認証と認可の超サマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本
認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査をする前に、一瞥してこれから踏み込もうとしている領域の超俯瞰マップを作る」という感じで使うことを想定しています。 同じ様な方の役に立ったら、とても嬉しいです。 この本は筆者の理解に連動して追記修正される可能性があります。
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
SAML入門
【累計3500部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
Kyashでは9月からIDaaSであるOneLoginを導入しました。 導入から3ヶ月が経過し、現時点でほぼすべての社内認証をOneLoginに統一することが出来ました! 今回は、なぜOneLoginにしたのか、使い勝手等を含めお伝えできればと思います。 すごくヨイショしている記事になってしまったんですが、お金はもらってません!!!!!笑 www.onelogin.com 公式HPにも取り上げて頂き、ありがとうございます! 実は前職でもかなり使い込んでおり、OneLoginは思い入れのあるプロダクトです。 www.pentio.com 今回の導入に関しても、OneLogin 日本代表の福見さんと代理店であるペンティオさんにかなりのお力添えを頂きました。ありがとうございます! Kyash Advent Calendar 2019 day11 ということでKyash Advent Calend
GitHubの運用を「会社」にしていく話
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
こんにちは、2019年7月よりトレタにJOINした @aibou です。 本記事はトレタ Advent Calendar 2019の16日目の記事です。 趣味はNFL観戦とボルダリングです。NFLは今年11月にマイナス気温の屋外で現地観戦してきました。 最近リードクライミングの講習を受けまして、ガシガシと岩を登っております。 さて、今回はAWSアカウントとAWS SSOのお話をしようと思います。 既に社内エンジニアへの共有や社内WikiにAWS SSOの利用マニュアルを残していますが、経緯や変遷について記載していないので、トレタ社員の方にも読み物として読んでいただければなと思っています。 免責事項 本記事を参考に実施したことで発生した金銭・セキュリティ等あらゆる問題について責任を負いかねますので、自己責任のもと実施していただくよう、よろしくお願いいたします。 また、誤り等あればはてブ等でご
Google Cloud Identity Services昨日開催された「リーグオブ情シス #7」でも紹介されていた、Google Cloud Identity Freeを試してみます。 Google Cloud Identity Freeとはデバイス管理やディレクトリ管理、SAMLを利用したSSOなどGoogle Cloud Identityのほとんどの機能を無料で利用できるライセンス体系です。 閲覧だけに限って言えば、Google Driveの共有ドライブも利用することが可能です。 作成できるユーザー数は「50」までに制限され、プロビジョニングなどはできませんが、ユーザーの組織管理という観点においてはほとんどのことを十分にこなすことが可能です。 Google Workspaceを利用している場合は、同じ組織内にユーザーを共存させることも可能なので、小さな組織でパート・アルバイトの方な
なぜWebサービスの選定においてSAML/SSOが重要なのか
TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス活用推進ひいてはビジネスの加速に繋がる工数・コストを下げる為に導入するWebサービスにSAML/SSOは必須ログインをSAML/SSOに限定出来ることまでがマストWebサービス利用におけるセキュリティ面で一番重要なのがID周り個々のWebサービスのセキュリティ対策よりもID管理に特化したシステムに任せた方がよっぽどセキュア(餅は餅屋)Webサービス導入時には値が張ってもSAML/SSO出来るプランで契約するSAML/SSOが出来ないことによるデメリット(工数・コスト)の方が、SAML/SSOを有効にできるプランにアップグレードする費用に勝るB2BのWebサービスを提供する企業は全プランに
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
こんにちは、アルダグラムのSREエンジニアの okenak です 今回は AWS ClientVPN を導入したことで、社内の運用業務の効率化とセキュリティの強化を達成した事例を紹介したいと思います。 背景 2019年の段階では社員数が12名程度だったこともあり、社内システムのアクセス制御にAWSのセキュリティグループを利用してオフィスIPやリモート接続先IPを解放することで対応を行っておりました。 2023年には社員数が80名になっており、インバウンドルールが40を超えセキュリティグループが穴だらけという状態になっており、社員数増加に伴うIP制限更新作業による管理コストの増大とセキュリティ上のリスクが問題になってきたため、AWS ClientVPNを導入することに踏み切りました。 AWS ClientVPNについて VPNに関して他社のサービスとも比較しましたが以下の点が推しポイントでし
