並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 105件

新着順 人気順

Auth0の検索結果1 - 40 件 / 105件

Auth0に関するエントリは105件あります。 認証auth0セキュリティ などが関連タグです。 人気エントリには 『SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ』などがあります。
  • SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

    SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa

      SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
    • 100万ユーザーをログアウトさせずに新認証基盤に移行した話

      即戦力人材と企業をつなぐ転職サイト「ビズリーチ」は2009年にサービスを開始し、スカウト可能会員数は190万人以上(2023年1月末時点)のユーザーにご利用いただくサービスに成長しました。 今回、その「ビズリーチ」の認証基盤としてIDaaS(Identity as a Service)のOkta Customer Identity Cloud(Powered by Auth0)(以下Auth0という)の導入を行いました。 本記事では認証基盤を刷新するに至った背景とAuth0を用いて100万を超えるユーザーをログアウトさせることなく移行した方法についてご紹介いたします。 前提 本記事で得られる情報 本記事を読むことで以下のような情報を得ることができます。 IDaaSを選ぶ理由 IDaaSを用いて認証・認可を運用中のプロダクトに組み込んだ事例 運用中のプロダクトに組み込む際に発生しうる課題と対

        100万ユーザーをログアウトさせずに新認証基盤に移行した話
      • Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

        はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー

          Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
        • 認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)

          みなさま、認可の設計に苦しんでいるでしょうか?私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o

            認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)
          • Reactチュートリアル2:レビューサイトを作ろう

            本資料について 本資料は日本大学文理学部情報科学科の開講科目「Web プログラミング」の教材として作成されました。本資料は下記のライセンスの範囲内で、当授業以外でも自由にご利用いただけます。 対象読者 本資料は、以下の教材を学習済み、もしくはそれと同等以上の知識を持っていることを前提としています。 React チュートリアル:犬画像ギャラリーを作ろう 基本情報技術者試験レベルの関係データベースの知識 本資料で学ぶこと 本資料では以下の内容を学びます。 Express と Sequelize による API サーバー開発 React と API サーバーの連携 Cross-Origin Resourcer Sharing React によるルーティング Auth0 によるユーザー認証 Heroku による API サーバーの公開 ライセンス この作品はクリエイティブ・コモンズ 表示 4.0

              Reactチュートリアル2:レビューサイトを作ろう
            • 認証用トークン保存先の第4選択肢としての「Auth0」

              iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題 越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy0

                認証用トークン保存先の第4選択肢としての「Auth0」
              • Next.jsとAuth0で会員制メディアを作る【1. 認証編】

                こんにちは、柴田です。 今回は「会員制メディア」のチュートリアルを全3回に分けてお届けします。 === 認証編ページ作成編完成編=== 会員制メディアは、一部の記事は会員しか見れないような形式のメディアです。 ビジネスでは近年よくあるユースケースであり、もしかしたら個人ブログに導入してみても一風変わっていて面白いかもしれません。 また、応用すれば課金しないと見れない記事のような仕組みも作れると思います。 今回想定している仕様は以下の通りです。 記事一覧画面と全公開記事(/public配下)は事前生成をしておき、静的に配信する会員向け記事(/private配下)はログイン済みユーザーのみ閲覧可能とし、SSRで配信する Next.jsを用いてJamstackとSSRの合わせ技を行い、認証にはAuth0を用います。 1. Next.jsプロジェクトを用意まずは、Next.jsのプロジェクトを作成

                  Next.jsとAuth0で会員制メディアを作る【1. 認証編】
                • Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

                  ※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部

                    Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog
                  • 【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog

                    はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用

                      【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
                    • Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も

                      Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も 認証プラットフォームを提供するOkta社は、Auth0の無料プランを拡大したと発表しました。 Auth0は、認証や認可にかかわる機能がクラウドサービスとして提供されており、SDKを用いてWebアプリケーションやモバイルアプリケーション、デスクトップアプリケーションなどに組み込むことで、通常のログイン名とパスワードを用いた認証はもちろん、Active DirectoryやGoogle Workspaceなどとの接続、Facebookなどを用いたソーシャルログイン、パスキーによるログインなどを簡単に実現します。 また、不正ログインに対する防御機能なども備えています。 無料プランで月間2万5000アクティブユーザーまで対応 これまでの無料プランは、最大で月間7500アクティブユ

                        Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も
                      • Auth0にPassKeyが搭載されたぞ!!!

