Future Tech Blog
フューチャー技術ブログ

認証認可 カテゴリの記事

  • 22
    投稿
  • 12
    著者数
  • 957
    総シェア数
  • 272
    Twitter
  • 0
    Facebook
  • 403
    はてブ
  • 282
    Pocket

OpenAPIでOAuth認可周りのサーバサイドコード生成を比較

夏といえばコード生成というわけで、HTTP API仕様を定義するOpenAPIの security schemes(認証認可を定義するための箇所)で、Bearer/OAuth2/OpenID Connect 認証を設定すると、各コードジェネレータはどういったコード生成をしてくれるかを調べました。

Entra IDを使うウェブサービスのバックエンドのテスト

Entra ID(旧名Azure AD)は企業での利用の割合が高く、社内システムを作る場合はこれを使って認証して欲しいという要件が積まれることがほとんどでしょう。とはいえ、現物を使ってテストを作るのは都合がよくないこともあったりします。

MSAL.jsで開発時は認証スキップしたい

MSAL.jsはとても便利なライブラリです。コールバックを受けるバックエンドサーバーの用意も不要で、フロントエンドだけで認証が完結します。ですが、開発時にAzureADがない場合もありますし、開発者全員が開発で使うAzureADにユーザー登録されていないかもしれません。

Auth0全ユーザー数取得コマンドをPowerShellのInvokeコマンドで行う

Auth0全ユーザー数取得コマンドをPowerShellのInvokeコマンドで行います。

MSAL.jsを使ってウェブフロントエンドだけでAzureAD認証する

AzureADを使って認証を行っている企業は多いと思います。このAzureADを使った場合にはMSAL.jsを使えば認証は楽だぞ、というのはAzureADのサイトには書かれているのですが、OpenID Connectのプロトコルの動きの理解と、ライブラリのAPIがどう対応づいているのかがわからずにちょっと試行錯誤したので、そのメモを残しておきます。

パスワードレス技術の現状と未来について

2022年の 5 月に Apple, Google, Microsoft そして FIDO Alliance が マルチデバイス対応FIDO認証資格情報 を発表してから、パスワードレス技術に対する注目が高まっています。パスワードレスの概要について調査してまとめてみました。

OAuth の仕組みを理解しながらクライアントを実装してみる

業務で認証・認可に関する SaaS に触れる場面があり、そういえば OAuth, OpenID Connect の仕組みをちゃんと理解していなかったと思い、RFC を読みながら OAuth クライアントを実装してみました。

Auth0のトークン取得とITPへの対応

React ベースのモバイル向け Web アプリに Auth0 の認証を実装したところ、Silent Authentication(サイレント認証)のタイミングでブラウザからトークンが消失し、ログイン状態が維持できない現象に遭遇しました。調べる過程で、Cookie の基本的な機能からアドテク周りの技術要素、最近のプライバシー保護トレンドについて触れる機会を得ましたので...

Kong API Gatewayを使ってResource Serverを保護する

API Gatewayのミドルウェア製品となるKongを使ってResource Serverを構築する方法について話します。

Casbinで始めるアクセス制御

ACL、RBAC、ABACなどの様々なモデルでアクセス制御を行えるライブラリであるCasbinについて紹介します。

認証認可連載2022

認証・認可の技術全般をテーマとして技術ブログ連載を始めます。2022年が初めての開催です。

パスワードレスな認証を実現する認証ミドルウェアのhanko

名前からすると日本の古き良き(悪名高い)デバイス認証方式のあれのように見えますが、パスワードレスな認証を実現するOSSのプロダクトです。Go製でライセンスはAGPL3です。なかなか面白そうなので動かしてみました。このhankoのメンバーが運営しているpasskeys.ioというウェブサイトもあり、パスワードレスなログインを広めていこう!という啓蒙サイトになっています。

Auth0アカウントでShopifyにSSOする

私が参画した案件で、Auth0に登録されているエンドユーザ向けのアカウントを用いてShopifyにSSOする検証を行ったので、今回はその方法をご紹介します。

Future Tech Night #14〜IDaaS/OSS/Managed比較〜

2021年7月21日にFuture Tech Night #14~認証認可(IDaaS)勉強会~で発表させてもらいました。元々は、Rails Devise+cancancan、Cognito User Pools(5年前)、Auth0の開発経験があり、改めてOSSも加えて学んでみたかったのが、テーマを決めた背景になります。

Future Tech Night #14「生体認証・デバイス認証を活用するパスワードレスな認証規格「WebAuthn」を体験!」

2021年7月21日にFuture Tech Night #14~認証認可(IDaaS)勉強会~を開催し、「生体認証・デバイス認証を活用するパスワードレスな認証規格「WebAuthn」を体験!」というテーマで登壇させていただきました。

AWS APIGateway Custom Authorizer入門

今回は流行りの認証プロトコルであるOpenID ConnectとOAuth2.0におけるAuthorizerについて話そうと思います。AuthorizerとはAWS APIGatewayにある機能の一つで、外からAPIサーバに送られてくるリクエストを検証することにより、アクセスを制御する機能です。

Auth0 Rulesのユニットテストを書きたい

案件で認証プラットフォームである[Auth0]を利用していますが、Auth0の機能の中でもRulesと呼ばれるユーザ認証時にJavaScriptの関数を走らせる事が出来る機能は非常に強力で様々なニーズに対応することが可能になります。その中でJavaScriptの関数で書けるRulesに対して、ユニットテストを書く事が出来れば、Ruleの質も担保出来ます。

Auth0でADをユーザDBにし、SalesforceとのSSOを確認する

エンタープライズの領域ではAD認証が多く利用されており、また同時にCRMとしてSalesforceが導入されているケースが多くあります。この場合、社内システムにおける「統合認証」の要件として、これらを繋げてログインする必要が出てきます。これらの要求に対応するため、以下2点を確認し、Active Directory(以降AD)を中心とした統合認証を試してみます。

Auth0で認証成功後に任意のWebページを表示させたい

とある案件で、ユーザがログインした後に任意のページを表示させたいニーズがありました。こういった時はアプリ側でやってあげれなくもないのですが、複数のアプリが Auth0 で認証している場合には、アプリの数だけ改修が発生してしまいます。今回は context.redirect という Auth0 のユニークな機能を使って、改修を最小限に抑える方法を紹介します。

Auth0のRulesを使って認証認可を自在にカスタマイズする

Auth0をカスタマイズして使うに当たって必要になるRulesについて、概要と開発に関するTipsを説明します。Auth0のRulesの使い方については、Auth0公式のRules Best Practicesに様々な役立ち情報が載っているのですが、分量が多くてしんどい(全て英語な上に印刷するとA4で18ページ分...)です。 この記事ではRules Best Practicesの中でも特に役に立つと思われる情報と、その他Rules開発で得られた知見について書いていきます。

Auth0 EmailまたはSMSを使ったパスワードレス認証を設定する

Auth0が提供するVue.jsのサンプル実装をベースに説明します。手元で動作確認をする場合は、下記を事前にcloneしてください。このリポジトリにある01-Loginのディレクトリにあるアプリケーションを使います。

Auth0 導入編

様々なシステムを構築する中で必ず発生する要素「ログイン」。そのログインを支える技術要素「認証・認可」。しかし、認証認可の壁は無駄に高く、調べ始めるとまずは数々の専門用語に阻まれ 「BASIC認証・Oatuh・OpenID・Jwt・Jwk・Jwe…」、 次に認証Flowに阻まれます。「Implicit Flow、Client Credentials Flow...etc」。これらを比較的容易に実装する、Auth0を紹介していきます。