組織内でクラウドアプリケーションの導入が増え、 Azure AD で SSO することが増えました。感覚的には2021年比で数倍です。初めて設定した時は緊張しながら実施したものですが、数を積んでだいぶ慣れてきました。 依頼をもらって設定するのは、SAMLばかりです。そのSAMLをほかのメンバーでも対応できるようにしたいので、自分が説明するために流れをまとめてみました。アレコレ、端折ってますがご容赦を。 覚えておく サービスプロバイダ(SP):クラウドアプリケーション、SaaSのこと。IDプロバイダ(IdP):認証機能側。AzureADとか。 SP-Initiated:クラウドアプリケーションでログインしようとすると、IdPに飛んで、認可されたらクラウドアプリを開ける方法。入口はSP側にある。IdP-Initiated:IdPでログインしている状態で、指定のURLを開くと、クラウドアプリケー
こんにちは、Azure Identity サポート チームの 竜 です。 本記事は、2022 年 12 月 15 日に米国の Azure Active Directory Identity Blog で公開された End user passwordless utopia を意訳したものになります。 Azure と Azure Active Directory (Azure AD) で利用できる技術はたくさんありますが、全体像を把握し、それらがどのようにエンドユーザーのユーザー体験に作用するという全体像については見逃しがちです。 Azure AD で利用できる技術には以下があります: Azure AD 多要素認証 (MFA: multi-factor authentication) パスワードレス認証 条件付きアクセスおよび認証強度 デバイス登録 プライマリ更新トークン (PRT: Prim
AWSアカウント シングルサインオン構成のご紹介(電通デジタル自社開発部門 2020年上期版)|Dentsu Digital Tech Blog
電通デジタルでSite Reliability Engineer(SRE)をしている齋藤です。 先日(8/5)に7/22開催のAWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料が公開されました。 資料中では以下の内容を説明しています。 ・AWSではアカウントに個別のIAMユーザを作成してログインする代わりに、IDプロバイダ(IdP)を使用し、シングルサインオンができること ・シングルサインオンは組織に独自のID基盤がある場合や、複数のAWSアカウントを使用している場合に有効であること ・シングルサインオンの実現の方法にはいくつかパターンがあり、運用をふまえながら何を選択するのがよいかであること 弊社の自社開発部署もAWSをマルチアカウント構成-シングルサインオンで運用しています。今回はその事例を上記資料の選定パターンチャート
AWS SSOのコンソール画面を触ってると、「んん??どういうこっちゃ??♂️」みたいに混乱することありませんか?画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは?(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割
AWS + Azure ADによるSingle Sign-Onと複数AWSアカウント切り替えのしくみ作り - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、生産性向上チームの五十嵐(@ganta0087)です。 今回はAWSアカウントの管理についてのお話です。 AWSアカウントをみなさんの組織ではどのように管理されているでしょうか? シングルアカウントで運用していると、人やチームが増えて規模が大きくなってきたときに権限管理が中央集権的になり、管理者への負担が増大してしまいます。また、新規ユーザーの登録だけでなく、退職時の削除漏れにも注意が必要です。利用者側としても管理するパスワードが増えるのは避けたいです。 そこで、生産性向上チームではマルチアカウント構成によるシングルサインオン(以下SSO)とチームに委譲できる権限管理のしくみを作ることでこれらの問題を解決し、社内でAWSを活用しやすくなるようにしました。 サイボウズには社員のアカウント情報を管理しているActive Directory(Azure AD)があります。今回はそのA