                        はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい

                          Auth0にPassKeyが搭載されたぞ!!!
                        • AWSアカウント シングルサインオン構成のご紹介(電通デジタル自社開発部門 2020年上期版)|Dentsu Digital Tech Blog

                          電通デジタルでSite Reliability Engineer(SRE)をしている齋藤です。 先日(8/5)に7/22開催のAWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料が公開されました。 資料中では以下の内容を説明しています。 ・AWSではアカウントに個別のIAMユーザを作成してログインする代わりに、IDプロバイダ(IdP)を使用し、シングルサインオンができること ・シングルサインオンは組織に独自のID基盤がある場合や、複数のAWSアカウントを使用している場合に有効であること ・シングルサインオンの実現の方法にはいくつかパターンがあり、運用をふまえながら何を選択するのがよいかであること 弊社の自社開発部署もAWSをマルチアカウント構成-シングルサインオンで運用しています。今回はその事例を上記資料の選定パターンチャート

                            AWSアカウント シングルサインオン構成のご紹介(電通デジタル自社開発部門 2020年上期版)|Dentsu Digital Tech Blog
                          • Next.jsとAuth0で本管理サイトを作ってみた

                            Next.jsとAuth0を使って読んだ本を管理するサイトを作ったので使った技術等を紹介します。 github どんなサイトか? まずは、どんなサイトを作ったのかを紹介します。読んだ本の管理を行うサービスで、主な機能は3つです。 Google Book APIに登録されている本を検索して本棚に保存できる 登録されていないなくてもアプリ内で新しく登録できる。 今まで本棚に登録した本の合計ページ数・本の高さ・本の重さを表示。1ページ当たり0.5g、0.15mmで計算します。 画面遷移 1.トップ画面 アプリのトップ画面。「アカウント作成・ログイン」ボタンを押すことでログイン画面に遷移します。 2.ログイン画面 Auth0を使ったログイン画面。認証方法は2種類あります。 Googleアカウントを使ったログイン メールを使ったログイン 3.ホーム画面 今まで読んだ本を管理する画面。最近読んだ本の表

                              Next.jsとAuth0で本管理サイトを作ってみた
                            • [Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO

                              Auth0を始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要なるでしょう。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。 中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構 付録6: クラウドサービス安全利用の手引き 本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Auth0の関連リンクを紹介していきます。 まずは下記でAuth0の構成を見てから、Auth0の各ドキュメントを読むと用語が分かりやすいと思います。 おすすめの方 Auth0を使うにあたって、社内承認に必要な参考情報を知りたい方 はじめに 本記事の内容を参考にすれば、100%OKというわけではありません あくまでも参考情報であり、会社や組織などで最終判断をしてください Auth0の利用に関する文章を読

                                [Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO
                              • BtoB SaaSにおけるIDaaSの選択が難しい

                                Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて

                                  BtoB SaaSにおけるIDaaSの選択が難しい
                                • React アプリに Auth0 でシュッと認証を組み込んで Vercel に爆速デプロイする - Qiita

                                  Auth0 は認証・認可サービスをクラウドで提供している SaaS ベンダーです。 「認証」という機能はどのアプリケーションにも求められる重要な要件ですが、プロダクトの本質的なビジネス価値を持たない場合が多いでしょう。Auth0 を使用することで、この「認証」機能という Undifferentiated Heavy Lifting な作業を排除できます。 本記事では、簡単な React アプリケーションを作成して Auth0 を使用した認証機能を実装します。また、作成したアプリケーションを Vercel(旧 Zeit now)にデプロイする方法を解説します。ユーザのサインアップ後の確認メールなどは SendGrid から送信されます。 以下は、本記事で紹介するアプリケーションの簡単な構成図です。また、本記事で実装されたアプリケーションは Vercel にデプロイしています。こちらからアクセ

                                    React アプリに Auth0 でシュッと認証を組み込んで Vercel に爆速デプロイする - Qiita
                                  • 認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH

