Kaigi on Rails 2024 での発表資料です #kaigionrails https://kaigionrails.org/2024/talks/moro/

ユーザー認証や管理を行うアプリケーションを探していたところ Authelia という良さそうな OSS を見つけました。ただ現時点では日本語の情報が殆どなかったので、実際に環境を構築して機能をいろいろ試してみます。 Authelia について ドキュメント Github ドキュメントより引用 Authelia is an open-source authentication and authorization server and portal fulfilling the identity and access management (IAM) role of information security in providing multi-factor authentication and single sign-on (SSO) for your applications via a

本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2023 の11日目の記事です。 最近、パスキーのことばかり考えていましたが、その中だったり、別の文脈だったりで、「認証の強度や身元確認レベルと利用可能な機能の関係」を考える機会が、ちょいちょいありました。 例えば『パスキーでアカウント登録するを実施するのが理想的だよね』という意見を聞きます。その一方で、『パスキーでphishingの対策はできるかもしれないけど、誰でも簡単にアカウント作れたらだめだから、電話番号の登録はどのみち必要。iCloud keychain/画面ロック有効にしてない人もいるし、あくまでパスキーを全面にだすのは微妙じゃない？』という意見も聞きます。 そんな話を聞いていたら、アカウントを認証強度や身元確認強度の観点から、どういう状態があって、各状態にどういうリスクがあ

最近 ID 界隈で話題になっているトピックとして、デジタルIDウォレット(DIW) というコンセプトがあります。これは、身分証、運転免許証や、銀行のキャッシュカード、さらにはお店のポイントカードまで、あらゆる本人のアイデンティティに関するデータを、スマホアプリに保存し、必要に応じて、必要な情報だけ、必要あれば複数をまとめて一度に、提示できるというコンセプトです。 話題になっている背景、必要となる技術、欧米の動きなど、２０２３年１２月時点での私の理解をまとめました。 明確なソースがある情報は、極力ソースとなるURLを添付しています。 また、一般論としてここに記載する情報については、国内外の多くの識者の方のお話を、直接的、間接的に伺う中で、私の中で咀嚼、消化した内容となっております。ここの皆様のお名前は略させて頂きますが、御礼申し上げます。それでも、本ブログの内容に誤りがあれば、すべて私の責任

症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント

パスキーの登場以来、ID連携、特にソーシャルログインは認証方法として比べられることが多くなりました。この記事では、この2つを比較したりその関係を考察する際に意識しておくべき観点を整理しておきます。 それぞれの特徴両者は異なる特徴を持っています。 パスキー 用途: 認証 パスキーの管理: プラットフォームが提供するパスワードマネージャー、サードパーティーのパスワードマネージャー、セキュリティキー、ブラウザ 属性情報: 一緒に保持できて引き回せるデータは User Handle ぐらい ID連携 用途: 新規登録、認証、属性情報の取得/同期 アカウント情報の管理: Identity Provider 属性情報: プロフィール情報、確認済みメールアドレスなどを取得可能なのが一般的 特徴が異なるために、導入箇所や意味合いも異なります。 ざっと思いつくのが 新規登録 ログイン 再認証 ぐらいでしょう

Azure AD B2C の行方と新たに登場した Microsoft Entra ID for customers のどっちがいいの？MicrosoftSecurityAzureADidentityEntra こんにちは、@daimat と申します。 Microsoft Security Advent Calendar 2023 1 日目を担当させていただきます、よろしくお願いいたします。 Microsoft の CIAM ソリューションは 2 つ存在 CIAM とは Customer Identity and Access Management の頭文字から成り立ち、読んでくださっている皆さんから見たお客様の ID を管理することを指しています。ちなみにサイアムと読むそうです。 この CIAM ソリューションは、以前からある Azure AD B2C に加えて現在パブリックプレビューとし

みなさま、認可の設計に苦しんでいるでしょうか？私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o

6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。Read less

こんにちは、富士榮です。 20日にデジタル庁がリリースしたワクチン接種証明アプリが話題ですね。内容的にはSMART Health Cardの仕様に沿った証明データが出てきているという話だったので中身を紐解いてみようかと思います。何しろSMART Health Cardの中身はW3CのVerifiable Credentials（VC）なので。 参考１） https://www.digital.go.jp/policies/vaccinecert/faq_06 より 参考２） This document describes how clinical information, modeled in FHIR, can be presented in a form based on W3C Verifiable Credentials (VC). https://spec.smarthealth