AWS Startup ブログ G Suite アカウントを用いた AWS へのシングルサインオン 皆さん、こんにちは。Startup Solutions Architect の松田です。 今回はセキュリティのお話です。今日、お客様は AWS のマネジメントコンソールへのログインのセキィリティを強化するために、様々な選択肢をお選びいただくことが可能になっています。一部のお客様は IAM User の管理を楽にするために、外部サービスのアカウントを用いて AWS のマネジメントコンソールへのログインを行っております。 この手法がスタートアップにとって有用なセキュリティオプションとなる場合が多くあります。例えば、フリーランスのエンジニアやインターンなど人の出入りが激しいスタートアップにとって、アカウントを一元管理出来ることはセキュリティの向上に繋がります。あるいは非エンジニアの社員が Amaz
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
書いてってリクエストされたので、書きます 2020.07.29 神々からいろんなお知恵を授かったので一部修正しています 主な修正点はOIDCのグルーピングと権限周りについてです。こちらできないと書きましたが、OIDCのclaimとして存在しているのでSP側で対応していれば可能なようです。できるかどうかはSP(サービスの対応次第) 最初に言いたいこのnoteはSSOから始まり、SAMLとかIdPだとかOIDC・OAuthだとか最終的にはProvisioningまでと用語はたくさん出てきますが、技術的な部分はほぼ削ってます。そして、情シス目線でコンシューマーサービスを利用したい・制御したいという立場で書いてます。tCサービスではまた違う角度でみる必要があるので、気をつけてください。あくまでこれは情シス目線 Tech寄りの要素が知りたくなったら他で調べてみてください。このnoteは、認証認可って
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
偽の ID (識別子) のアンチパターン
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
AWS Client VPNでSAML認証がサポートされたのでAWS SSOで認証してみた - SMARTCAMP Engineer Blog
ボクシルのプロダクトマネージャーをしている笹原です。 今年頭からエンジニアではなくプロダクトマネージャーに業務内容をシフトしています。 しかし、エンジニアブログは技術ネタを書こうかと思い、表題の件をサクッと試してみました。 AWS Client VPNとは AWS Client VPNのクライアント認証とユーザー管理 AWS SSOとは AWS SSOでのカスタムSAML2.0アプリケーションの追加 SAML2.0認証を利用したAWS Client VPNエンドポイントの作成 実際に使ってみる まとめ AWS Client VPNとは AWS Client VPNとは、AWSが提供しているクライアントベースのマネージドVPNサービスです。 マネージドなVPNサービスということでリモートワークが増えた今年から利用も増えているのではないかと思います。 詳しく知りたい方は、以下の記事を御覧くださ
Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ | DevelopersIO
おうちプロジェクトでSlack,Trello,AWS,Githubなんかを使っているのですが、メンバーが数人にも関わらずアカウント管理がめんどくさくなってしまいました。経験がある人も多いかと思います。せっかくなんでシングルサインオン(SSO)試してみるか と思い、最近グイグイきているAuth0を試すことにしました。 Auth0 Auth0はWebサービス、モバイルアプリ、IoT、社内アプリケーションの為のソリューションです 弊社のパートナーで、導入のサポートなども行っております。興味のある方は下記をご参照ください。 クラスメソッド > パートナー > 次世代認証基盤サービス「Auth0」 シングルサインオン(SSO)ログイン 単一の資格情報を使ってアプリケーションにログインすることで、様々なアプリケーションに自動的にサインインします。 使用しているサービスやアプリケーションごとに資格情報を
[AWS Black Belt Online Seminar] AWSアカウント シングルサインオンの設計と運用 資料及び QA 公開 | Amazon Web Services
Amazon Web Services ブログ [AWS Black Belt Online Seminar] AWSアカウント シングルサインオンの設計と運用 資料及び QA 公開 先日 (2020/07/22) 開催しました AWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用 AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. AWS Single Sign-On (SSO) のアクセス権限セットですが、IAM ロールやグループ、ポリシーとは独立したものという認識で正しいですか?AWS
