book

OAuthによるクラウドネイティブなデータセキュリティ

by Gary Archer, Judith Kahrer, Michał Trojanowski

March 2025

Intermediate to advanced

390 pages

6h 5m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

この本を書いた理由この本は誰のためにあるのか？何を学ぶかクラウドネイティブ環境この本には書かれていないことコード例を使う用語解説本書の構成本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞
APIファーストのセキュリティOAuth 2.0とは何か？ゼロトラスト・セキュリティAPIと境界セキュリティインフラセキュリティを備えたAPIトークン・ベースのセキュリティを持つAPI顧客からのゼロトラストユーザのゼロトラストAPIサポート・コンポーネントクラウドネイティブ・プラットフォーム概要
役割抽象化の流れアクセストークンクライアントの能力パブリックおよびコンフィデンシャル・クライアントコードの流れデバイスの流れクライアント資格情報の流れリフレッシュ・トークンの流れ古いフローOpenID Connectハイブリッド・フローユーザ情報OAuthの進化セッションとライフサイクル取り消しフローSSOを終了する概要
APIセキュリティアーキテクチャとは何か？APIセキュリティアーキテクチャにおける関数アイデンティティ管理API管理エンタイトルメント・マネジメントクライアントの役割アクセストークンの役割どのようなセキュリティ・コンポーネントが必要か？認証サーバの役割APIゲートウェイの役割政策エンジンの役割APIの責任クライアントのレスポンスオペレーティング・セキュリティ・コンポーネントOAuthを拡張する概要
認証サーバデータOAuthコンフィギュレーションセットユーザアカウントを設計する個人情報ビジネスユーザの属性APIユーザIDアイデンティティ演算子ユーザ管理APIマルチリージョンマルチテナンシーユーザ移行コード例概要
JWTトークンで統一されたAPIセキュリティJWTアクセストークンを検証するJSONウェブ・キートークン署名鍵のローテーションJWT標準クレームJWT検証のベストプラクティスJWT検証コードAPI認可ロジックスコープを粒度の粗い認可に使うきめ細かな認可のためにクレームを使用する柔軟性のあるデザインAPIでトークンの有効期限を処理するゼロトラストAPIのテストAPIコード例概要
アクセストークン契約契約を公表する契約のバージョントークンのスコープを理解するOpenID Connectのスコープ高い特権スコープトークン・クレームを理解する良いクレームとは何か？クレームとスコープの関係観客の主張クレームのデータソースユーザの同意を得る規模に応じてアクセストークンを管理するスコープを拡大するクレームの拡大トークン共有をデザインするトークン交換トークンの中にトークンを埋め込むAPIインテグレーション非同期通信用トークン概要

