こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
Everyone with a Roku TV or streaming device will eventually be forced to enable two-factor authentication after the company disclosed two separate incidents in which roughly 600,000 customers had their accounts accessed through credential stuffing. Credential stuffing is an attack in which usernames and passwords exposed in one leak are tried out against other accounts, typically using automated s
NECは3月22日、同社が提供する顔認証セキュリティソフト「NeoFace Monitor」の最新版「NeoFace Monitor V7.1」を発表、販売を開始した。ソフトウェア価格は1000円、ライセンス価格は1万4500円/台、保守パックが2600円/台だ(いずれも税別)。 今回のバージョンでは仮想デスクトップ環境への対応力を強化しており、従来サポートしていたMicrosoftリモートデスクトップに加えVMware Horizon/Citrix Virtual Apps and Desktopsの利用環境でも、手元のPCカメラを用いて仮想デスクトップOSへの顔認証ログインを利用可能となった。合わせてネットワーク通信上の認証データ軽量化を実現し、多数の利用者が同時接続する大規模環境などでの利便性を向上している。 セキュリティ運用機能も強化されており、利用環境に合わせたセキュリティ強度の
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。 その解決策が、2要素認証、すな
ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるところがあるのでなんとかしておくべきだったのかもしれない。— 👹秋田の猫🐱 (@ritou) 2024年2月1日 この表現、検索するとたくさん出てくるんです。 仕様策定の時期 OIDC Core 1.0にある "OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol." という記述の解釈 というあたりからこのような表現になっているのでしょう。 ただ、この前提でプロトコル自体を解説、理解しようとすると何かうまくいかないところがあるの
Amazon Cognito では、フェデレーション用に SAML 標準を使用するお客様向けに 3 つの機能を追加しました。お客様は Amazon Cognito ユーザープールを使用して署名付き SAML 認証リクエストを送信したり、SAML ID プロバイダーからの暗号化された応答を要求したり、SAML フェデレーションに ID プロバイダー開始シングルサインオン (SSO) を使用したりできます。 リクエストの署名と暗号化により、Amazon Cognito とサードパーティの SAML ID プロバイダー間の通信に新たな保護レイヤーが追加されます。また、ID プロバイダー開始 SSO を使用すると、アプリケーションビルダーは、すでに SAML ID プロバイダーにサインインしているユーザーからの SAML アサーションを受け入れるように Amazon Cognito ユーザープール
困っていた内容 Amazon MQ を使用するプロジェクトにおいてクライアント証明書による認証を実装したいのですが、クライアント証明書による認証がサポートされているかどうかを教えてください。 どう対応すればいいの? 本記事執筆時点では Amazon MQ でのクライアント証明書による認証はサポートされていません。 Currently, Amazon MQ doesn't support Client Certificate Authentication. AWS 公式ドキュメントより **注:**Amazon MQ は現在、相互 Transport Layer Security (TLS) (TLS) 認証をサポートしていません。 AWS ナレッジセンターより 現状の認証方式については上記のドキュメントなどをご確認ください。 また、今後のサポート状況についてはリリースノートもご確認ください
Azure Static Web Apps のプレビュー環境は、GitHub を利用した開発中に Pull Request を作成したタイミングで自動的にデプロイされるので、変更点の動作確認やレビューが行いやすくなる便利な機能なのですが、カスタム認証を使ったアプリケーションでは利用が難しいものでした。 カスタム認証を使うとプレビュー環境を使うのが難しい理由は、URL が別で発行されるので OpenID Connect のようにコールバック URL を登録する必要がある場合に、何らかの方法で登録する必要があるためです。 以下のドキュメントでも Microsoft Entra ID を使った認証では、/.auth/login/aad/callback というパスの絶対 URL を Entra ID 側に登録する必要があると記載されています。 実際に Entra ID でのログインを Stati
Cognitoを検討した理由 Googleなどのシングルサインオンを検討していた RDSをできるなら使いたくなかった ワンタイムパスワードなど丸投げしたかった 使わなくなった理由 ロックインされる ユーザーをRDSなどに移したいときに移すのがめんどくさい CognitoUIがダサいし意外と使うのがめんどくさい シングルサインオンのアクセストークンをそのまま使う方が楽 CLoudFormationで構築 下のテンプレートのcallbackとlogoutを正しいのに置き換えてデプロイします。 AWSTemplateFormatVersion: '2010-09-09' Parameters: ProjectName: Description: 'Name of the project' Type: String Default: 'myproject' Env: Description: 'E
はじめに 去年の「Digital Identity技術勉強会 #iddanceAdvent Calendar 2022」でも「認証と署名は何が違う? ~マイナンバーカードを例に~」として認証と署名の話をしました。実は今年も必要に迫られて認証と署名の整理をしてきてある程度まとまったかな…と言うことで今年も再び書かせてください!また署名業界では新たに電子シール(eシールとも呼ばれる非自然人/組織の電子証明書によるデジタル署名)の検討が進んでいます。なので署名も電子署名と電子シールに分けて整理をしてみます。年末の忙しい時期ですが楽しんでご笑読ください。認証と署名の整理についてはこれで最後にしたい…なぁw デジタルアイデンティティ さてまず認証と署名を比較するとはどういうことかを整理しましょう。認証…と言うよりも技術全体を示すのであれば最近はデジタルアイデンティティ(Digital Identit
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く