book

OAuthによるクラウドネイティブなデータセキュリティ

by Gary Archer, Judith Kahrer, Michał Trojanowski

March 2025

Intermediate to advanced

390 pages

6h 5m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

この本を書いた理由この本は誰のためにあるのか？何を学ぶかクラウドネイティブ環境この本には書かれていないことコード例を使う用語解説本書の構成本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞
APIファーストのセキュリティOAuth 2.0とは何か？ゼロトラスト・セキュリティAPIと境界セキュリティインフラセキュリティを備えたAPIトークン・ベースのセキュリティを持つAPI顧客からのゼロトラストユーザのゼロトラストAPIサポート・コンポーネントクラウドネイティブ・プラットフォーム概要
役割抽象化の流れアクセストークンクライアントの能力パブリックおよびコンフィデンシャル・クライアントコードの流れデバイスの流れクライアント資格情報の流れリフレッシュ・トークンの流れ古いフローOpenID Connectハイブリッド・フローユーザ情報OAuthの進化セッションとライフサイクル取り消しフローSSOを終了する概要
APIセキュリティアーキテクチャとは何か？APIセキュリティアーキテクチャにおける関数アイデンティティ管理API管理エンタイトルメント・マネジメントクライアントの役割アクセストークンの役割どのようなセキュリティ・コンポーネントが必要か？認証サーバの役割APIゲートウェイの役割政策エンジンの役割APIの責任クライアントのレスポンスオペレーティング・セキュリティ・コンポーネントOAuthを拡張する概要
認証サーバデータOAuthコンフィギュレーションセットユーザアカウントを設計する個人情報ビジネスユーザの属性APIユーザIDアイデンティティ演算子ユーザ管理APIマルチリージョンマルチテナンシーユーザ移行コード例概要
JWTトークンで統一されたAPIセキュリティJWTアクセストークンを検証するJSONウェブ・キートークン署名鍵のローテーションJWT標準クレームJWT検証のベストプラクティスJWT検証コードAPI認可ロジックスコープを粒度の粗い認可に使うきめ細かな認可のためにクレームを使用する柔軟性のあるデザインAPIでトークンの有効期限を処理するゼロトラストAPIのテストAPIコード例概要
アクセストークン契約契約を公表する契約のバージョントークンのスコープを理解するOpenID Connectのスコープ高い特権スコープトークン・クレームを理解する良いクレームとは何か？クレームとスコープの関係観客の主張クレームのデータソースユーザの同意を得る規模に応じてアクセストークンを管理するスコープを拡大するクレームの拡大トークン共有をデザインするトークン交換トークンの中にトークンを埋め込むAPIインテグレーション非同期通信用トークン概要

セキュア・アクセストークンの要件アクセストークンの形式JWTトークン暗号化されたJWTアクセストークン不透明なアクセストークンラップされた不透明なアクセストークンアクセストークンの配布内観幻のトークン・パターンスプリット・トークン・パターンアクセストークンを強化するJWT署名アルゴリズムを選択する所持証明書を使用するブラウザの資格情報を強化する最小特権アクセストークンを使用するアクセストークンの有効期間を制限するトークンの失効を計画する安全な開発プラクティスに従う概要
HTTPプロキシ、イングレス、イグレスAPIゲートウェイの役割KubernetesでAPIを公開するNetwork+を設定するAPIゲートウェイをデプロイする。Ingressリソースを使ってAPIを公開するAPIを公開するためにゲートウェイAPIリソースを使う拡張可能なゲートウェイを選ぶトークンの終了不透明トークンの終了セキュアクッキーの終了送信者制約付きトークンの終了APIゲートウェイとゼロトラストサービスメッシュの役割APIゲートウェイの拡張性の例クラスタを作成するAPIゲートウェイをデプロイする。認証サーバをデプロイする。サンプルAPIをデプロイするOAuthクライアントを実行するAPIゲートウェイ・プラグインを使う概要
アクセス・コントロール・モデル役割ベースのアクセス制御リレーションシップに基づくアクセス制御属性ベースのアクセス制御最小権限の原則トークン・ベースの認可の役割エンタイトルメント管理システムの利点柔軟性監査可能性セキュリティ・アジリティポリシー・アズ・コードによる品質保証スケーラブルな認証方針政策運営点ポリシー検索点政策決定点ポリシー実施点政策情報点オープン・ポリシー・エージェントOPAでポリシーを書く外部データをロードする請求に基づく承認決定結果認可決定を監査するOPAにおけるポリシー検索デプロイ例概要
ワークロード ID発行リクエストの機密性を実装するワークロードへのアクセスを制限する資格情報をハード化するプラットフォームが発行したJWTを資格情報として使用する。X.509 SVID を資格情報として使用する。ベアラートークンを強化するワークロード・アイデンティティの限界ワークロード・アイデンティティ・コードの例ベースセットアップワークロードアイデンティティを透過的に使用するJWTワークロードアイデンティティを使用するX.509 ワークロード ID の使用概要
ホスティングコンポーネントクラスタリングアドレス指定デプロイビルド・プロセス環境設定デプロイ・プロセスアップグレードデータオペレーションユーザアカウントの更新コンフィギュレーション・アップデート信頼性高可用性迅速な問題解決セキュリティ監査概要
コードの流れOAuthクライアントを実装するデスクトップ・アプリケーションのためのOAuthモバイル・アプリケーションのためのOAuthデバイスの安全なストレージセキュリティを強化する動的クライアント登録デバイスごとの固有キー申請証明書ブラウザレス・ユーザ認証コード例コンソール・アプリケーションデスクトップ・アプリケーションモバイル・アプリケーション概要
ウェブアプリケーションの基本WebサイトとWebアプリケーションの比較ウェブアプリケーションアーキテクチャブラウザベースのアプリケーションブラウザ・セキュリティの脅威クリックジャッククロスサイト・リクエスト・フォージェリクロスサイト・スクリプティングウェブ・セキュリティの仕組み同一原産地ポリシーコンテンツ・セキュリティ・ポリシー安全なクッキー設定クロスオリジン・リソース共有JavaScriptを使ってOAuthを実装するトークンを入手する一般顧客サイレント認証リフレッシュ・トークントークン・ストレージフロントエンド向けのバックエンドを使用してOAuthを実装するBFF OAuthクライアントBFF APIルーターAPI主導の実装BFF APIインタフェースウェブ開発者体験OAuthのセキュリティを強化するAPIリクエストでクッキーを使用するデプロイの選択デプロイのスケーリングBFF実装を選択するブラウザベースのアプリケーション・コード例OAuthエージェントAPIゲートウェイルートOAuthプロキシブラウザベースのアプリケーション概要
最新の認証フローユーザ認証メソッドパスワード外部IDプロバイダーワンタイムパスワードパスワードレス認証身分証明カスタムユーザ認証ユーザ認証テクニック多要素認証ステップアップ認証シングルサインオン認証メソッドを変更するアカウント・リンク認証アクション認証の選択ユーザ認証のライフサイクルユーザフォームのカスタマイズユーザ・オンボーディングアカウント回復アクセスを拒否するユーザの廃止ゼロトラスト・ユーザ認証の例概要

