はじめに こんにちは、Identityチームのすかんくです。最近フロランタンが好きということを自覚しました。 今回は小ネタとして、Microsoft EntraでSAMLを構成する際にちょっと便利なRegexReplace関数についてお届けしたいと思います。 こんなシナリオ EntraのUPNとSAML連携対象アプリで利用しているIDが異なる NameIDの不一致 Entra上にUPN以外で当該NameIDと一致する完全一致する属性は無いが、ローカルパートは共通 Entra:xxx@example.com アプリ:xxx@example.net クレーム要求時にEntra側のドメインをアプリ側のドメインに捻じ曲げて処理したい → RegexReplace関数でSAMLトークンのクレームをカスタマイズしよう!という話。 手順 Microsoft Entra 管理センター(https://en
OAuthのクライアントタイプ 2種類のクライアントタイプが定義されています。 コンフィデンシャルクライアント クレデンシャルをセキュアに保持できる、サーバーサイドに設置されるWebアプリケーションが想定されています。 パブリッククライアント ブラウザ上で動作するJavaScriptアプリが想定されています。 クレデンシャルをセキュアに保持するのが困難なため、クレデンシャルを持たず、クライアント認証も行われません(ユーザーの認証認可は行えます)。 コンフィデンシャルクライアントよりもセキュリティーレベルが下がります。 本記事で行うこと クレデンシャルは、OAuthではクライアントシークレットと呼ばれており、本記事では以後client_secretと表記します。ブラウザ側にclient_secretを持たせてはいけません。 client_secretをサーバーサイドにセキュアに保持できる前提
Single-Sign On Users authenticate with Keycloak rather than individual applications. This means that your applications don't have to deal with login forms, authenticating users, and storing users. Once logged-in to Keycloak, users don't have to login again to access a different application. This also applies to logout. Keycloak provides single-sign out, which means users only have to logout once t
やりたいこと AzureADの認証基盤を使って汎用アプリのシングルサインオン(SSO認証)を実現する シングルサインアウトボタンの実装 localhostから認証ページに飛ぶ 環境 Windows 11 node v16.17.0 手順 AzureADへのアプリケーション登録 アプリの作成 実装 1. AzureADへのアプリケーション登録 AzureADのホームページにサインインして、トップメニューの設定よりアプリケーションを登録するテナント/ディレクトリに切り替える エンタープライズアプリケーション を検索する 新しいアプリケーション > 独自のアプリケーションの作成 > アプリケーションの 名前 を入力 > 作成の順に作成する。 SSO認証の設定 シングルサインオン > SAML > 基本的な SAML 構成 の順に選択し、識別子を追加し、応答URLにhttp://localhost
出てくるサービス Perforce Helix Core (Core サーバ, p4d) Helix Authentication Service (HAS) Azure AD 作るもの AWS 環境に HAS, p4d を起動する ※1 HAS の HTTPS 通信のために ALB を配置する HAS と Azure AD を連携させる p4d に authentication-extension を導入する ※1 図上は HAS と p4d を別インスタンスで書いているが、同一インスタンスでも問題ない 準備 Azure AD の利用環境 Helix Core サーバ(p4d)は動いているものとする HAS のドメインを決める ここでは https://my-has-svc.example.com を使うものとする。以降読み替えてください AWS 環境 ALB Ubuntu 20.04
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 SAML環境のテストのために、SimpleSAMLphpを使って簡易IdP / SPをセットアップしました。SAML環境に関しては引き続き連載致します。今回は「SimpleSAMLphpを用いたIdPのセットアップ」を纏めます。 1. Webサーバ(Apache)+PHPの作成まず、CentOS 7を使ってWebサーバ+PHP(PHP 7.3以上)が動く状況を作成します。以下、特に注釈がない場合にはrootで作業します。 CentOS 7上でApacheをインストールします。通常は最小限のパッケージにしたいため、関連する必要なパッケージをそれぞれyumを用いてインストールしますが、ここではIdPのインストールにフォーカスしたいため、思い切って下記の様に「yum group install」で”Basic Web
パスワード認証とは、ユーザーのログイン名とパスワードを使って認証する方法です。 パスワード認証では、リクエストヘッダーに「X-Cybozu-Authorization」ヘッダーを指定します。 ヘッダーの値はログイン名:パスワードをBase64エンコードした値です。 たとえば、ログイン名が「Administrator」でパスワードが「cybozu」の場合、リクエストヘッダーには次の値を指定します。
Zabbix5.0がSAML対応したので、構築してみたメモ SAML周りは初めてやってみましたが、結構簡単にできました。 ただPHPやApacheのバージョンによってはログアウトできなくなるという症状にみまわれたので、そのあたりもトラブルシューティングしてます。 用意するものZabbix5.0以上(SSL化しておいてください) Azure ADのテナントというかAzureのサブスクリプション 実験環境zabbix_server 5.0.2 PHP 7.2.24 Apache 2.4.37 CentOS Linux release 8.2.2004 Azure Active Directoryでのエンタープライズアプリケーションの登録1.AzureAD→エンタープライズアプリケーション→新しいアプリケーションをクリックしてギャラリー以外のアプリケーションを開きます。 2.独自のアプリケーショ
