SSOで支える大規模環境の開発運用/Developing and Operating Large-Scale Environments Supported by SSO

Transcript

1. SSOで支える大規模環境の開発運用 イオンスマートテクノロジー株式会社 DevSecOps Div SREチーム 林 如弥 JTCのリアルトーク！KODANSHAtechとAEON - AEON

   TECH HUB 2024年7月18日

2. Agenda • • イオンスマートテクノロジーのSSO利用状況 • SSOの活用パターン • SSO導入時にハマったポイント • まとめ

3. 自己紹介

4. もりはや aka 林 如弥（@morihaya55） イオンスマートテクノロジー株式会社 DevSecOps Div SREチーム所属 （2024/3入社） 趣味：Podcast鑑賞・映画鑑賞・読書・ジョギング

   おすすめのPodcast 「COTENラジオ」 おすすめの書籍 「数理思考モデルで紐解く RULE DESIGN」 おすすめの映画 「RRR」

5. イオングループ紹介

6. イオングループ紹介 - 関連数字 https://www.aeon.info/company/ - "INFOGRAPHICS 数字で見るイオングループ"

7. イオングループ紹介 - イオンの主な事業 https://www.aeon.info/company/message/profile/ - "イオン会社案内2024 - イオンの主な事業"

8. イオングループ紹介 - グループ企業 https://www.aeon.info/company/group/ - "グループ事業・企業紹介" # 純粋持株会社 イオン（株） #

   GMS（総合スーパー）事業 イオン九州（株） イオン北海道（株） （株）キャンドゥ （株）サンデー イオンスーパーセンター（株） イオン東北（株） イオンバイク（株） イオンリカー（株） イオンリテール（株） イオン琉球（株） アクティア（株） オリジン東秀（株） トップバリュコレクション（株） # SM（スーパーマーケット）事業 （株）いなげや （株）フジ マックスバリュ東海（株） ミニストップ（株） ユナイテッド・スーパーマーケット・ホールディングス（株） イオンサヴール（株） イオンマーケット（株） （株）カスミ （株）光洋 （株）ダイエー ビオセボン・ジャポン（株） まいばすけっと（株） マックスバリュ関東（株） マックスバリュ北陸（株） （株）マルエツ DS（ディスカウントストア）事業 イオンビッグ（株） （株）ビッグ・エー # ヘルス&ウエルネス事業 ウエルシアホールディングス（株） （株）イオンボディ イオンレーヴコスメ（株） ウエルシア薬局（株） （株）ウェルパーク （株）クスリのマルエ （株）コクミン コスメーム（株） シミズ薬品（株） （株）ププレひまわり （株）丸大サクラヰ薬局 （株）よどや （株）MASAYA # 総合金融事業 イオンフィナンシャルサービス（株） AEON CREDIT SERVICE (ASIA) CO., LTD. AEON CREDIT SERVICE (M) BERHAD AEON THANA SINSAP (THAILAND) PLC. イオン・アリアンツ生命保険（株） （株）イオン銀行 イオン住宅ローンサービス（株） イオン保険サービス（株） イオン・リートマネジメント（株） フェリカポケットマーケティング（株） ACSリース（株） AFSコーポレーション（株） AEON Financial Service (Hong Kong) Co., Ltd. # ディベロッパー事業 イオンモール（株） イオンタウン（株） （株）OPA # サービス・専門店事業 イオンディライト（株） （株）イオンファンタジー （株）コックス （株）ジーフット （株）イオンイーハート イオンエンターテイメント（株） イオンカルチャー（株） イオンコンパス（株） イオン・シグナ・スポーツ・ユナイテッド（株） イオンペット（株） イオンライフ（株） ブランシェス（株） （株）プレステージシューズ （株）未来屋書店 （株）メガスポーツ メガペトロ（株） リフォームスタジオ（株） R．O．U（株） # 国際事業 ## 中国 AEON Stores (Hong Kong) Co., Limited AEON（CHINA）CO., LTD. AEON EAST CHINA (SUZHOU) CO., LTD. AEON (HUBEI) CO., LTD. AEON South China Co., Limited BEIJING AEON CO., LTD. GUANGDONG AEON TEEM CO., LTD. QINGDAO AEON DONGTAI CO., LTD. ## ASEAN AEON CO. (M) BHD. AEON BIG (M) SDN.BHD. AEON（CAMBODIA）Co.,Ltd. AEON ORANGE COMPANY LIMITED AEON（Thailand）CO., LTD. AEON VIETNAM Co., LTD. DONG HUNG INVESTMENT DEVELOPMENT CONSULTANCY JOINT STOCK COMPANY LIMITED PT.AEON INDONESIA # 機能会社・その他 アビリティーズジャスコ（株） イオンアイビス（株） イオンアグリ創造（株） イオングローバルSCM（株） イオンスマートテクノロジー（株） イオントップバリュ（株） イオンネクスト（株） オンラインマーケット イオンフードサプライ(株) イオンベーカリー（株） イオンマーケティング（株） コルドンヴェール（株） （株）生活品質科学研究所 イオン商品調達（株） Aeon Digital Management Center AEON TOPVALU (CHINA) CO.,LTD. AEON TOPVALU (HONG KONG) CO., LIMITED AEON TOPVALU (THAILAND) CO.,LTD. AEON TOPVALU VIETNAM COMPANY LIMITED Tasmania Feedlot Pty. Ltd. （公財）イオン環境財団 （公財）イオンワンパーセントクラブ （公財）岡田文化財団 その数119

