早いもので 2020 年も終わり、新年が明けて半月が過ぎようとしている。ふと気づいたら、転職してちょうど丸 2 年ということに気づいた。

2020 年の振り返りもできていなかったので、ここいらで 2 年でやったこと、やりたかったこと、できなかったことをまとめていこうと思う。

特に誰のためになるわけでもなく、いわゆるチラ裏。チラ裏って言葉も死語になったのか全然聞かないっすね。

本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 9日めの記事です。
最近プレビューとして実装された Azure AD の CAE という機能がある。

• ポリシーとセキュリティのリアル タイムな適用に向けて | Japan Azure Identity Support Blog

何のための機能か

もともと Azure AD で発行されるアクセス トークンは内包型トークンで、Azure AD の秘密鍵で署名されている。そのため RP はユーザーが提示したトークンについて、Azure AD に通信を行うことなく署名とクレームを検証することで正当性を確認できる。これは逆に言うとクライアントがトークンを一度取得すれば有効期限切れ (既定では 1 時間) まではリソースにアクセスし続けられる。

多くの場合この設計で問題となることは少ないが、以下のようなケースで問題となることがある。

YubiKey 5 シリーズで Azure AD のサービス プリンシパルの証明書認証を試したのでメモ。

OneNote から Markdown に変換する必要があったので手順をメモ。

もともとは @azu さんの OneNoteのデータを画像付きのMarkdownにexportする | Web Scratch を試そうと思ったけど、企業の OneNote では上手く動かなかったので、以下の gist を参考に pandoc で変換した。

参考: https://gist.github.com/heardk/ded40b72056cee33abb18f3724e0a580

数ページを変換するだけだったので、これで済んだけど、大量にするときは、別の方法のほうがいいかもしれない。

Azure AD の B2B 機能、つまり、社外ユーザーとのコラボレーション機能がどんどん Azure AD B2C っぽくなっている。ということで、今回は Azure AD External Identity のセルフ サインアップ と API コネクターを触ってみたのでそのメモ。

Authorization Code Flow with PKCE に対応した MSAL.js 2.x がプレビューでリリースされていたので、触ってみたメモ。

Azure ポータルのアプリの登録画面

Azure AD のアプリ登録の画面がアップデートしており、リダイレクト URI の登録に SPA が追加されていた。

半年に 1 回ぐらい Azure Storage Blob を触るんだけど、毎回 Content-Type をセットするのを忘れてハマっている。
今回は nodejs で書いたので、忘れないようにメモ。

パッケージとして @azure/storage-blob を使う。あとファイル検索のために glob もつかう。

Azure AD が発行するトークンをカスタマイズする方法を少し調べたのでメモ。

トークンのカスタマイズ

そもそも Azure AD のトークンのカスタマイズをする理由としては大きく分けると以下の 2 つだと思う。

1. 連携アプリに対して発行する ID トークン の属性を追加・既存の属性をカスタマイズする。
2. Azure AD に登録した Web API を利用する用に アクセス トークン をカスタマイズする。

前者はアプリ側で Azure AD の属性を使いたい場合に利用する。

この記事は認証認可アドベントカレンダー の6日目の記事です。

動機: やっぱ OIDC ネタと FIDO ネタが多いから、どっちも絡めたやつを書けばめっちゃウケるのでは？
→ Azure AD B2C に WebAuthn によるパスワードレス サインインを実装するサンプルあったなあ…

と、苦し紛れにネタをひねり出した結果、くっそニッチな記事になってしまった。