                                    技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと

                                      認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
                                    • Auth0からCognitoへのユーザー移行 - ROBOT PAYMENT TECH-BLOG

                                      こんにちは。ROBOT PAYMENT (以下、ロボペイ)でエンジニアをしているtakamoriです。 私が所属しているチームでは、請求先マイページ機能を開発しており、その中でユーザー認証基盤をAuth0からCognitoへと移行させました。そこで今回は、Auth0からCognitoへのユーザー移行手順を書いていきたいと思います。 ※ 本記事ではAuth0やCognitoの環境構築は対象外で、それぞれの環境が構築済み前提となります。 移行手順 Auth0からユーザーをエクスポート Auth0ユーザー情報をCognitoユーザー情報へマッピング Cognitoへユーザーをインポート Auth0からユーザーをエクスポート Auth0からのユーザーをエクスポートするには、ExportUsersJob APIを利用します。GetUsers APIを利用して取得することも可能ですが1,000件の取得

                                        Auth0からCognitoへのユーザー移行 - ROBOT PAYMENT TECH-BLOG
                                      • Auth0認証アーキテクト責任者がIDaaSの今を語る

                                        EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

                                          Auth0認証アーキテクト責任者がIDaaSの今を語る
                                        • Auth0で保護されたAWS AppSync(GraphQL)をReactからApollo Clientで利用する方法をチュートリアルとしてまとめた | DevelopersIO

                                          Create React App(CRA)を使ってアプリケーションを生成します。任意の作業用ディレクトリに移動後、下記のコマンドを実行します。 再現性を高めるために、パッケージのバージョンを固定してインストールしています。 npx create-react-app@3.4.1 --template typescript react-appsync-protected-by-auth0 cd react-appsync-protected-by-auth0 React RouterとAuth0のSPA用SDKをインストールします。 yarn add react-router-dom@5.1.2 @auth0/auth0-spa-js@1.8.1 yarn add -D @types/react-router-dom@5.1.2 Auth0をReactで利用する為のCustom Hookを作成

                                            Auth0で保護されたAWS AppSync(GraphQL)をReactからApollo Clientで利用する方法をチュートリアルとしてまとめた | DevelopersIO
                                          • IstioとAuth0でJWT認証付きAPIを5分でデプロイする - JX通信社エンジニアブログ

                                            SREのたっち(@TatchNicolas)です。 JX通信社では、月に一度「WinSession」というリリースした機能や検証したリリースについて開発チーム全体へ発表する機会を設けています。今回は自分が前回社内に紹介した「パパッと便利APIを作って5分でお手軽&セキュアにデプロイする」方法について書きます。 TL; DR; Istio/cert-manager/Auth0を使って、任意のコンテナを認証つきで5分でデプロイできる仕組みを作った 設定はアプリケーションごとに独立し、中央集権的なリポジトリに依存しない*1 きっかけ プロダクト間で共通のAPIを認証付きでパパッと作りたいこと、よくありますよね? でも、アプリケーションに毎回認証のための仕組みを組み込むのは骨が折れます。アプリケーションはあくまで、アプリケーションの関心ごとに集中させたい。すると、サイドカーコンテナを使って責務を分

                                              IstioとAuth0でJWT認証付きAPIを5分でデプロイする - JX通信社エンジニアブログ
                                            • Why we decided to use Auth0 and not AWS Cognito

                                              Hi, I’m Ryoichi Sekiguchi. ( @ryopeko ) I’m working as a Backend Engineer in Shippio. Today I will talk about our decision to choose Auth0 over AWS Cognito. Japanese follows English. What did we consider important?As a startup development team, we wanted to reduce our concerns about authentication. We then began to consider transferring the authentication infrastructure to an external service at t

                                                Why we decided to use Auth0 and not AWS Cognito
                                              • インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog

                                                Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil

                                                  インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
                                                • Okta Japan株式会社はAuth0株式会社と統合し、2022年2月7日よりワンチームとなります。