9. イオングループ紹介 - グループ企業 私が所属する 「イオンスマートテクノロジー株式会社」 はこちらにあります。

10. イオングループ紹介 - グループ企業 https://www.aeon.info/company/group/ - "グループ事業・企業紹介" # 純粋持株会社 イオン（株） #

    GMS（総合スーパー）事業 イオン九州（株） イオン北海道（株） （株）キャンドゥ （株）サンデー イオンスーパーセンター（株） イオン東北（株） イオンバイク（株） イオンリカー（株） イオンリテール（株） イオン琉球（株） アクティア（株） オリジン東秀（株） トップバリュコレクション（株） # SM（スーパーマーケット）事業 （株）いなげや （株）フジ マックスバリュ東海（株） ミニストップ（株） ユナイテッド・スーパーマーケット・ホールディングス（株） イオンサヴール（株） イオンマーケット（株） （株）カスミ （株）光洋 （株）ダイエー ビオセボン・ジャポン（株） まいばすけっと（株） マックスバリュ関東（株） マックスバリュ北陸（株） （株）マルエツ DS（ディスカウントストア）事業 イオンビッグ（株） （株）ビッグ・エー # ヘルス&ウエルネス事業 ウエルシアホールディングス（株） （株）イオンボディ イオンレーヴコスメ（株） ウエルシア薬局（株） （株）ウェルパーク （株）クスリのマルエ （株）コクミン コスメーム（株） シミズ薬品（株） （株）ププレひまわり （株）丸大サクラヰ薬局 （株）よどや （株）MASAYA # 総合金融事業 イオンフィナンシャルサービス（株） AEON CREDIT SERVICE (ASIA) CO., LTD. AEON CREDIT SERVICE (M) BERHAD AEON THANA SINSAP (THAILAND) PLC. イオン・アリアンツ生命保険（株） （株）イオン銀行 イオン住宅ローンサービス（株） イオン保険サービス（株） イオン・リートマネジメント（株） フェリカポケットマーケティング（株） ACSリース（株） AFSコーポレーション（株） AEON Financial Service (Hong Kong) Co., Ltd. # ディベロッパー事業 イオンモール（株） イオンタウン（株） （株）OPA # サービス・専門店事業 イオンディライト（株） （株）イオンファンタジー （株）コックス （株）ジーフット （株）イオンイーハート イオンエンターテイメント（株） イオンカルチャー（株） イオンコンパス（株） イオン・シグナ・スポーツ・ユナイテッド（株） イオンペット（株） イオンライフ（株） ブランシェス（株） （株）プレステージシューズ （株）未来屋書店 （株）メガスポーツ メガペトロ（株） リフォームスタジオ（株） R．O．U（株） # 国際事業 ## 中国 AEON Stores (Hong Kong) Co., Limited AEON（CHINA）CO., LTD. AEON EAST CHINA (SUZHOU) CO., LTD. AEON (HUBEI) CO., LTD. AEON South China Co., Limited BEIJING AEON CO., LTD. GUANGDONG AEON TEEM CO., LTD. QINGDAO AEON DONGTAI CO., LTD. ## ASEAN