#author("2024-01-21T23:00:10+09:00","default:irrp","irrp") →セキュリティ関連 →[[Web技術関連]] →クラウドコンピューティング →※BASIC認証、フォーム認証については Webサーバ も参照 →メールの認証についてはEメール(SMTP/POPなど)へ #contents *サブトピック [#e011e766] -パスワード認証 -パスワードレス認証 -[[SSO関連]] ←SAML,IDaaSはこちら -OIDC/OAuth関連 ←JWTはこちら/Cognitoはこちら *認証一般 [#ce477cde] -[[reCAPTCHA Enterpriseのスコアベースのキーの保護を使ってみた>https://zenn.dev/cloud_ace/articles/7a44084abc21a4]] 2023.11 -[[認証に電話網を使うのはそろそろやめよう | Japan Azure Identity Support Blog>https://jpazureid.github.io/blog/azure-active-directory/it-s-time-to-hang-up-on-phone-transports-for-authentication/]] 2023.11 -[[ASCII.jp:パスキー対応とAI活用でどう変わるのか?― Oktaにきく認証の将来>https://ascii.jp/elem/000/004/167/4167224]] 2023.11 -[[「ウェブの世界のDRM」と悪名高い「Web Environment Integrity」はなぜ・どのように危険なのかをVivaldiが語る、Apple製品には同様の仕組みがすでに導入済み - GIGAZINE>https://gigazine.net/news/20230728-web-environment-integrity-vivaldi/]] 2023.7 --WEI -[[NLAが有効化されたWindowsのEC2インスタンスで泣きそうになった話 - DENET 技術ブログ>https://blog.denet.co.jp/disable-nla-on-windowsec2-by-aws-systems-manager/]] 2023.7 -[[クレジットカードのセキュリティ技術「EMV 3-Dセキュア」「トークナイゼーション」とは? Visaが解説 | マイナビニュース>https://news.mynavi.jp/article/20230410-2649337/]] 203.4 -[[3Dセキュア入門 -B/43の3Dセキュア開発・運用の裏側- - inSmartBank>https://blog.smartbank.co.jp/entry/2022/11/11/3d-secure]] 2022.11 -[[リスクベース認証とは?仕組みやメリット、注意点について徹底解説|サイバーセキュリティ.com>https://cybersecurity-jp.com/column/35310]] 2020 -[[NPO日本ネットワークセキュリティ協会 電子署名保証レベル要約版 報告書・公開資料>https://www.jnsa.org/result/e-signature/2022/index.html]] 2022.7 -[[Koh: The Token Stealer. Years ago I was chatting with a few… | by Will Schroeder | Jul, 2022 | Posts By SpecterOps Team Members>https://posts.specterops.io/koh-the-token-stealer-41ca07a40ed6]] 2022.7 -[[話題の“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃について図でまとめてみた - Qiita>https://qiita.com/ItsukiN32/items/eb056a52233dc3b9895c]] 2022.7 -[[Introduction | Vault by HashiCorp>https://www.vaultproject.io/docs/what-is-vault]] 2022.7 -[[認証アーキテクチャの更新について検討してみた - RAKUS Developers Blog | ラクス エンジニアブログ>https://tech-blog.rakus.co.jp/entry/20220408/architect#%E8%AA%8D%E8%A8%BC%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BCOP%E3%83%9F%E3%83%89%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2]] 2022.4 -[[【簡単コピペ】ログインシステムをPHPで作る | HTML・CSS・jQuery・PHPを徹底解説!【Web担当者の作り方】>https://www.web-officer.com/php/make-login-system-with-php.php]] 2017 -[[PHPによる簡単なログイン認証いろいろ - Qiita>https://qiita.com/mpyw/items/bb8305ba196f5105be15]] 2016 -[[認証プラットフォーム Auth0 とは? - Qiita>https://qiita.com/furuth/items/68c3caa3127cbf4f6b77]] 2017 -[[ユーザログイン(ユーザ認証)の歴史 - Qiita>https://qiita.com/YukiMiyatake/items/4c2162f85fe3c9c203a7]] 2019 -[[「Windows 11」でNTLM認証が将来的に廃止 〜IT管理者は今から備えを - 窓の杜>https://forest.watch.impress.co.jp/docs/news/1538467.html]] 2023.10 -[[NTLM認証(NT LAN Manager authentication)とは - IT用語辞典 e-Words>https://e-words.jp/w/NTLM%E8%AA%8D%E8%A8%BC.html]] 2021.12 --NTLM認証とは、Windowsネットワークで標準的に用いられた利用者認証方式の一つ。1993年に従来のLM認証(LAN Manager認証)に代えてWindows NT 3.1で導入されたもので、Windows 2000以降はKerberos(ケルベロス)認証が標準となったが、Kerberosが使えない状況などでその後も広く利用され続けた。 -[[証明書>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%A8%BC%E6%98%8E%E6%9B%B8]] --マイクロソフト系技術情報 Wiki -[[2020年版 チーム内勉強会資料その1 : JSON Web Token>https://ritou.hatenablog.com/entry/2020/06/08/050000]] 2020.6 --JSON Web Signatureという署名をつける仕組みを利用することで改ざん検知が可能になります。