→セキュリティ関連

→[[Web技術関連]]

→クラウドコンピューティング


#contents


※BASIC認証、フォーム認証については Webサーバ も参照


*認証一般 [#ce477cde]
-[[証明書>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8]]
--マイクロソフト系技術情報 Wiki

-[[2020年版 チーム内勉強会資料その1 : JSON Web Token>https://ritou.hatenablog.com/entry/2020/06/08/050000]] 2020.6
--JSON Web Signatureという署名をつける仕組みを利用することで改ざん検知が可能になります。JSON Web Encryptionという暗号化を施すことにより、センシティブなデータのやりとりが可能になります。 この2つのうち、よく使われているのを見かけるのがJSON Web Signatureの方

-[[【JWT】 入門>https://qiita.com/Naoto9282/items/8427918564400968bd2b]] 2021.3

-[[認証に関して調べた事を書き連ねてみる。>https://qiita.com/etnk/items/1c5579db53ddecf3a74d]] 2021.9



*パスワード一般 [#pa4d4165]
-[[いまさらTOTP - Qiita>https://qiita.com/tnakagawa/items/d999abb685de9424ce17]] 2020

-[[rfc6238>https://datatracker.ietf.org/doc/html/rfc6238]]
--TOTP(Time based One Time Password Protocol)
--Google Authenticatorなどで対応している

-[[WindowsのパスワードはGPUを25個使えば約6分から6時間で突破が可能、毎秒3500億通りもの総当たりが可能な方法とは?>http://gigazine.net/news/20121211-gpu-brute-force-attack/]] 2012.12.11

-[[FireWire経由でWindowsログインパスワードを迂回するツール>http://japanese.engadget.com/2008/03/04/firewire-windows/]] 2008.3.5

-[[危ないユーザ名の特徴>http://slashdot.jp/security/article.pl?sid=07/09/18/2124259&from=rss]]

-[[Windowsアカウントのパスワードを数分で解析するOphcrack>http://gigazine.net/index.php?/news/comments/20070816_ophcrack/]] 2007.8.16

-[[ひとつのルールで100のパスワード:http://www.itmedia.co.jp/bizid/articles/0608/01/news012.html]]

-[[The Art & Science of Storing Passwords>http://www.codeproject.com/cs/algorithms/StoringPasswords.asp]]


**パスワードの脆弱性 [#lc2a497b]
-[[パスワードの定期的な変更は本当に不要なのか - 情シス事情を知る | NECネクサソリューションズ>https://www.nec-nexs.com/sl/security/it/24.html]] 2018
-[[パスワードの定期変更という“不自然なルール”>http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html]] 2011.2.4
-[[続パスワードの定期変更は神話なのか>http://d.hatena.ne.jp/ockeghem/20101209/p1]] 2010.12.9

-[[さまざまな機器のデフォルトパスワード一覧>http://www.phenoelit.de/dpl/dpl.html]] 2006.12.14


* Basic認証/ダイジェスト認証 [#w8bb1b33]
-[[Amazon Linux - ApacheにBASIC認証をかけてみる>https://qiita.com/leomaro7/items/15c7be2c3a4f2ac29e4b]] 2018
-[[Apache | Basic認証を使ったアクセス制限を行う>https://www.javadrive.jp/apache/allow/index3.html]]
-[[ApacheでBASIC認証(パスワード認証)を設定する >https://pointsandlines.jp/server-infra/basic-authorize]] 2020
-[[HTTPSでBasic認証の安全性が上がる?特徴や注意点を知って設定しよう>https://securitynews.so-net.ne.jp/topics/sec_20137.html]] 2021.7


* クライアント証明書認証 [#cd0cd82f]
-[[クライアント証明書とは?>https://jp.globalsign.com/lp/epki/]]

-[[オレオレ認証局でクライアント認証 〜 ウェブの Basic 認証をリプレース>https://www.webtech.co.jp/blog/optpix_labs/server/1780/]] 2012


* SSO/IDaaS/SAML [#ua0231f3]
-[[突然「シングルサインオン(SSO)を検討して」と言われたら−第1回>https://qiita.com/hoshino_osstech/items/9a59bfd7b5722a8c3d33]] 2020

-[[突然「シングルサインオン(SSO)を検討して」と言われたら−第2回>https://qiita.com/hoshino_osstech/items/cc735c065dfaf39fcffd]] 2020

-[[突然「シングルサインオン(SSO)を検討して」と言われたら−第3回>https://qiita.com/hoshino_osstech/items/677bc385436d54e29a62]] 2020

-[[突然「シングルサインオン(SSO)を検討して」と言われたら−第4回>https://qiita.com/hoshino_osstech/items/b49c6154f4c38737a9dc]] 2020

-[[突然「シングルサインオン(SSO)を検討して」と言われたら−第5回>https://qiita.com/hoshino_osstech/items/502fc59fbcc06a182f87]] 2020

