いま住んでいる家 (賃貸) では一階のテレビ裏にルーター、小型 PC のサーバー、HDD などが設置されている。
仕事場は 2 階で木造の家なので、Wi-Fi の通りはそこそこで 5GHz も届いているのだが、かなり減衰が大きいのかインターネット接続が遅くなることがある。

実際問題 PC が重いのかネットワークが重いのか分からないが、ネットワークが怪しいかもと思うことがストレスだったので、メッシュ Wi-Fi を導入することにした。

Ubuntu 22.04 を使っているサーバーでは、基本的に Firewall として ufw を使っていると思う。しかしながら、Docker コンテナーへのアクセスは Docker が自動的に iptables のチェーンを作成し、ufw を迂回するため、ufw での制限が効かない。知らずにめちゃくちゃハマった。

以前買ったミニ PC を自宅サーバーにしようとしていたのだが、まったく時間が無くて放置していた。育休中に少し時間が取れたので、とりあえず Ubuntu をインストールして Nextcloud を動かしてみた。docker を使って構成したが結構ハマったので、その辺のメモ。

Azure の App Service や Functions などの Web サービスには、Azure AD と連携して認証を行う機能があります。App Service 認証と呼ばれる機能で、旧称？の EasyAuth の方が馴染みがあるかもしれない。
最短ではほぼワンクリックでアプリに認証機能を追加できるため、とても便利だ。しかし、既定の設定ではテナントのすべてのユーザーおよびアプリがアクセス可能になっているため、要件によってはセキュリティ上の懸念がある。

ということで EasyAuth の機能が Azure AD から見てどのような機能なのか、どのようなセキュリティ上の懸念があるのか、どのように対策するのかをまとめてみた。

Microsoft Graph API に対するトークンは JWT のように見えるが、JWT ではないので、決して署名を検証しようとしてはいけない。

検証の時に英語にしたり、日本語にしたり面倒だったのでブックマーク レートにした。備忘録のためにメモっておく。

以下のリンクをブックマーク バーにでもドラッグアンドドロップしておけばよい。

日本語

英語

プレビューの時に AWS が対応したと話題だった GitHub ID トークンとか呼ばれてた機能が正式発表された。

• GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog

ドキュメントを見ると、Azure AD との連携手順もしっかり公開されているので早速試してみた。ついでに az cli でラッピングされているトークン取得の通信も調べてみた。

First Of All

業務等で使うなら素直に MSAL.PS や、Microsoft Graph PowerShell SDK を利用してトークン取得しましょう。
自分で実装しても勉強以外の役にはたぶん立たないです。

Windows 入ってたらとりあえず動くので、勉強会用にそれぞれのフローのコードを書いてみたのだが、勉強会する暇なくて腐ってたので供養。

最近 CORS を改めて勉強したけど、やっぱり知識があいまいな部分があるので、一旦アウトプットとしてまとめておく。

早いもので 2020 年も終わり、新年が明けて半月が過ぎようとしている。ふと気づいたら、転職してちょうど丸 2 年ということに気づいた。

2020 年の振り返りもできていなかったので、ここいらで 2 年でやったこと、やりたかったこと、できなかったことをまとめていこうと思う。

特に誰のためになるわけでもなく、いわゆるチラ裏。チラ裏って言葉も死語になったのか全然聞かないっすね。