AEON CO. (M) BHD. AEON BIG (M) SDN.BHD. AEON（CAMBODIA）Co.,Ltd. AEON ORANGE COMPANY LIMITED AEON（Thailand）CO., LTD. AEON VIETNAM Co., LTD. DONG HUNG INVESTMENT DEVELOPMENT CONSULTANCY JOINT STOCK COMPANY LIMITED PT.AEON INDONESIA # 機能会社・その他 アビリティーズジャスコ（株） イオンアイビス（株） イオンアグリ創造（株） イオングローバルSCM（株） イオンスマートテクノロジー（株） イオントップバリュ（株） イオンネクスト（株） オンラインマーケット イオンフードサプライ(株) イオンベーカリー（株） イオンマーケティング（株） コルドンヴェール（株） （株）生活品質科学研究所 イオン商品調達（株） Aeon Digital Management Center AEON TOPVALU (CHINA) CO.,LTD. AEON TOPVALU (HONG KONG) CO., LIMITED AEON TOPVALU (THAILAND) CO.,LTD. AEON TOPVALU VIETNAM COMPANY LIMITED Tasmania Feedlot Pty. Ltd. （公財）イオン環境財団 （公財）イオンワンパーセントクラブ （公財）岡田文化財団 その数119

11. イオングループ紹介 - グループ企業 - 機能会社・その他 https://www.aeon.info/company/group/ - "グループ事業・企業紹介" # 機能会社・その他

    アビリティーズジャスコ（株） イオンアイビス（株） イオンアグリ創造（株） イオングローバルSCM（株） イオンスマートテクノロジー（株） イオントップバリュ（株） イオンネクスト（株） オンラインマーケット イオンフードサプライ(株) イオンベーカリー（株） イオンマーケティング（株） コルドンヴェール（株） （株）生活品質科学研究所 イオン商品調達（株） Aeon Digital Management Center ...(略)

12. 会社紹介

13. 会社紹介

14. 会社紹介

15. iAEONアプリについて 膨大なIDと購買データを集約したアプリ「iAEON」 iAEON（アイイオン）はイオングループが提供する決済機能やポイントプログラムを1つにまとめたアプリです。 イオングループ内の多数の事業会社がもつ顧客IDを一つのアプリに統合しています。 提供開始から約3年で、iAEONは858万人以上の会員を抱え（24年7月時点）、総ダウンロード数は1000万を2024年6月に突破しました。

16. IAEONアプリについて - おすすめ機能 レシートレス機能 - 2024/6/21にリリース！！！ https://www.aeon.com/aeonapp/service/digitalreceipt/ - "レシートレス機能"

17. イオンで利用している技術スタック（一部） https://speakerdeck.com/aeonpeople/aeon-engineer-recruitment-deck - "イオングループエンジニア向け会社紹介資料 P19"

