本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 9日めの記事です。
最近プレビューとして実装された Azure AD の CAE という機能がある。

• ポリシーとセキュリティのリアル タイムな適用に向けて | Japan Azure Identity Support Blog

何のための機能か

もともと Azure AD で発行されるアクセス トークンは内包型トークンで、Azure AD の秘密鍵で署名されている。そのため RP はユーザーが提示したトークンについて、Azure AD に通信を行うことなく署名とクレームを検証することで正当性を確認できる。これは逆に言うとクライアントがトークンを一度取得すれば有効期限切れ (既定では 1 時間) まではリソースにアクセスし続けられる。

多くの場合この設計で問題となることは少ないが、以下のようなケースで問題となることがある。

YubiKey 5 シリーズで Azure AD のサービス プリンシパルの証明書認証を試したのでメモ。

OneNote から Markdown に変換する必要があったので手順をメモ。

もともとは @azu さんの OneNoteのデータを画像付きのMarkdownにexportする | Web Scratch を試そうと思ったけど、企業の OneNote では上手く動かなかったので、以下の gist を参考に pandoc で変換した。

参考: https://gist.github.com/heardk/ded40b72056cee33abb18f3724e0a580

数ページを変換するだけだったので、これで済んだけど、大量にするときは、別の方法のほうがいいかもしれない。

Authorization Code Flow with PKCE に対応した MSAL.js 2.x がプレビューでリリースされていたので、触ってみたメモ。

Azure ポータルのアプリの登録画面

Azure AD のアプリ登録の画面がアップデートしており、リダイレクト URI の登録に SPA が追加されていた。

半年に 1 回ぐらい Azure Storage Blob を触るんだけど、毎回 Content-Type をセットするのを忘れてハマっている。
今回は nodejs で書いたので、忘れないようにメモ。

パッケージとして @azure/storage-blob を使う。あとファイル検索のために glob もつかう。

Azure AD が発行するトークンをカスタマイズする方法を少し調べたのでメモ。

トークンのカスタマイズ

そもそも Azure AD のトークンのカスタマイズをする理由としては大きく分けると以下の 2 つだと思う。

1. 連携アプリに対して発行する ID トークン の属性を追加・既存の属性をカスタマイズする。
2. Azure AD に登録した Web API を利用する用に アクセス トークン をカスタマイズする。

前者はアプリ側で Azure AD の属性を使いたい場合に利用する。

この記事は認証認可アドベントカレンダー の6日目の記事です。

動機: やっぱ OIDC ネタと FIDO ネタが多いから、どっちも絡めたやつを書けばめっちゃウケるのでは？
→ Azure AD B2C に WebAuthn によるパスワードレス サインインを実装するサンプルあったなあ…

と、苦し紛れにネタをひねり出した結果、くっそニッチな記事になってしまった。

Microsoft Ignite 2019 が今年も開催されてましたね。

今年もセキュリティキーに関してアップデートがあったけど、ポケモン剣盾で時間とられて、余裕ないので雑にメモ。

孵化あまり、だれか交換しましょう。

今日は Azure AD B2C を OIDC な IdP である Yahoo! ID とつなげてみよう、というお話。

Azure AD B2C とは

Microsoft が提供する Auth0 みたいなサービス。