![[AWS Black Belt Online Seminar] AWSアカウント シングルサインオンの設計と運用 資料及び QA 公開 | Amazon Web Services](https://cdn-ak-scissors.b.st-hatena.com/image/square/7f0f3cedf1eb0a460b7a1b008cd9d323141da1ae/height=288;version=1;width=512/https%3A%2F%2Fd2908q01vomqb2.cloudfront.net%2Fb3f0c7f6bb763af1be91d9e74eabfeb199dc1f1f%2F2020%2F07%2F31%2FThumbnail-3.png)
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。教育現場を支援するクラウドサービス「Classi」を提供するClassi株式会社から大南氏が、「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」をテーマに話しました。 自己紹介とClassiについて 大南賢亮氏(以下、大南):Classi株式会社の大南です。本日は「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」というタイトルで発表します。 大南賢亮です。直近10年くらいはBtoCサービスを中心に、DBA、サーバーサイドエンジニア、SREを経験しています。Classiには、2019年5月にSREとしてジョインしました。ここ数年はインフラとセキュリティ領域を中心に業務を行っています。 まずClassiについて説明します。Classi
多要素認証の実装が簡単になるぞ!AWS Client VPN で SAML ベースのフェデレーション認証がサポートされました。 | DevelopersIO
多要素認証の実装が簡単になるぞ!AWS Client VPN で SAML ベースのフェデレーション認証がサポートされました。 先日のアップデートで AWS Client VPN で SAML 2.0 経由のフェデレーション認証がサポートされるようになりました。 AWS Client VPN で SAML 2.0 経由のフェデレーション認証のサポートを開始 記事を書いてたところ、島川の記事がすでにあがってることに気づきましたが、このまま進みます。Okta側の設定など島川の記事のほうが丁寧に記載されていますので、あわせてお読みください! 何がうれしいのか これまで AWS Client VPN では 「Active Directory 認証」およびクライアント証明書を利用する「相互認証」に限られていましたが、あらたに SAML 2.0 ベースの「フェデレーテッド認証」がサポートされました。こ
Skip to the content. Why does this exist? Single sign-on (SSO) is a mechanism for outsourcing the authentication for your website (or other product) to a third party identity provider, such as Google, Azure AD, Okta, PingFederate, etc. In this context, SSO refers to a SaaS or similar vendor allowing a business client to manage user accounts via the client’s own identity provider, without having to
Azure AD とエンタープライズ アプリケーションを SAML 連携する際のトラブルシュートのやり方について - Qiita
はじめに Azure AD にアプリケーションを登録し、SAML 連携することで、Azure AD ユーザーから SAML 連携したアプリケーションにシングル サインオンできるようになります。 また、ギャラリー内のエンタープライズ アプリケーションの場合は、下記 Microsoft 公開情報に、チュートリアルとして Azure AD 側、アプリケーション側それぞれの設定方法が画面ショット付きで記載されております。 -参考情報 SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル URL:https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/tutorial-list しかしながら実際にチュートリアルとおりに設定してもエラーが出てしまい、シングル サインオンに失敗
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 | DevelopersIO
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 一体いつからSwitch Roleの履歴が永続的に残るものだと錯覚していた。 というわけで錯覚していた同僚が履歴が消えたことに絶望していたので、 そうなる前に導入しておくと便利なAWS Extend Switch Rolesの紹介です。 Switch Roleってなんぞ? 以下のブログで一発なのでそれを引用したいと思います。 Switch Roleとは複数のAWSアカウントを持っている時にいちいちログアウト - ログインを繰り返さなくてもRoleを設定しておくだけで 簡単に別のアカウントにスイッチできる機能です 【小ネタ】複数のSwitch Roleでのクロスアカウントアクセスをブラウザのブックマークで管理する 弊社でもAWS環境を扱う際は基幹となる