JSON Web Encryptionという暗号化を施すことにより、センシティブなデータのやりとりが可能になります。 この2つのうち、よく使われているのを見かけるのがJSON Web Signatureの方 -[[認証に関して調べた事を書き連ねてみる。>https://qiita.com/etnk/items/1c5579db53ddecf3a74d]] 2021.9 *CORS [#c8d64315] -[[スキマ時間で理解するCORS - Qiita>https://qiita.com/yu-saito-ceres/items/fbbbcce204d759a3846b]] 2023.10 -[[CORSについて簡単に説明する | SIOS Tech. Lab>https://tech-lab.sios.jp/archives/37299]] 2023.10 -[[オリジン間リソース共有 (CORS)>https://developer.mozilla.org/ja/docs/Web/HTTP/CORS]] 2021.7 * 用語 [#od5738ce] -認証=Authentication … ユーザが誰であるかを確認すること -認可(=承認=許可)=Authorization … ユーザが何をできるかの権限を与えること --[[認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)>https://zenn.dev/she_techblog/articles/6eff1f28d107be]] 2023.8 -クレデンシャル情報 … 認証に用いる情報のこと --クレデンシャル情報の種類 | |知識情報(知識要素) |所持情報(所持要素)|生体情報(生体要素)|h |概要 |ユーザーが知っている情報|ユーザーが持っている物の情報|ユーザー自身の生得的、生物的な情報| |例 |パスワード、秘密の質問、Androidのロックパターン |PC、スマホ、USBセキュリティキー |指紋、網膜、声紋、歩行パターン、タイピングの癖| --MFA(多要素認証)はこれらの情報のうち複数を用いて認証すること。多段認証の一種。 --多段認証は認証に用いる要素を限定せず複数の段階を経て認証すること * Basic認証/ダイジェスト認証 [#w8bb1b33] -[[Amazon Linux - ApacheにBASIC認証をかけてみる>https://qiita.com/leomaro7/items/15c7be2c3a4f2ac29e4b]] 2018 -[[Apache | Basic認証を使ったアクセス制限を行う>https://www.javadrive.jp/apache/allow/index3.html]] -[[ApacheでBASIC認証(パスワード認証)を設定する >https://pointsandlines.jp/server-infra/basic-authorize]] 2020 -[[HTTPSでBasic認証の安全性が上がる?特徴や注意点を知って設定しよう>https://securitynews.so-net.ne.jp/topics/sec_20137.html]] 2021.7 * クライアント証明書認証 [#cd0cd82f] -[[クライアント証明書とは?>https://jp.globalsign.com/lp/epki/]] -[[オレオレ認証局でクライアント認証 〜 ウェブの Basic 認証をリプレース>https://www.webtech.co.jp/blog/optpix_labs/server/1780/]] 2012 *RADIUS [#dbce7a9f] -[[限界迎えるRADIUSプロトコル >http://itpro.nikkeibp.co.jp/article/COLUMN/20080826/313460/]] 2008.9.6 --RADIUSに限界が見えてきました。ブロードバンド化の進展やネットワーク利用者の急増,アクセス手段の多様化などが原因です。例えば,RADIUSは規格化当時の低いスペックのコンピュータを前提としていたために,パケットに含められる情報量に制限があります。また,音声や映像などのサービスで必須となってきた,確保する帯域量を通知する機能もありません。さらに,セキュリティは今ほど問題になっていなかったために,RADIUSの通信を暗号化するための規定がありません。 --こうした理由から,RADIUSの欠点を補いつつRADIUSの良さを残した仕組みが必要になってきました。その結果生まれたのが「Diameter」というプロトコルです。2003年にIETFで「RFC 3588」(PROPOSED STANDARD)として登録されました。 --Diameterが技術者の間で注目されているのは,NTTが2008年3月31日から開始した次世代ネットワーク「フレッツ光ネクスト」の中核技術であるIMS(IP Multimedia Subsystem)や将来の携帯電話/無線通信サービスでの利用が策定されているからです。 *ライセンス認証 [#pa87bf7a] -[[CognitoのOAuth2.0フロー中にある「ホストされた UI」からパスワード変更をして欲しくないので、OAuth2.0を自作する - MOTEX TECH BLOG>https://tech.motex.co.jp/entry/2022/04/21/160419]] 2022.4 --AWSを使ってウェブアプリやサービスを作成した場合、 --その作成したアプリやサービスの認証/認可に Amazon Cognito を使用することができます。 --そうすると、認証/認可を1から全部作る必要がなくなります。 --※ 認証/認可するのはAWSアカウントではなく、自作サービスのアカウントです。 -[[c# - 機能 - ライセンス認証作り方 - 入門サンプル>https://code-examples.net/ja/q/9271d]] * Active Directory [#w3257c9e] -[[Active Directoryに対するRBCD攻撃の対策の話 - ラック・セキュリティごった煮ブログ>https://devblog.lac.co.jp/entry/20240117]] 2024.1 -[[Windowsクライアント向けJavaアプリケーションをActive Directoryで配布する - 赤帽エンジニアブログ>https://rheb.hatenablog.com/entry/2023/12/14/123311]] 2023.12 -[[【情シスさん向け】標準ユーザーでもアプリをインストールできるようにする #C# - Qiita>https://qiita.com/t13801206/items/981ecea2b75f966e4311]] 2023.10 -[[ドメイン コントローラーの構築時に言われないと気付かないこと | Microsoft Japan Windows Technology Support Blog>https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/]] 2023.10 -[[Active Directoryを標的とした攻撃手段を知り、セキュリティの強化を | TECH+(テックプラス)>https://news.mynavi.jp/techplus/article/20230815-2746094/]] 2023.8 -[[【Active Directory入門 Part1】ActiveDirectory 入門 まずは把握すべき要素/概念/単語をざっと理解! - YouTube>https://www.youtube.com/watch?v=lZ8Ps6U_kvY]] 2023.4 -[[Active Directory ドメインコントローラ移行前の確認事項 - サーバーワークスエンジニアブログ>https://blog.serverworks.co.jp/ad-migration-pre-check]] 2023.2 -[[AWS Directory Serviceとは?