Azure AD B2C Access Tokens now in public preview

ということで、さわって見ました。

Step.1 Azure AD B2C テナントの作成

まずは Azure AD B2C テナントを作成します。なんか portal.azure.com から行くと Classic Portal ベースのドキュメントに飛ばされるので、新しい方の Portal ベースのドキュメントをリンクしときますね。

Azure Active Directory B2C: Create an Azure AD B2C tenant

テナントを Subscription と紐づけるとかいう処理は Production Use でない限り Skip で OK です。

Step.2 Web API (Resource Server) および Client の登録

Azure AD B2C Access Tokens now in public preview にしたがって、Web API と Client を登録します。

Web API の登録には Scope の定義もセットです。

Client の登録には Key (Client Secret) の作成と利用可能な API & Scope の設定がセットです。

ちなみに、Resource Server と Client がどちらも同じメニューから作成し、横並びで表示されるのはちょっと違和感ありますね。

Resource Server に Redirect URI (Reply URL) の登録が必須だったり、Implicit を使えるようにするかの選択は Client 側の設定項目で Resource Server 側にそれ設定してもなんの意味もなかったりというのは、MS さんらしいというかなんというか。

なお、

• App ID URI を登録した Application は固有の scope を定義できるようになり、Resource Server になれる。
• App ID URI を登録しない Application は Key (Client Secret) しか作成できず、Client にしかなれない。
• Resource Server は Key (Client Secret) も作成できるので同時に Client にもなれる。

というルールになっているようですが、3つめの Resource Server かつ Client というのは同じ aud を持つ Access Token と ID Token が生成されることに繋がるので、よほどの事情がない限りやめるべきです。

Read on →

オンプレサーバーで GitHub Enterprise をお使いのみなさま。

日々オンプレサーバーのメンテ、おつかれさまです。

GitHub.com の Business Plan っての、良さそうですよね。

SCIM と SAML サポートしてて、いままでオンプレ版でしかできなかった Provisioning と Federation (SSO といった方が伝わるか？) が、GitHub.com ドメインでできるようになったんですよ。

これで GitHub.com が生きてればいつでも Deploy できますよ。

死ぬもんね、オンプレ。てか、一旦死んだら結構しばらくの間死ぬもんね、オンプレ。

GitHub.com なら、AWS が生き返ればきっと生き返るよ。

ということで、Business Plan の SAML と SCIM、ちょっと試してみましたよ。

SAML 設定

GitHub Help の この一連のドキュメント を読む限り、SAML 設定しないと SCIM 使えないようです。

あ、SAML の SP Entity ID とかはドキュメントには書いてないです。

Business Plan 契約して設定画面行かないと、SP Entity ID も Assertion Consumer Service (ACS) URL もわかんないです。

まず金払ってからしか試せません。

ファーストひどい。

Read on →

お久しぶりです、nov です。

おかげで無事12月末で YAuth.jp も初年度を終え、2期目に突入しております。

MVP は意気込み送ってこいや的なメールが来ており、いいかげんそろそろ Windows 10 でドメインジョイン (正直 UX とかよくわかってない) せんとなぁとか思いつつ、今日は MacOS です。

MacOS でマイナポータルにログインするお話です。

みなさん、知ってましたか？マイナポータルって OpenID Connect の IdP なんですよ！もしかしたら Access Token とか払い出しちゃう機能なんかもあるんですよ！

ということで、まぁその辺を調べるにも、ログインせんことには何も始まりません。

え？マイナンバーカード持ってないだって？？んなやつぁしらん！！！

そんな人は NIST SP 800-63-3 翻訳版 でも読んで、Identity Proofing とかハードウェアトークンとかに思いをはせつつ市役所いって取って来てください。

マイナンバーカード取る時、NIST SP 800-63-3 の3ページ目テストに出ますからね。

Read on →

なんですかこれは！

New attack bypasses HTTPS protection on Macs, Windows, and Linux

DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？

Web Proxy Autodiscovery ですって？

チョットニホンゴデオネガイシマス

ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。

Authorization Request & Response が漏れる

response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 / OpenID Connect の Authorization Request & Response は GET です。

Implicit Flow の場合は Response Parameter が URL Fragment についてるので、Server に送られる Full URL が漏れたところで特に URL Fragment の内容は漏れないですが、Code Flow の場合は Response の Query についてる Authorization Code は漏れますね。

まぁ Authorization Request に含まれる state とかも漏れますが、今回のケースだと Cookie とかは漏れないんで、state が漏れること自体は大して問題ではないでしょう。