最近、企業では、多くのクラウドサービスを利用しています。サービスプロバイダが提供するクラウドサービスは、それぞれ独自のユーザ名とパスワードによる認証があります。そのため、ユーザは多くのパスワードを使い分けなければなりません。このような状況の中、シングルサインオンの仕組みやソフトウェアが注目されています。サービスの中には、シングルサインオンの仕組みを利用して、IdPと呼ばれるIDプロバイダと連携できるものも出てきました。このIdPに利用できるソフトウェアとして注目されているのが、Keycloakです。ここでは、Keycloakの機能や特徴について解説します。 + 目次 Keycloakとは シングルサインオンと認証の仕組み Keycloakの特徴 多くのアプリケーションでSSOを実現 ソーシャル連携 アカウント管理システムとの連携 パスワードレス認証 Keycloakの認可方法 Keyclo
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。 2020.06.16 社内勉強会 はじめに この記事は株式会社digglueの新卒を含む社員向けの勉強会で利用した内容です。今回のテーマ「OAuth, SAML, OpenID Connect, SSOの違い」です。内容や表現の間違いなどがあるかもしれませんがご了承ください。 学習の目的 OAuthやActive Directoryなどのシングルサインオンの認証について理解を深めようとすると、SAML, OAuth, OpenID Connect, SSOなどの関連性のある用語が多く出てきて混乱します。今回はこれらの用語を比較し、認証についての理解を整理します。 SSO(シングルサインオンとは) 1度のログインにより複数のサービスはアクセスするための仕組みがSSOです。SAML, OAuth,
KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 Keycloakとは KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 Keycloak より詳細に知りたい方は、@ITの記事がわかりやすいので、こちらを御覧ください。 マイクロサービス時代のSSOを実現する「Keycloak」とは:Keycloak超入門(1) - @IT 構成図 こんな感じの構成をCloudFormationで作ります。Keycloakは、EC2上のDockerで動かします。 HTTPS接続できるようにするため、ALBをSSL終端にし
[アップデート]AWS SSOのMFAでMacbookのTouchID(指紋センサー)が使えるようになりました! | DevelopersIO
AWS SSOのMFAとして、MacbookのTouchID(指紋センサー)を使えるようになりました! 新機能 — AWS SSO 用の WebAuthn を使用した多要素認証 | Amazon Web Services ブログ AWS SSOのMFAがWebAuthNという仕様に対応し、MacbookのTouchIDがこの仕様に準拠していることで利用できるようになっているようですね。ですので、TouchIDに限らず、WebAuthNに対応する認証システムが色々利用できるようになりました。 やってみた(マネジメントコンソール) 今回は内部IDストアを利用したSSOにてやってみます。 MFAの設定 まずAdmin権限を持つユーザーで、Organizationのマネジメントアカウントにログインします。SSOのコンソールの左列メニューの一番下、「設定」をクリック。さらに「多要素認証」欄の設定ボタ
ビジネス推進本部 第1応用技術部 第1チーム 宮下 徹 はじめに 前回までの連載(Part 1 ~ Part 3)の番外編として、今回はSAMLについてお話をします。前回まではBoxとVMwareWorkspace ONE UEMを組み合わせることでパスワードを入力せずに、「簡単に、かつ、セキュアにログイン」できるところをご紹介いたしました。 今回のコラムのテーマであるSAMLは、この「簡単に、かつ、セキュアにログイン」の実態であるシングルサインオンで使われているプロトコルです。本連載で紹介している設定を行おうとすると、実際にはSAMLを使ってBoxとWorkspace ONEを連携させる必要があります。 連載インデックス SAMLとは それでは、SAMLとはどのようなものなのか。まずは基本的な情報からお話します。 SAMLはSecurity Assertion Markup Langua
RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts
RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts
TwitterのSSOログインはもう使わない方が良い
あまり見かけることが無くなりましたが、TwitterのログインにTwitterアプリを使うSSOというログイン方法があります。 ログインボタンを押すと、Twitterアプリが立ち上がりアカウントを選んで認証しアプリに戻ってくるという挙動をします。 このSSOは、元々TwitterのSDKであるtwitter-kitで実装されていました。 しかし、twitter-kitは2018年時点で非推奨になっておりそれと同時にドキュメントからもSSO方式のログイン方法が案内されることは無くなりました。 つまり、twitter-kitのSSOは利用者が一定いるからなのかtwitterの裁量で今も使えるだけで気まぐれに急に使えなくなることが起きうるわけです。 SSOを利用しているサービスは早急にTwitterのWeb経由のログインに対応した方が良いでしょう。 と、ここまで読んで「うちはtwitter-ki
Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2020 - Qiita
2020年になりすっかりなりを潜めていますが、DigitalIdentityに関する技術の勉強会である #iddance のアドカレやります。 参加条件は自由です。いわゆる認証認可と関連する技術、OAuth、OpenID Connect、FIDO、WebAuthn、DID、SSI、eyJ(JWT)、そしてSAMLとかに興味のある人、一緒に何か書きましょう!プロトコルや仕様に縛られずいろいろな話題が集まることを期待しています。 「書いてみたいけどお前やあの人の突っ込みが怖いんだわ」って時は事前のレビューもできますのでTwitterなどでご相談ください。 申し込んだけど穴空きそう!助けて!ってときもritouがなんとかしますので安心して参加してみてください。
この記事はSansan Advent Calendar 2018の7日の記事になります。 日本全国に役に立つ人が100名いるか、いないか解らないぐらいニッチなネタですが、ある日突然SAMLと戦う必要が出た人に捧げます。 というか自分がやって半年後に覚えてるか自信が無いので備忘録に残します。 自分が .NET での実装をしたので後半に .NET で実装してハマった部分など書いておきますが、前半はSAMLの説明なので他言語でも役に立つかもしれません。 そもそも SAML って何よ? Security Assertion Markup Language の略です。 これを見てもさっぱりですが、 XML関連の標準化団体OASIS(Organization for the Advancement of Structured Information Standards)がシングルサインオンやID連携に
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KyashがOneLoginを選んだ理由 - rela1470のブログ
入社後にAWSアカウントの整理とAWS SSOを導入した話 - トレタ開発者ブログ
完全無料のIDaaS!?Google Cloud Identity Freeを試してみる
IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
社内システムのIP制限更新作業が大変になってきたのでAWS ClientVPNを導入した話
SaaSをAzure ADでシングルサインオンを構成する流れをわかりやすくまとめてみた
Azure AD が提供するパスワードレスのユーザー体験
AWS SSOを図解してみた | DevelopersIO
G Suite アカウントを用いた AWS へのシングルサインオン | Amazon Web Services
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
情シスがなんで社内システムにIdPというかSAMLを導入した方がいいのか【一部訂正しました】|kobaso
BtoB SaaSにおけるIDaaSの選択が難しい
Automation of Terraform for AWS | メルカリエンジニアリング
AWS SSOでセキュアな管理とコスト削減 不正アクセス・サービス停止乗り越えたマルチアカウント対策
The SSO Wall of Shame
Keycloak〜SAMLにも対応したシングルサインオン〜 | OSSのデージーネット
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。
KeycloakをALB+EC2構成で構築してみた | DevelopersIO
便利なSaaSをもっと安全に使うには?(番外編:SAML解説) | ネットワンシステムズ
SAML2.0でのシングルサインオン実装と戦うあなたに(.NET編) - Qiita
blog.goo.ne.jp/kanemotoy
meisimetu.hatenablog.com
www.buzzfeed.com
www.seikatubunka.metro.tokyo.lg.jp
www.google.com
spice.eplus.jp