Azure の App Service や Functions などの Web サービスには、Azure AD と連携して認証を行う機能があります。App Service 認証と呼ばれる機能で、旧称？の EasyAuth の方が馴染みがあるかもしれない。
最短ではほぼワンクリックでアプリに認証機能を追加できるため、とても便利だ。しかし、既定の設定ではテナントのすべてのユーザーおよびアプリがアクセス可能になっているため、要件によってはセキュリティ上の懸念がある。

ということで EasyAuth の機能が Azure AD から見てどのような機能なのか、どのようなセキュリティ上の懸念があるのか、どのように対策するのかをまとめてみた。

Microsoft Graph API に対するトークンは JWT のように見えるが、JWT ではないので、決して署名を検証しようとしてはいけない。

検証の時に英語にしたり、日本語にしたり面倒だったのでブックマーク レートにした。備忘録のためにメモっておく。

以下のリンクをブックマーク バーにでもドラッグアンドドロップしておけばよい。

日本語

英語

プレビューの時に AWS が対応したと話題だった GitHub ID トークンとか呼ばれてた機能が正式発表された。

• GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog

ドキュメントを見ると、Azure AD との連携手順もしっかり公開されているので早速試してみた。ついでに az cli でラッピングされているトークン取得の通信も調べてみた。

First Of All

業務等で使うなら素直に MSAL.PS や、Microsoft Graph PowerShell SDK を利用してトークン取得しましょう。
自分で実装しても勉強以外の役にはたぶん立たないです。

Windows 入ってたらとりあえず動くので、勉強会用にそれぞれのフローのコードを書いてみたのだが、勉強会する暇なくて腐ってたので供養。

最近 CORS を改めて勉強したけど、やっぱり知識があいまいな部分があるので、一旦アウトプットとしてまとめておく。

早いもので 2020 年も終わり、新年が明けて半月が過ぎようとしている。ふと気づいたら、転職してちょうど丸 2 年ということに気づいた。

2020 年の振り返りもできていなかったので、ここいらで 2 年でやったこと、やりたかったこと、できなかったことをまとめていこうと思う。

特に誰のためになるわけでもなく、いわゆるチラ裏。チラ裏って言葉も死語になったのか全然聞かないっすね。

本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 9日めの記事です。
最近プレビューとして実装された Azure AD の CAE という機能がある。

• ポリシーとセキュリティのリアル タイムな適用に向けて | Japan Azure Identity Support Blog

何のための機能か

もともと Azure AD で発行されるアクセス トークンは内包型トークンで、Azure AD の秘密鍵で署名されている。そのため RP はユーザーが提示したトークンについて、Azure AD に通信を行うことなく署名とクレームを検証することで正当性を確認できる。これは逆に言うとクライアントがトークンを一度取得すれば有効期限切れ (既定では 1 時間) まではリソースにアクセスし続けられる。

多くの場合この設計で問題となることは少ないが、以下のようなケースで問題となることがある。

YubiKey 5 シリーズで Azure AD のサービス プリンシパルの証明書認証を試したのでメモ。

OneNote から Markdown に変換する必要があったので手順をメモ。

もともとは @azu さんの OneNoteのデータを画像付きのMarkdownにexportする | Web Scratch を試そうと思ったけど、企業の OneNote では上手く動かなかったので、以下の gist を参考に pandoc で変換した。

参考: https://gist.github.com/heardk/ded40b72056cee33abb18f3724e0a580

数ページを変換するだけだったので、これで済んだけど、大量にするときは、別の方法のほうがいいかもしれない。