tech Blog
【AWS】AWS APIの認証・認可の仕組みを理解する【Signature V4】 - Qiita
あらゆるモノが安全につながれば世界は変わる ビットキーの認証認可プラットフォームが目指すシームレスにつながる社会
Cognito×API Gatewayで認証・認可を実現 ロール管理と不正なアクセスを防止するアーキテクチャ
新人社員がSpring Securityで認証・認可機能を一から作ってみた - Qiita
今さら聞けない暗号技術&認証・認可 ―Web系エンジニア必須のセキュリティ基礎力をUP
GraphQL/REST における認証/認可 - tasuwo-graphql
認証・認可を自前実装しないためのAuth0導入 〜NTPの苦き思ひ出を添えて〜 | 株式会社PLAN-B
"マイクロサービスにおける認証認可基盤" について話しました - pospomeのプログラミング日記
Cognitoを裏側の認証・認可サーバーとして使用するためのAPI紹介|SHIFT Group 技術ブログ
mugimaru211201.hatenablog.com
letsenjoyhappylife.hatenablog.com
www.unseionline.com
jzx90v-teketeke.hatenablog.com
mainichi.jp
mainichi.jp