-[[最近流行り(?)のIDaaSについてまとめます>https://qiita.com/osak/items/28eda07e5d0183c6f99a]] 2021.1

-[[シングルサインオン(SSO)を構築するおすすめOSSとIDaaSの機能比較>https://www.designet.co.jp/ossinfo/selection/singlesignon.html]] 2021.8

-[[オープンソースのシングルサインオン/OpenAMとは>https://www.ossnews.jp/oss_info/openam]] 2021.8

-[[AWS Single Sign-On>https://aws.amazon.com/jp/single-sign-on/]]

-[[Kerberos認証とは?基礎知識3つのわかりやすい解説をご紹介!>https://www.fenet.jp/infla/column/network/kerberos%e8%aa%8d%e8%a8%bc%e3%81%a8%e3%81%af%ef%bc%9f%e5%9f%ba%e7%a4%8e%e7%9f%a5%e8%ad%983%e3%81%a4%e3%81%ae%e3%82%8f%e3%81%8b%e3%82%8a%e3%82%84%e3%81%99%e3%81%84%e8%a7%a3%e8%aa%ac%e3%82%92%e3%81%94/]]
--Kerberos認証では、IDとパスワードを使用した認証が成功すると「チケットを発行するためのチケット」が発行されます。チケットの有効期限が切れるまではIDとパスワードでの認証は必要ありません。


**SAML認証 [#xcbfab17]
-[[SAML認証が検証可能な開発環境用のIdPを構築>https://kenchan0130.github.io/post/2019-12-24-1]] 2019.12

-[[SAML認証の仕組みを図解で解説【初心者向けにSMAL認証の流れを詳しく説明します!】>https://engineer-ninaritai.com/saml-how-it-work/]] 2020.3


*AWS IAM [#pbb6ed7e]
→Amazon Web Service

-[[【小ネタ】GitHub Actions用のIAMロールをAWSマネジメントコンソールから作成する際の注意点 | DevelopersIO>https://dev.classmethod.jp/articles/create-iam-id-provider-for-github-actions-with-management-console/]] 2021.11

-[[AWS MFAの設定 - Qiita>https://qiita.com/akkisu/items/f9695d0c635d74d2d7ee]] 2015
-[[AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management>https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html]] 

-[[IAM ユーザーのアクセスキーの管理 - AWS Identity and Access Management>https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html]]

-[[マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた | DevelopersIO>https://dev.classmethod.jp/articles/how-to-access-aws-console-in-multi-accounts/]] 2021.11
--全て IAMユーザー
--IAMユーザーからスイッチロール
--SSO(SAML)
--AWS SSO

-IAMは認証だけでなくリソースの権限管理の機能も併せ持つ

-[[[AWS]IAMで作業用ユーザーを作成>https://qiita.com/kono-hiroki/items/c904a61aa2320a83609f]] 2020
-[[IAMユーザガイド>https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html]]

-IAMポリシーは何を対象にアタッチするポリシーかで2つに分かれる
--ユーザベースポリシー
--リソースベースポリシー…リソースとは主にAWSの個々のサービス(例えばS3)を指す

-ユーザベースポリシーは管理主体によって3つに分かれる
--AWS管理ポリシー
--カスタマー管理ポリシー
--インラインポリシー

-IAMの管理単位
--IAMグループ…フラットな階層でしか管理できず、階層構造は持てない
--IAMユーザ
--IAMロール…EC2上で実行されるプログラムに実行権限を割り当てるのに使う、API KEYが要らなくなる

-IDフェデレーション…使用頻度の低いユーザにアカウントを与えるのではなく一時的な認証を与え、短時間のみサービスへのアクセスを許す仕組み

-[[ID プロバイダーとフェデレーション>https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers.html]]
--すでにユーザー ID を AWS の外で管理している場合、AWS アカウントに IAM ユーザーを作成する代わりに、IAM ID プロバイダーを利用できます。
--ID プロバイダー (IdP) を使用すると、AWS の外部のユーザー ID を管理して、これらの外部ユーザー ID にアカウント内の AWS リソースに対するアクセス許可を与えることができます。
これは、会社に既に企業ユーザーディレクトリなどの独自の ID システムがある場合に便利です。
--また、AWS リソースへのアクセスが必要なモバイルアプリやウェブアプリケーションを作成する場合にも便利です。

-フェデレーション(英:federation)とは、一度認証を通ればその認証情報を使って許可されているすべてのサービスを使えるようにする仕組み
--参考:https://wa3.i-3-i.info/word12731.html
--「一度認証すればOKだよ!」を意味する言葉が「シングルサインオン(SSO)」で、シングルサインオンを実際に行うための手法のひとつとして「フェデレーション」がある