                                                  Auth0 Marketplace Discover and enable the integrations you need to solve identity Explore Auth0 Marketplace Okta Japan株式会社は、Auth0株式会社と統合し、2022年2月7日よりワンチームとして業務を開始します。 日本国内のアイデンティティ管理市場をさらに拡充するため、共に力を合わせてお客様が求める様々なアイデンティティ管理におけるニーズに対応し、お客様の課題解決に取り組んでまいります。 従業員向けアイデンティティ管理と顧客アイデンティティ管理ソリューションの2本柱で事業を展開していくため、今後もOktaとAuth0の両プラットフォームへの投資およびサポートを継続して参ります。 引き続き、Auth0はOkta内の製品ユニットとして運営して参ります。なお、今後のカスタマーサ

                                                    Okta Japan株式会社はAuth0株式会社と統合し、2022年2月7日よりワンチームとなります。
                                                  • 請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG

                                                    請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID

                                                      請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
                                                    • Hanko — Open Source Clerk Alternative

                                                      🚀 Startups: Get 1 MILLION active users for $29/month — apply today! The Complete Authentication and User Management Solution for the Passkey EraQuickly integrate Hanko’s embeddable components and APIs to get a secure and modern login for your app. From passwords all the way to passkeys, 2FA, and SSO. Finally an auth solution that scales – without breaking the bank. And it’s open source.

                                                        Hanko — Open Source Clerk Alternative
                                                      • B2BマルチテナントSaaSの認証にAuth0を使うときに知っておきたかったこと - Sansan Tech Blog

                                                        こんにちは、新規事業開発室の加藤です。私たちのチームでは新規事業のプロダクトとしてB2BのマルチテナントSaaSを開発しており、その認証にAuth0を使っています。今回Auth0を初めて使用する中で試行錯誤することが多かったので、最初から知っておきたかったことをまとめておきます。 Auth0とは Auth0はIdentity as a Service (IDaaS) と呼ばれる認証をサービスとして提供するSaaSです。シンプルなID・パスワードによるログインや、Google・Facebookアカウントなどのいわゆるソーシャルログインだけでなく、エンタープライズ向けのG SuiteやAzure AD、SAMLなどのシングルサインオン (SSO) に幅広く対応しているのが特徴です。 なお、Auth0は自社の従業員のID管理にも利用できますが、本稿ではあくまでプロダクト開発者目線で、プロダクトの

                                                          B2BマルチテナントSaaSの認証にAuth0を使うときに知っておきたかったこと - Sansan Tech Blog
                                                        • ID管理のOkta、Auth0を買収へ--約7000億円

                                                          Stephanie Condon (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2021-03-04 14:01 Oktaは米国時間3月3日、開発者向けのアイデンティティ管理プラットフォームのAuth0を約65億ドル(約7000億円)相当の株取引で買収する計画を発表した。買収は両社の取締役会は買収を承認している。Oktaの2022会計年度第2四半期(2021年7月31日締め)中に完了する見通しだ。 Auth0は2013年に創業した。9000社を超える法人顧客を抱え、70カ国以上の顧客にサービスを提供している。Oktaは、従業員や顧客の認証に利用されるID管理ツールを1万社超に提供している。 買収完了後、Auth0はOktaの社内で独立した事業部門として運営される。両プラットフォームへのサポートや投資が行われるが、いずれ統合されるという。 Ok

                                                            ID管理のOkta、Auth0を買収へ--約7000億円
                                                          • Auth0を利用してOAuth 2.0のPKCEを理解する | DevelopersIO

                                                            Auth0を利用してPKCEを一緒に試しつつ、理解していきましょう。本記事ではPKCEを実際に試してみて、理解できることをゴールに書いていきます。 はじめに みなさま。はじめまして、Auth0社の筒井です。ソリューションアーキテクト・テクニカルアカウントマネージャーとして主にAuth0のEnterprise版をご契約頂いたお客様に対して技術支援を行っています。今回はゲストブロガーとして投稿します。 Auth0を利用してPKCEを一緒に試しつつ、理解していきましょう。PKCEはすでに様々なところで詳細に説明されているので、ご存知の方も多いと思います。 本記事ではPKCEを実際に試してみて、理解できることをゴールに書いていきます。 さっそくですが、PKCEって何でしょうか? PKCEは、Proof Key for Code Exchangeの略で、呼び方はピクシーと呼びます。RFC 7636と