特徴やディレクトリタイプについてご紹介 | FEnet コラム for AWS>https://www.fenet.jp/aws/column/tool/977/]] 2022 -[[ドメイン参加していないコンピューターがドメインユーザーの認証情報でファイル共有にアクセスできるか確認したみた | DevelopersIO>https://dev.classmethod.jp/articles/computers-not-joined-to-domain-access-file-shares-with-domain-user-credentials/]] 2022.11 -[[デバイス認証でAzure ADに条件付きアクセスする - APC 技術ブログ>https://techblog.ap-com.co.jp/entry/2022/02/26/024333]] 2022.2 --[[「ポータル サイト」アプリでWindowsをAzure ADとMicrosoft IntuneにBYOD登録する - APC 技術ブログ>https://techblog.ap-com.co.jp/entry/2022/02/26/024228]] 2022.2 -[[ADとは別セグメントのPCのドメイン参加について>https://social.technet.microsoft.com/Forums/ja-JP/0bddd2c5-1750-4b3e-8bc6-3ef89a35b061/ad123921239921029124751246412513125311248812398pc123981248912513]] 2020 -[[外部からActive Directoryドメインへの参加>https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/3df38955-56df-49ca-a213-77f02c22acff/22806370961236312425active]] 2020 -Hogeドメインに参加できない場合 --ドメインコントローラが見つからなくて参加できない、というようなエラーになる場合、ドメイン名に''HogeではなくHoge.localと入れる''とうまく行ったりする… -[[Tips:Active Directory用のDNSレコードを強制的に作成する方法>http://www.atmarkit.co.jp/fwin2k/win2ktips/299addns/addns.html]] -[[(Almost) Everything In Active Directory via C#>http://www.codeproject.com/useritems/everythingInAD.asp]] -[[改訂 管理者のためのActive Directory入門:http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html]] 2006 -[[Active Directoryで出てくる用語 (DN, OU, DC, CN など) - 技術メモ>https://akrad.hatenablog.com/entry/2018/06/17/212505]] 2018 -whoamiコマンド --WHOAMI /FQDN, /UPN, /USER などでAD関連の情報が見られる ** AWS Directory Service [#v671c526] -[[【初心者】AWS Managed Microsoft AD を試してみる (AWSマネージメントコンソールでのログイン認証用途) - Qiita>https://qiita.com/mksamba/items/a6e93bbd2e0bd80c9393]] 2023.5 --オンプレミスのADサーバでAWSインスタンスを管理することは可能。Managed Microsoft ADと自作AD間で信頼関係を設定することで、オンプレミスのADサーバーからAWS Managed Microsoft ADを管理することができる -[[Azure Active Directory Mind Map>https://idpowertoys.com/assets/mindmaps/azureadv1.pdf]] 2023.4 -[[AWS Directory Serviceで「Managed Microsoft AD」を構築した際の「管理用サーバー」の設定方法 | DevelopersIO>https://dev.classmethod.jp/articles/management-server-for-aws-managed-microsoft-ad/]] 2020 -[[AWS再入門ブログリレー2022 AWS Directory Service編 | DevelopersIO>https://dev.classmethod.jp/articles/re-introduction-2022-directory-service/]] 2022.3 -[[AWS Managed Microsoft ADの認証情報を使ってAWSマネジメントコンソールにログインしてみた | DevelopersIO>https://dev.classmethod.jp/articles/login-to-aws-management-console-via-aws-managed-microsoft-ad-credentials/]] 2022.8 -[[【初心者】AWS Managed Microsoft AD を試してみる (AWSマネージメントコンソールでのログイン認証用途) - Qiita>https://qiita.com/mksamba/items/a6e93bbd2e0bd80c9393]] 2021.11 -[[EC2 インスタンス上に構築された Windows Active Directory に Windows インスタンスを参加してみた。 | DevelopersIO>https://dev.classmethod.jp/articles/join-windows-instance-to-a-windows-active-directory-built-on-an-ec2-instance/]] 2022.8