セキュア・アクセストークンの要件アクセストークンの形式JWTトークン暗号化されたJWTアクセストークン不透明なアクセストークンラップされた不透明なアクセストークンアクセストークンの配布内観幻のトークン・パターンスプリット・トークン・パターンアクセストークンを強化するJWT署名アルゴリズムを選択する所持証明書を使用するブラウザの資格情報を強化する最小特権アクセストークンを使用するアクセストークンの有効期間を制限するトークンの失効を計画する安全な開発プラクティスに従う概要
HTTPプロキシ、イングレス、イグレスAPIゲートウェイの役割KubernetesでAPIを公開するNetwork+を設定するAPIゲートウェイをデプロイする。Ingressリソースを使ってAPIを公開するAPIを公開するためにゲートウェイAPIリソースを使う拡張可能なゲートウェイを選ぶトークンの終了不透明トークンの終了セキュアクッキーの終了送信者制約付きトークンの終了APIゲートウェイとゼロトラストサービスメッシュの役割APIゲートウェイの拡張性の例クラスタを作成するAPIゲートウェイをデプロイする。認証サーバをデプロイする。サンプルAPIをデプロイするOAuthクライアントを実行するAPIゲートウェイ・プラグインを使う概要
アクセス・コントロール・モデル役割ベースのアクセス制御リレーションシップに基づくアクセス制御属性ベースのアクセス制御最小権限の原則トークン・ベースの認可の役割エンタイトルメント管理システムの利点柔軟性監査可能性セキュリティ・アジリティポリシー・アズ・コードによる品質保証スケーラブルな認証方針政策運営点ポリシー検索点政策決定点ポリシー実施点政策情報点オープン・ポリシー・エージェントOPAでポリシーを書く外部データをロードする請求に基づく承認決定結果認可決定を監査するOPAにおけるポリシー検索デプロイ例概要
ワークロード ID発行リクエストの機密性を実装するワークロードへのアクセスを制限する資格情報をハード化するプラットフォームが発行したJWTを資格情報として使用する。X.509 SVID を資格情報として使用する。ベアラートークンを強化するワークロード・アイデンティティの限界ワークロード・アイデンティティ・コードの例ベースセットアップワークロードアイデンティティを透過的に使用するJWTワークロードアイデンティティを使用するX.509 ワークロード ID の使用概要
ホスティングコンポーネントクラスタリングアドレス指定デプロイビルド・プロセス環境設定デプロイ・プロセスアップグレードデータオペレーションユーザアカウントの更新コンフィギュレーション・アップデート信頼性高可用性迅速な問題解決セキュリティ監査概要
コードの流れOAuthクライアントを実装するデスクトップ・アプリケーションのためのOAuthモバイル・アプリケーションのためのOAuthデバイスの安全なストレージセキュリティを強化する動的クライアント登録デバイスごとの固有キー申請証明書ブラウザレス・ユーザ認証コード例コンソール・アプリケーションデスクトップ・アプリケーションモバイル・アプリケーション概要
ウェブアプリケーションの基本WebサイトとWebアプリケーションの比較ウェブアプリケーションアーキテクチャブラウザベースのアプリケーションブラウザ・セキュリティの脅威クリックジャッククロスサイト・リクエスト・フォージェリクロスサイト・スクリプティングウェブ・セキュリティの仕組み同一原産地ポリシーコンテンツ・セキュリティ・ポリシー安全なクッキー設定クロスオリジン・リソース共有JavaScriptを使ってOAuthを実装するトークンを入手する一般顧客サイレント認証リフレッシュ・トークントークン・ストレージフロントエンド向けのバックエンドを使用してOAuthを実装するBFF OAuthクライアントBFF APIルーターAPI主導の実装BFF APIインタフェースウェブ開発者体験OAuthのセキュリティを強化するAPIリクエストでクッキーを使用するデプロイの選択デプロイのスケーリングBFF実装を選択するブラウザベースのアプリケーション・コード例OAuthエージェントAPIゲートウェイルートOAuthプロキシブラウザベースのアプリケーション概要
最新の認証フローユーザ認証メソッドパスワード外部IDプロバイダーワンタイムパスワードパスワードレス認証身分証明カスタムユーザ認証ユーザ認証テクニック多要素認証ステップアップ認証シングルサインオン認証メソッドを変更するアカウント・リンク認証アクション認証の選択ユーザ認証のライフサイクルユーザフォームのカスタマイズユーザ・オンボーディングアカウント回復アクセスを拒否するユーザの廃止ゼロトラスト・ユーザ認証の例概要

Overview

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

クラウドネイティブアプリケーションの成長に伴い、開発者はあらゆる作業を実行するためにAPIにますます依存するようになっている。しかし、セキュリティは遅れがちであり、APIは貴重なビジネスデータへのアクセスを狙う悪意のある行為者にとって魅力的な標的となっている。APIセキュリティのための強力なフレームワークであるOAuthは、機密性の高いビジネスデータを保護し、動的なアクセス制御を実行するためのツールを提供している。しかし、その潜在能力を最大限に活用するには、標準以上のもの、すなわち進化するセキュリティの要求に対応するための戦略が必要である。

開発者、アーキテクト、セキュリティ専門家のために設計されたこのガイドでは、クラウドネイティブ時代におけるAPIのセキュリティ確保に必要なすべてを提供し、お客様のビジネスデータの保護を保証します。OAuthのトークンベースのモデルとKubernetesのようなクラウドネイティブプラットフォームを組み合わせ、スケーラブルなゼロトラストセキュリティアーキテクチャを構築する方法を学んでいただけます。OAuth を使用すると、単純な許可/拒否規則を超えて、ビジネスニーズに合わせたセキュリティポリシーを作成できる。一方、Kubernetes は、システムを安全かつ効率的に保つための最高クラスのデプロイパターンを提供する。