                                                              Auth0を利用してOAuth 2.0のPKCEを理解する | DevelopersIO
                                                            • Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO

                                                              みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー

                                                                Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO
                                                              • JSON Web Token Validation Bypass in Auth0 Authentication API

                                                                Cyber Intelligence report – Insight into the New Zealand threat landscape and associated risks for business leaders →

                                                                  JSON Web Token Validation Bypass in Auth0 Authentication API
                                                                • https://jp.techcrunch.com/2021/03/05/2021-03-03-okta-acquires-cloud-identity-startup-auth0-for-6-5b/

                                                                    https://jp.techcrunch.com/2021/03/05/2021-03-03-okta-acquires-cloud-identity-startup-auth0-for-6-5b/
                                                                  • [前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO

                                                                    CX事業本部Delivery部のアベシです。 こちらの記事では、API Gateway + Lambda のREST APIに Auth0 + Lambda Authorizerの認可を導入する方法について紹介します。 前編、更編に分けて紹介します。 今回の前編ではLambda Authorizer と Auth0を使ったAPI Gatewayの保護の仕組みと、土台となるAPIのCDKコードについて紹介しようと思います。 Lambda Authorizer と Auth0を使った認可の仕組み 以下のフローで認可が行われます。 ① クライアントがAuth0に認可をリクエストする。 ② 認可されたらAuth0がアクセストークンを返す。 ③ クライアントがAPIコールする。その際にアクセストークンをヘッダーとしてAPI Gatewayに渡す。 ④ API GatewayがLambda Autho

                                                                      [前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO
                                                                    • Auth0のSilent Authentication (サイレント認証)とRefresh Token Rotation (リフレッシュトークンローテーション)を完全に理解した (い) - 一から勉強させてください

                                                                      Auth0 の Silent Authentication (サイレント認証)と Refresh Token Rotation (リフレッシュトークンローテーション)を完全に理解したい気持ちが急に高まってきたので書きます。 全体の流れとして React SPA with Auth0 での認可フローについて Silent Authentication (サイレント認証)について Refresh Token Rotation について まとめ みたいな流れで書きつつ、Silent Authentication や Refresh Token Rotation は何を解決しようとしているのか、それぞれのリフレッシュ方法でどのような挙動になるのか、などについて理解を深めていきたいと思います。 また、React SPA with Auth0 の認可フロー部分のイメージを沸かせるために以下のサンプルリ

                                                                        Auth0のSilent Authentication (サイレント認証)とRefresh Token Rotation (リフレッシュトークンローテーション)を完全に理解した (い) - 一から勉強させてください
                                                                      • 【資料公開】Auth0ハンズオンウェビナー – 基本編 | DevelopersIO

                                                                        コネクションとユーザー Auth0を使ってログインを行うと、テナント内にユーザー情報が作成されます。このユーザー情報はコネクション単位で作成されます。例えばLINEでログインした場合はLINEユーザー、Facebookでログインした場合はFacebookユーザーとして作成される、といった具合です。 1人が異なるコネクションでログインしてしまった場合は別々のユーザー情報が作成されてしまいますが、Auth0にはアカウントリンクという機能により名寄せすることができます。こちらは後述している手順により、非常に簡単に実現できるようになっています。 コネクションとアプリケーション Auth0テナントにログイン可能なアプリケーション(Webアプリやモバイルアプリなど)は複数作成できますが コネクションのON/OFFはアプリケーションごとに設定できます。 例えば「LINEのアプリ内ブラウザからアクセスされ

                                                                          【資料公開】Auth0ハンズオンウェビナー – 基本編 | DevelopersIO
                                                                        • Security Building Blocks for the AI era | BoxyHQ

                                                                          Security Building Blocks for the AI eraAccelerate your Time to Market while prioritizing AI security! BoxyHQ’s comprehensive suite of security building blocks enables organizations to swiftly build and deploy compliant cloud applications while strengthening their defenses in the age of LLMs. From enterprise-grade Single Sign-On, Directory Sync, and Audit Logs to Privacy Vault and LLM Vault. Book A

                                                                            Security Building Blocks for the AI era | BoxyHQ
                                                                          • IstioとAuth0で認証・認可を体験してみた - Retty Tech Blog

                                                                            この記事は Retty Advent Calendar 2020 10日目の記事です。 adventar.org はじめに こんばんは、最近趣味でサックス🎷 を習い始めたエンジニアの櫻井です。 ServiceMeshの話題が出てからだいぶ経ちますがそろそろ自分でも触っておきたいなと思いServiceMeshを実現するツールの1つであるIstioにチャレンジしてみました。 今回はIstioの公式サンプルであるBookinfo ApplicationにJWT(JSON Web Token)による認証・認可を入れてみます。 この認証と認可については色々調べてみたものの、あんまり参考記事を見つけることができなかったので少々梃子摺りました。(なお本記事についてはService MeshやIstioについての詳しい説明は割愛しているため、まずそれらがなんぞや?という場合にはリンクの記事を読むことをオ

                                                                              IstioとAuth0で認証・認可を体験してみた - Retty Tech Blog
                                                                            • Auth0、AWS東京リージョンで提供開始

                                                                              Auth0、AWS東京リージョンで提供開始〜日本国内のAWSデータセンターからサービス利用が可能に〜 2つのDX(デジタルトランスフォーメーションと開発者体験)向上のための認証ソリューションを提供するAuth0株式会社(本社:東京都渋谷区、代表:ユーへニオ・ペース)は、Auth0をパブリッククラウド環境にてご利用のお客様へ、2020年12月15日よりアマゾン ウェブ サービス(以下、AWS)東京リージョン上で構築した環境にて提供開始いたしました。これにより、パブリッククラウド 環境をご利用のお客様は、これまでの米国、欧州、豪州に加え、日本国内のAWSデータセンターからサービスの利用が可能になります。 本発表について、Auth0 共同創業者CEOのユーへニオ・ペースは以下の様に述べています。 「日本企業においては企業規模に関わらずクラウドの利活用が重要であり、弊社としても高まる日本企業からの

                                                                                Auth0、AWS東京リージョンで提供開始
                                                                              • Auth0 Organizationsという素晴らしい機能を今更ながら紹介する

                                                                                はじめに Auth0いいですよね! 認証/認可をほとんどおまかせすることができて、ログインページも作ってくれるし、セッション管理もしてくれる。SPAでも。SDKで簡単にトークンの更新をifreameでよしなにやってくれたりと、かなり神ががっているIDaaSです。 そんなAuth0にOrganizationsという機能が2021年4月にリリースされていました。 最近はReactを触ったり、Kotlinを触ったりと全然別のことばかりしていたので、キャッチアップが遅れてしまったのですが、色々試したりして、辛かったマルチテナントの認証/認可が簡単になる可能性を多大に感じたのでまとめてみました。 ただ、もう少しコレがあれば...!と思う点もあったので、そこも踏まえてご紹介していきます。 ※ Auth0をちょっと知っている人向けに書くので、細かい用語の説明は入れません Auth0 Organizati

                                                                                  Auth0 Organizationsという素晴らしい機能を今更ながら紹介する
                                                                                • Okta Customer Identity Cloud(旧Auth0)を活用したログイン画面のカスタマイズ方法 その2(Chat GPTも使って配色を設定してみる) - TC3株式会社|GIG INNOVATED.

                                                                                  Okta Customer Identity Cloud(旧Auth0)を活用したログイン画面のカスタマイズ方法 その2(Chat GPTも使って配色を設定してみる) 前回は、最も簡単なデザイン変更を行いましたので、今回はもう一歩踏み込んだデザイン変更をご紹介いたします。 今回参考にしたドキュメントはこちらです。 https://manage.cic-demo-platform.auth0app.com/docs/customize/universal-login-pages/customize-new-universal-login-with-the-no-code-editor 今回もダッシュボードから行えるカスタマイズですが、設定できる内容がとても多いため、まずは色の変更からご紹介いたします。 ダッシュボードのメニュー Branding -> Universal Login を開き、

                                                                                  新着記事