Content preview from OAuthによるクラウドネイティブなデータセキュリティ

第4章. OAuthデータ設計

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

OAuthは分散アーキテクチャであり、認証サーバは独自のデータソースを持つ。OAuth を使い始める際、早い段階で考慮すべきことは、将来を見据えたデータ設定を可能にすることである。認証サーバとそのデータを簡単にデプロイできるようにすべきである。認可サーバからのユーザ属性は、APIがユーザのビジネスリソースへのアクセスを正しく認可できるような形でAPIに流れるべきである。

この章では、認可サーバがどのようにデータを管理するかを説明する。次に、このデータを運用するための設計上の選択肢を説明する。特に、ユーザアカウントとユーザ属性について説明する。また、APIと認可サーバ間の依存関係を適切なレベルにするための管理性についても説明する。そして、ビジネスデータが大きくなってもOAuthデータを持ち運べるように、マルチテナンシーとマルチリージョンに関するより広いトピックをカバーする。最後に、認可サーバのユーザ管理APIを使用してユーザアカウントにデータを入力する方法を説明する。まず、認証サーバが使用するデータの種類を理解しよう。

認証サーバデータ

認証サーバは、ビジネス・データとは別に管理するいくつかのタイプの ID データをストアする。これらのタイプは、設定データ、演算子データ、ユーザ ID データに大別される。図 4-1に、認証サーバ・データの例を示す。

Data managed by the authorization server

設定データにはクライアントのセットも含まれる。通常、トークンを受け取る前に、認証サーバにクライアントを登録する必要がある。クライアントごとに、サポートされる認証メソッドなどのポリシーを定義する必要がある。ユーザがクライアント経由でログインすると、認証サーバは設定されたポリシーに応じて適切な認証メソッドを選択する。

コンフィギュレーションは、各クライアントのアクセストークンに含まれるAPIパーミッションや、認証サーバがアクセストークンの電子署名に使用する暗号キーも制御する。秘密とキーの管理は一般的な課題であるため、多くのクラウドプロバイダは、安全な値を保存するためのVaultのようなサービスを提供している。また、例えば、ハードウェア・セキュリティ・モジュールを使用して、鍵材料を生成・保存することもできる。この方法では、認証サーバは機密性の高い鍵材料を保存する必要がない。

認可サーバは、ユーザのアクティビティによる運用データを書き込む。これには、トークンやセッション関連の情報、各種ログが含まれる。この演算子は必要な期間だけ保存する。テクニカル・ログはサポート目的で使用し、監査ログはログイン試行失敗の頻度などセキュリティ・イベントに関する洞察のために使用する。

ユーザ・アイデンティティ・データは、最も設計上の考慮が必要である。通常、認可サーバにユーザアカウントを作成し、ユーザに対して属性を格納できるようにする。認可サーバはまた、ハッシュ化されたパスワードや、より高度なタイプのログイン資格情報を検証するために使用される公開鍵など、ユーザアカウントに対する他のセキュリティ関連データもストアする。多くのユースケースでは、ユーザ作成は、ユーザがサインアップできる ...