ただ、Redirect URL に HTTPS 使っても code 漏れるってのは、辛そうですね。

Authorization Code が漏れたらどうなるの？

Code 置換攻撃 (Code Cut & Paste Attack) が可能になります。

ここに漏れた code があるとしましょう。すると、以下の手順で攻撃者は code 所有者の RP 上のアカウントにログインすることができます。

1. 攻撃者自身のブラウザで Authorization Request 発行
2. 攻撃者自身の IdP 上のアカウントで IdP にログイン
3. Authorization Response を途中で止める
4. Authorization Response 中に含まれる code を被害者のものに置換 (state は置換しない)
5. Code 置換済の Authorization Response を RP に送る

こうすると、RP が state を使った CSRF 対策を行っていても、RP は受け取った code を使って攻撃者を被害者としてログインさせてしまいます。

これが Code 置換攻撃です。

では、これを防ぐ手立てはあるのでしょうか？

Read on →

先日このブログでも紹介した OAuth Revocation, JWK JWK Thumbprint 仕様の翻訳版 に引き続き、OpenID Foundation Japan 翻訳・教育 WG リーダーとしての Nov です。

先日 翻訳 WG の Facebook Page でも告知したように、現在 NIST SP 800-63-3 – Digital Authentication Guideline の翻訳を開始しています。

今日はその中から、すでに翻訳が完了している NIST SP 800-63C – Federation and Assertions のご紹介です。

Level of Assurance

プロフェッショナルなみなさまのことです、すでに Level of Assurance とか LoA とかいう単語を耳にしたこともおありでしょう。

NIST SP 800-63 は、LoA の各レベルでの要求事項を具体的に定めている NIST (米国国立標準技術研究所) の公式ドキュメントで、800-63-3 はその Revision 3 です。

Revison 3 では、Revision 2 まで単一のドキュメントだった 800-63 を、以下の4つに分割しています。

• SP 800-63-3 (Digital Authentication Guideline)
• SP 800-63A (Identity Proofing & Enrollment)
• SP 800-63B (Authentication & Lifecycle Management)
• SP 800-63C (Federation & Assertions)

そして LoA も3つの Assurance Levels に分割し、それぞれをレベル分けした上で、それぞれのレベルの組み合わせを持って LoA を定義しています。

• Identity Assurance Level (IAL, Lv.1 – Lv.3 までの3段階)
• Authenticator Assurance Level (AAL, Lv.1 – Lv.3 までの3段階)
• Federation Assurance Level (FAL, Lv.1 – Lv.4 までの4段階)

LoA 自体は今まで通り Lv.1 – Lv.4 までの4段階で、それぞれの LoA に求められる IAL, AAL, FAL のレベルは以下の通りとなっています。

	LOA	IAL	AAL	FAL
	1	1	1	1
	2	2	2 or 3	2
	3	2	2 or 3	2
	4	3	3	4

LoA Lv.2.5 とか、Lv.1+ とか、謎のオレオレ定義が乱立してた LoA の定義も、こういう仕組みで多少はフィレキシブルに扱えるように…

ま、なるといいですね。

Federation Assurance Level (FAL)

で、上記のうち FAL を定義しているのが、NIST SP 800-63C – Federation and Assertions です。

800-63C では、Assertion と Federation Protocol のレベル分けのために、それらの特徴を複数のカテゴリに渡って分類し、それらの組み合わせによって FAL を定義しています。

	FAL	Requirement
	1	Bearer assertion, direct presentation, asymmetrically signed by CSP
	2	Bearer assertion, indirect presentation, asymmetrically signed by CSP
	3	Bearer assertion, indirect presentation, asymmetrically signed by CSP and encrypted to RP
	4	Holder of key assertion, indirect presentation, asymmetrically signed by CSP and encrypted to RP

Bearer か Holder-of-Key かとか、Direct か Indirect か (Artifact 使うか使わないか) とか、署名のみか署名後暗号化するかとか、プロフェッショナルなみなさまにはたまらないですよね！

ってことで、プロフェッショナルなみなさまにおかれましては、ぜひ翻訳版読んでいただいて、日本語版の GitHub Repository へのフィードバックお待ちしております！

あと NIST 本家の英語版も絶賛更新中らしいんで、英語語版の GitHub Repository にもフィードバックしてあげると喜ばれると思います！

僕も3箇所ほどフィードバックして見ましたが、特に報告者の国籍等は関係無く反応返ってくるので、どっかのパブコメよりはよっぽど…おっと、誰か来たようだ。

残りの 800-63-3, 800-63A, 800-63B について

絶賛翻訳中です。

NIST 800-63-3 シリーズはセクションごとにファイルが分割していて翻訳箇所の並列化がしやすくなってるので、翻訳手伝ってくれるひとはまだまだ募集してます。

応募方法は 翻訳 WG の Facebook Page をご覧ください。

じっくりドキュメントを読み込みたい方には、翻訳とかいい機会だと思いますよ！