本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 の11日目の記事です。 自分たちで管理しているサービス(以下、1st party client)及びそのアカウントに対して、OAuth及びOpenID Connectのプロセスを導入することについて話します。 正直、自分の中で完全に答えがまとまっている状態ではありませんが、つよつよID厨の皆様方の意見を聞きたいので、現状の考えをまとめておきたいと思います！ 背景 ※ この背景はフィクションです。実在の人物や団体などとは一切関係ありません。 昔々、あるところに、Aというサービスがありました。そのサービスは、１つのバックエンドと、iOS/Androidなどの複数のフロントエンドから構成されておりました。アカウントの登録、ログイン、ログアウト、退会、パスワード変更等の機能はすべて、他

この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2020 20日目の記事です。 この記事の目的 はじめまして、最近一身上の都合によりDIDに入門したkazuhideYSです。某社でID技術をやってます。 さて、最近話題のDIDですが、勉強していて最初に躓いたのはどの仕様書から読めばいいかわからないということでした。 DID関連の仕様を策定している組織は W3C DID Working Group Decentralized Identity Foundation (DIF) の2つがメインです。それぞれのサイトには仕様書(のGithubリポジトリ)の一覧はあるのですが、「どれから読んでいけばよいのか」というガイドはありません。私は結局手当たり次第に読んでいきましたが、読んだあとで「これそんなに重要じゃないな……」と思ったり、「こっちか

この記事の内容 自己主権型アイデンティティ（Self-Sovereign Identity）に関する動向やその実装技術についてお勉強した内容を整理していきます。 目次 はじめに SSIについて SSIのキーファクター まとめ はじめに 最近デジタルアイデンティティの世界で「自己主権型アイデンティティ（Self-Sovereign Identity）」という考え方が注目され始めています。EUや北米では以前からその実用化に向けた取り組みや議論がされており、国内でもブロックチェーン界隈を中心に徐々に話題に上がるようになってきています。なぜブロックチェーン界隈なのかというと、ブロックチェーン技術と相性の良いユースケースだからです。なぜ相性が良いのかという話は後述するとして、今回はSelf-Sovereign Identity（長いので以後"SSI"に省略）の概要と基本的なアーキテクチャについて学ん

この記事はKyash Advent Calendar 2020の24日目の記事です。 こんにちは。株式会社KyashのCTOの椎野と申します。今年はコロナウィルスの蔓延があったり、そのため東京オリンピックが延期されたりと何かと大変な1年でした。そのような最中、フィンテック業界もいろいろな出来事がありました。外出が規制される中でオンライン決済が伸びることでキャッシュレス決済市場が世界的に伸長しましたが、その反面不正が増え、夏すぎに金融業界を揺るがす銀行-決済事業者の連携部分を狙った不正利用という事象が発生したりしました。利便性と堅牢性を如何に両輪で高めてゆけるかはIT業界全体のミッションでもありますが、お金を扱う私が現在属するフィンテック業界にとって非常に大きな関心事でもあります。 改めて浮き彫りになった課題 今年の夏過ぎに起こった銀行-決済事業者間の連携における不正の詳細や内容に関しては、

Merpay Advant Calendar 2020、23日目の記事は、趣味で認証認可をやっている @nerocrux が送りいたします。 最近 GNAP という認可プロトコルのワーキンググループドラフトが出ていて頑張って細かく読みましたので、（次回はいい加減に仕事でやってることについてお話しますが）今回はその GNAP について紹介させてください。 GNAP とはなにか？ GNAP は Grant Negotiation and Authorization Protocol の略で、認可のプロトコルです。Justin Richerさんという方を中心に策定しています。作者によると、GNAP の発音は げなっぷ になります。 認可（Authorization）プロトコルと言えば、OAuth 2.0 (RFC6749) が広く知られ、運用されています。GNAP は OAuth 2 の後継とし