この記事では、Pulse Secure PCS と Microsoft Entra ID を統合する方法について説明します。 Pulse Secure PCS を Microsoft Entra ID を統合すると、次のことができます。 Pulse Secure PCS にアクセスできるユーザーを Microsoft Entra ID で制御します。 ユーザーが自分の Microsoft Entra アカウントを使って Pulse Secure PCS に自動的にサインインできるようにする。 1 つの中央の場所でアカウントを管理します。 [前提条件] この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。 アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
はじめに Microsoft365 の AzureAD を使って業務関連のシステムの SSO 化を進めており、redmine もサクッと行けるだろうと思ったら結構ハマったので、自分のメモ & 誰かの役に立てば、と書いてみました。 なお今回の検証にあたっては @kaihei777 さんのこちらの記事 にとても助けていただいたので、お礼を兼ねてタイトルも真似させていただきました。大変助かりました m(__)m。 2024/1/4 追記: コメント欄に書きましたが Redmine 5.0 以降は chrodriguez/redmine_omniauth_saml を fork した davintoo/redmine_omniauth_saml を使う必要があるようです。とりあえず検証環境では動いた、という程度で私も未だ十分に確認できていませんが… 検証したプラグイン 「Redmine SSO A
情シス担当の内です。 総務省やIPAの「企業・組織の情報セキュリティ対策」ページでは以下のように書いてあります https://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/business/admin03.htm 複数のサービス間で同じパスワード使い回さないこと、同一のパスワードを長期間使い続けることは避けなければなりません。ユーザーには定期的にパスワードを変更するように指導しましょう。また定期的な変更といっても、2つか3つのパスワードをあらかじめ決めて、使いまわすのも避けるように指導した方が良いでしょう。パスワードをWebブラウザなどのソフトウェアに記憶させないこと IT業界で働く人にとっては百以上のシステムを利用してID/パスワードを管理することは、珍しく無いと思います。パスワードを管理するのってものすごい記憶力を
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
id認証サーバは統合しといたほうがアカウントの管理が楽だよねという意見がありましてやってみました。 やってみて苦しんだのちにサポート問い合わせして教えていただいて成功したので軽くメモっておきます。 ###ライセンスの件 はじめに確認するポイントですが、この連携設定についてはAzureAD Premium(P1)ライセンスが必須です。 ライセンスがないとグループと登録されたアプリケーションを紐づけることが不可能です。 作成したグループに対してライセンスを有効化する必要があります。今回は評価版を用いました。 ※ユーザ毎に¥600~900程と表示されてました(2017/8時点) 試用期間を超過するとそのまま使えなくなるようで契約が要るようです。 ###参考サイト: https://www.cloudbees.com/blog/securing-jenkins-role-based-access-
今回は、JekinsとのSAML認証でのシングルサイン設定を行ってみようと思います。 Jenkinsのプラグインマネージャを検索するとSAML プラグインがありますので、このプラグインを使用しSeciossLinkとの連携を行います。 Jenkins側の設定手順 JenkinsでSAMLプラグインのインストール プラグインマネージャーの利用可能タブで、「SAML」を検索すると以下画像のようにSAMLプラグインが表示されますので、「ダウンロードして再起動後にインストール」ボタンよりインストールを行います。 画像はインストール後のものです。 JenkinsでSAML2.0の有効化 ダッシュボードのグローバルセキュリティの設定を開き、ユーザー情報から、SAML2.0を選択します。 設定項目がいろいろありますが、以下のように設定していきます。
シンジです。社内インフラを見直してみると、Active Directoryの闇に加えて、パスワードポリシーを含むGPOの地獄に絶望する管理者は多いと思います。シングルサインオンの技術を使って、なるべくシンプルにそして簡素化しつつもセキュアな構成にしようと試みます。今回はそれら全てをすっ飛ばして、そもそもActive Directoryを使わずに、Windows端末のパスワードも抹殺して、シングルサインオンを実現したというお話です。 概要 通常だとユーザーが利用するパスワードは、基本的には端末のローカルに存在するか、Active Directoryなどのディレクトリサービスに保管されてて、それらを利用します。最近だとDirectory as a Serviceと言われるものを利用して、SaaSを利用するケースもあります。ちなみに有名どころはJumpCloudです。これほんと便利。でもエージェ
SAMLにチャレンジする理由 ここに来て、大手や新興ベンダーから続々とSASE関連のソリューションがリリースされています。オンプレ型のネットワークセキュリティの移行が少しずつ準備が整ってきている雰囲気を感じるこの頃です。 さて、今回はSAMLがテーマです。 SAMLを使ったことのない人はおそらくいないと思います。多くのクラウドシステムではSSO(シングルサインオン)で利用されているので、仕組みがわからなくてもユーザーとして利用しているはずです。 ただ実際にネットワーク機器へSAMLを実装するケースはそれほど機会は多くないと思います。今でも多くの環境ではローカル(RadiusやAD/LDAP)を活用するケースが多いというのも事実です。 SASE(ZTNAやSWGなど)の登場によってユーザー認証の実現については少し見直しが必要かもしれません。SASE製品では、従来のローカルDBとは連携せず、S
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く