18. イオンスマートテクノロジーのSSO利用状況

19. ASTのSSO利用状況 現状SSOでログインできるもの

20. ASTのSSO利用状況 SSOを利用することで嬉しいこと • ユーザーの利便性向上: o 1箇所の認証で複数のシステムやサービスにアクセスできるため、ユーザーは多数のログイン情報を覚える必要がな くなる o アプリケーションギャラリーによって、自分ログイン可能なサービスが可視化される o

    複数のシステムへのログイン時間が削減され作業スピードが向上 o パスワード忘れによる問い合わせも減少する • システム管理の簡素化: o ユーザーアカウントの一元管理が可能になり、登録や異動や退職時のアカウント管理も容易になる • コンプライアンスとセキュリティポリシーの強化: o アクセス制御や多要素認証などの機能を統合的に適用できるため、組織全体のセキュリティレベルを向上させるこ とができる

21. ASTのSSO利用状況 • Azureで提供されるフルマネージドなディレクトリサービス • Entra IDはイオングループ内に複数存在する o ASTが管理する専用のEntra IDと、イオンアイビスが管理する全社向けの共通基盤とし てのEntra

    IDなど、各社で保持する場合がある o せっかくのSSOだがIdPがSingleではないことは課題... ▪ ただし、分離することで管理速度は向上 Microsoft Entra IDをIdPとして利用している（以後Entra ID)

22. ASTのSSO利用状況 SSOだがIdPは複数存在 イオンアイビス管理のEntra ID AST管理のEntra ID

23. SSOの活用パターン

24. SSOの活用パターン SSOの活用パターンは以下のように分類できる 1. 単純なユーザ認証 2. ユーザ認証およびグループ情報 3. SCIMによるユーザとグループのプロビジョニング

25. • ユーザの認証をEntra IDで行う • 初回ログイン時にプロビジョニング（作成）できる（認証先次第だが） • 認証先の権限は認証先で管理 • 具体例としてはPagerDuty o

    ユーザ数による課金体系のためログインの可否をEntra IDで制御 o ログイン後の権限はPagerDuty内で柔軟に管理する 単純なユーザ認証

26. • ユーザの認証に加えてグループの情報をEntra IDから認証先へ渡す • ユーザは所属するEntra IDのグループによって認証先の権限が付与される • 具体例としてはAkamai Portal o

    認証先での権限が明確に限定されている o Akamaiを管理する会社が異なったためユーザ追加時は都度申請が必要だったが、 SSO導入後はAST内部でコントロール可能になった ユーザ認証およびグループ情報

27. • SCIM(System for Cross-domain Identity Management)はプロトコル • 定期的にユーザとグループの情報をEntra IDから認証先へ同期する •

    従来のSSOの課題だった「ユーザ/グループの削除」に対応するのが嬉しい • 具体例としてはNew Relic o Basicタイプのユーザの場合課金不要なため既存のEntra IDグループを利用 o FSOタイプは課金が発生するため手動管理を実施 o 運用上の重要なツールとなり、ユーザ作成の依頼が増えたことで 煩雑になりつつあったが、SSO導入によってToilを削減できた SCIMによるユーザとグループのプロビジョニング

28. SSO導入時にハマったポイント

29. 適切なグループ属性を送る方法に悩んだ 最終的に以下の2点を設定した - アプリにアサインされたグループ指定 - グループの表示名 SSO導入時にハマったポイント

30. SCIMで送る属性の設定がSSOの設定とは別にあった 属性情報は通常"SIngle sign-on"で設定するが、 SCIMの場合"Provisioning"で設定する SSO導入時にハマったポイント

31. まとめ

32. • 煩雑になりがちなID管理をSSOによって集約していく道半ば • 人、ツールのスケールの変化に備えやすくなる • 単純にSSOと言っても、利用するツールによって利用の仕方が異なる • 簡単に思えてハマりポイントもなんだかんだある... • SSOの導入は早ければ早いほど長期的に効果が出て良い

    まとめ

33. 告知

34. 告知 https://aeon.connpass.com/event/320677/

35. 募集しています！