1Password Connect Serverのセキュリティについて

インフラストラクチャ内に 1 つ以上の 1Password Connect サーバーを展開して、アプリケーションと 1Password サービス間のブリッジとして機能させることができます。Connect サーバーを使うと、 Connect REST APIを介して 1Password からの情報をアプリケーション、ツール、パイプラインと安全に共有できます。Connect サーバーのセキュリティの詳細については、ページのセクションを確認してください。1Password のセキュリティ プラクティスの詳細については、1Password セキュリティ ホームページをご覧ください。

アクセス制御

Connect サーバーをCreateするときに、サーバーがアクセスできる保管庫を選択します。Connect サーバーは、Connect サーバー トークンを通じて明示的にアクセスを許可された保管庫にのみアクセスできます。

承認

承認されたクライアントのみが Connect サーバーから情報を取得できます。

クライアント アプリケーション、サービス、または API が Connect サーバーに情報を要求する場合、HTTP 要求にはAuthorization認証トークンを含むヘッダーが必要です。そうでない場合、Connect サーバーは要求を拒否します。

認証トークンは、CreateされたConnectサーバーでのみ有効です。Connectサーバーが使う1Passwordアカウントのキーで署名され、ES256署名アルゴリズムが使用されます。。

サーバートークン

Connect サーバー トークンは、Connect サーバーが 1Password で認証できるようにする認証文字列です。

各 Connect サーバーは 1 つ以上の Connect サーバー トークンを持つことができ、これにより、よりきめ細かなaccess controlが可能になります。Connect サーバー トークンは、アクセスを許可した保管庫内の情報にのみアクセスできます。これにより、Connect サーバー デプロイメントがアクセスできる保管庫をよりきめ細かく制御できます。例えば、Connect サーバー トークンに、Connect サーバーがアクセスできる保管庫の特定のサブセットへのアクセスを許可できます。

トークンローテーション

Connect サーバー トークンを変更または更新することはできません。Connect サーバー トークンが侵害された場合は、新しいトークンをCreateする必要があります。

Connect サーバー トークンをローテーションするには:

• ①新しい Connect サーバー トークンをCreateします。

• ②古い Connect サーバー トークンへの全ての参照を更新します。

• ③古い Connect サーバー トークンへのアクセスを取り消します。

セキュリティモデル

Connect サーバーのセキュリティ モデルには、次の保証があります。

• 接続トークンは、明示的にアクセスREADを許可した保管庫からのアイテムのみを読み取ることができます。

• 接続トークンでは、WRITEアクセス権が付与された保管庫内のアイテムのみを更新、削除、Createできます。

• 接続サーバー トークンには、アクセス権を持つ保管庫へのアクセス権のみを与えることができます。

• 削除されたアカウントに関連付けられた接続サーバー トークンは認証できません。

• 接続サーバー トークンを使用して別の接続サーバー トークンをCreateすることはできません。

資格情報ファイル

Connect サーバーをCreateすると、 1password-credentials.jsonという名前の資格情報ファイルが生Createされます。このファイルには次のコンポーネントがあります。責任ある開示

1Password では、脆弱性を発見した場合には責任ある開示をお願いしています。脆弱性を発見した場合は、 BugCrowdを通じてリクエストを提出してください。