**用語 [#yb881824]
-[[AWS アクセスキーとは?AWS アクセスキーの作り方や使い方を紹介! | FEnet AWSコラム>https://www.fenet.jp/aws/column/aws-beginner/764/]] 2021.1

-[[IAMのスイッチロールを理解したい | DevelopersIO>https://dev.classmethod.jp/articles/iam-switchrole-for-beginner/]] 2020.2
--複数のアカウントで作業する際にアカウントの切り替えを楽にする機能

-[[AWS初心者にIAM Policy/User/Roleについてざっくり説明する | DevelopersIO>https://dev.classmethod.jp/articles/iam-policy-user-role-for-primary-of-aws/]] 2020.1
    IAM Policyは できること/できないこと を定義し、UserやRoleに紐づけて使う
    IAM Userは、Policyを紐付けて、ユーザーができることを定義する
    IAM Roleは、Policyを紐付けて、誰か/AWSのサービス ができることを定義する


-API KEY(プログラムからAWS各種サービスを操作できる
--[[Amazon API GatewayでAPIキー認証を設定する>https://dev.classmethod.jp/articles/apigateway-apikey-auth/]] 2015

-MFA…多要素認証
-ARN…AWS上のリソースを一意に特定するID


*OpenID [#v9f2ce38]
-[[OpenIDが果たす役割を知る>http://www.atmarkit.co.jp/fsecurity/rensai/digid03/01.html]] 2012.9.20
-[[OpenID/SAMLのつなぎ方とその課題>http://www.atmarkit.co.jp/fsecurity/rensai/kantara03/kantara01.html]] 2010.1.22
-%%[[OpenIDの襲来に備えよ!>http://koress.jp/2007/10/openid.html]]%%
-[[mixi OpenID>http://developer.mixi.co.jp/openid]]
--[[mixi OpenIDの技術面を解説するでござるの巻>http://d.hatena.ne.jp/ZIGOROu/20080820/1219218753]] 2008.8.21


*OAuth [#uba57a1b]
-[[OAuth 2.0 全フローの図解と動画>http://qiita.com/TakahikoKawasaki/items/200951e5b5929f840a1f]] 2017.4.28

-[[「OAuth」の基本動作を知る>http://www.atmarkit.co.jp/fsecurity/rensai/digid01/01.html]] 2012.8.

-[[WebアプリにSNSアカウントでのログインを実装する >http://codezine.jp/article/detail/6572]] 2012.6.2
--OAuthによる認証
-[[OAuthについて>http://www.machu.jp/diary/20070925.html#p01]]
--OAuth は,第三者に対して,認証を要求するリソースへのアクセスを一時的に許可するためのプロトコルです.

*RADIUS [#dbce7a9f]
-[[限界迎えるRADIUSプロトコル >http://itpro.nikkeibp.co.jp/article/COLUMN/20080826/313460/]] 2008.9.6
--RADIUSに限界が見えてきました。ブロードバンド化の進展やネットワーク利用者の急増,アクセス手段の多様化などが原因です。例えば,RADIUSは規格化当時の低いスペックのコンピュータを前提としていたために,パケットに含められる情報量に制限があります。また,音声や映像などのサービスで必須となってきた,確保する帯域量を通知する機能もありません。さらに,セキュリティは今ほど問題になっていなかったために,RADIUSの通信を暗号化するための規定がありません。
--こうした理由から,RADIUSの欠点を補いつつRADIUSの良さを残した仕組みが必要になってきました。その結果生まれたのが「Diameter」というプロトコルです。2003年にIETFで「RFC 3588」(PROPOSED STANDARD)として登録されました。
--Diameterが技術者の間で注目されているのは,NTTが2008年3月31日から開始した次世代ネットワーク「フレッツ光ネクスト」の中核技術であるIMS(IP Multimedia Subsystem)や将来の携帯電話/無線通信サービスでの利用が策定されているからです。


*ライセンス認証 [#pa87bf7a]
-[[c# - 機能 - ライセンス認証作り方 - 入門サンプル>https://code-examples.net/ja/q/9271d]]


* Active Directory [#w3257c9e]
-[[【初心者】AWS Managed Microsoft AD を試してみる (AWSマネージメントコンソールでのログイン認証用途) - Qiita>https://qiita.com/mksamba/items/a6e93bbd2e0bd80c9393]] 2021.11

-Hogeドメインに参加できない場合
--ドメインコントローラが見つからなくて参加できない、というようなエラーになる場合、ドメイン名に''HogeではなくHoge.localと入れる''とうまく行ったりする…
-[[Tips:Active Directory用のDNSレコードを強制的に作成する方法>http://www.atmarkit.co.jp/fwin2k/win2ktips/299addns/addns.html]]
-[[(Almost) Everything In Active Directory via C#>http://www.codeproject.com/useritems/everythingInAD.asp]]
-[[改訂 管理者のためのActive Directory入門:http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html]]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS