参考
SAML
【#27 SSO SAML】シングルサインオン セキュリティのお勉強 - YouTube
理解通り。
リバプロSSO
www.youtube.com
目からうろこ。
ケルベロス
www.youtube.com
わかりやすい。
SAML
【#27 SSO SAML】シングルサインオン セキュリティのお勉強 - YouTube
理解通り。
リバプロSSO
www.youtube.com
目からうろこ。
ケルベロス
www.youtube.com
わかりやすい。
OAuth2.0を図解してみた(解説) - YouTube
OAuthを分かりやすく解説(セキュリティ入門#7) - YouTube
OAuthとパスワード - インゲージ情報セキュリティ講座 - YouTube
サービスはトークンにより、別サービスのデータへのアクセスが許可される。トークン取得時には認証/認可が必要。
例) 昨今のメーラーはID/PW保存しない実装がされてる。
OAuth & OIDC 入門編 by #authlete - YouTubeより引用
認可する前に、認証もされるケースが多い。
技術 | 標準化の範囲 | トークン |
---|---|---|
Oauth2.0 | 認可 | アクセストークン |
OpenID Connect | 認証 | IDトークン |
OAuth アクセストークンの実装に関する考察 - Qiita
失効のリアルタイム実装は難しい。
アクセストークンの有効期限を短くするのが妥当。
SNSや既存のOpenIDConnectまたはSAML2.0IDプロバイダーによるユーザー認証が可能。
管理コンソールだけで設定可能
既存のLDAPサーバーまたはActiveDirectoryサーバーと連携したユーザー認証が可能。
RDMBS等、他のユーザー情報ストアとの連携も独自プロバイダ構成により可能。
KeyCloakとの連携を容易にする為の、SP向けのライブラリ。さまざまなプラットフォーム、言語向けにあり。
SAML2.0とOpenID Connect用があり。
※ SAML2.0とOpenID Connectプロトコルに標準対応してる為、他ライブラリも利用可能。
機能の有効/無効化、IDブローカリングとユーザーフェデレーションの構成
SPの作成・管理、承認ポリシーの定義
ユーザーの権限やセッション管理
等
ユーザーの自アカウントの管理機能
プロファイルの更新、パスワードの変更、および2要素認証の設定
セッション管理、アカウントの履歴表示
ロールベースだけでなく、個別のきめ細かい承認ポリシーも管理コンソールで定義可能。
参考サイトから引用
Product Overview — Mattermost documentation
Team Edition vs Enterprise - #3 by tomstieger - Mattermost Discussion Forums
Self-Managed Pricing - Mattermost - Open-source collaboration, self-managed or SaaS
オンプレ利用可能、MITライセンスで無償利用可能
オンプレ利用可能、有償
クラウドのみ、有償
Team Editionは利用孵化。EnterPrise機能は実装されてるが、有効化する機能がない。
Enterprise Editionは利用可能。ライセンスキー投入により、EnterPrise機能が有効化される。
EnterPrise機能が必要になった段階で、EnterPrise機能をシームレスに有効化できる。
ライセンスキーを投入せず利用しても問題なし。
エンタープライス機能が利用可能。以下2タイプがあり
単一の顧客専用のAWSVPC内のプライベート環境にデプロイされる。
基盤のデプロイ・運用はMattermost社が専門家が実施。
例) https://example.com/loginでCookieを得た場合
※.example.comは送信、example.com以外のドメインには送らない。
Cookie入手元サイト全体に送る。
アクセスしたドメインとは別のドメインから発行されたCookie
例)
アクセスしたコンテンツ内の別サイトの広告から得たCookie
1サイト内で、複数サイトのデータをビューする場合など、広告以外の用途で利用される場合もあり、ブラウザで無効化すると動作しないサイトもあり。
スパム対策メッセージ ヘッダー | Microsoft Learn
DMARCとは? | SendGridブログ
Define your DMARC record - Google Workspace Admin Help
https://www.iijmio.jp/guide/senderauth/
DMARC 詳細仕様-2 | なりすまし対策ポータル ナリタイ
https://support.qualitia.co.jp/s/article/000002563?language=ja
→サブドメインにも影響与える。dmarc認証する時に、チェック対象ドメインのdmarcレコードを確認するが、定義ない場合に、親ドメインのdmarcレコードを見るフローがあるのだろう。
親ドメインにdmarcレコードあり&spなしの場合
→pに従う
親ドメインにdmarcレコードあり&spありの場合
→spに従う
外部ウェブサイト)PowerDMARC: DMARCレコードチェッカーツール
外部ウェブサイト)MXToolBox:DMARC Check Tool
https://baremail.jp/blog/2023/09/26/3474/
チェックの厳しさ
以下2種類あり
relaxed
ヘッダFromの組織ドメインと、SPFやDKIMで認証したドメインが同じなら成功。サブドメインを利用していても一致とみなす
strict
ヘッダFromのFQDNがSPFアライメントの場合はReturn-Path(エンベロープFrom)と、DKIMアライメントの場合は署名ドメインが完全に一致
組織ドメインの定義があるのだろう。
fromアドレスのドメイン部分=組織ドメインではないのだろう。
fromアドレスのドメイン部分=ヘッダFromのFQDN
なのだろう。
https://eng-blog.iij.ad.jp/archives/3273
やっぱりそうだ。
ポイントとしては
relaxedは組織ドメインで評価しサブドメインマッチを許可、restrictはfromヘッダなドメインと完全マッチと覚える