Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Auth0_Recap_Osaka_海外事例_191210.pdf

4ea2009def36bd616611fb6d6bbd1b40?s=47 Auth0 Japan
December 10, 2019

 Auth0_Recap_Osaka_海外事例_191210.pdf

Auth0 Day Recap Meetup in 大阪(12/10)で使用したスライドです。

4ea2009def36bd616611fb6d6bbd1b40?s=128

Auth0 Japan

December 10, 2019
Tweet

Transcript

  1. auth0.com 海外Guest News Corp Australiaの話。 Auth0 Marketing Manager/Developer Advocate Engineer

    Rica Nakajima @auth0_jp #Auth0JP
  2. auth0.com ⾃⼰紹介 名前︓中島 りか ポジション︓Marketing Manager 兼 Developer Advocate Engineer

    前職︓マイクロソフト開発チームのProgram Manager。 ローカルプロダクト(AIチャットボット系)の開発・運⽤ ミートアップのFeedback・感想は#Auth0JP まで︕
  3. auth0.com 当⽇のスピーカー • News Corp Australia • Head of Online

    & Subscription Delivery • Andreas Martin (アンドレアス・マーティン)
  4. auth0.com News Corp Australiaってどんな会社︖ • オーストラリアでナンバーワンのメディア企業(親会社はNews Corp(本 社︓ニューヨーク)は、ウォール・ストリート・ジャーナル等を発⾏して いるダウ・ジョーンズを傘下に収めている︕とっても有名) •

    デジタルと紙を合わせ40のブランドを抱えている • 毎⽉1600万⼈のオーストラリア⼈が彼らのもつブランドのサービスを利⽤ している
  5. auth0.com Auth0利⽤⽤途 ⾃社が保有する40ブランドのメディアサービスのウェブお よびモバイルアプリケーションの認証基盤 || 既存サービスの⼤規模移⾏

  6. auth0.com 7年前、有料コンテンツ配信を始めるために内製したアイデンティティ &ペイウォール*を使⽤していた • 顧客体験におけるカスタマイズ性の限界 • 新しい要件への対応難(柔軟性/拡張性の⽋如) • ⾼負荷な運⽤コスト News

    Corp Australiaが持っていた当時の課題 *ペイウォールとは︓2010年代半ばから使われている、購⼊や有料サブスクリプションサービスを通じてコンテンツへのアクセ スを制限するための⽅法
  7. auth0.com ハイレベルアーキテクチャ

  8. auth0.com ⼤規模な移⾏は まさに⼿術の ようなもの・・・

  9. auth0.com 6738 移⾏までに⾏った テストケースの回数 11 移⾏開始から完了まで かかった期間(ヶ⽉) 100+ 移⾏に関わった⼈の数 20+

    移⾏に関わった チームの数 13 デプロイメントに かかった時間 500K はじめの⽉で移⾏された アクティブユーザーの数 移⾏にまつわる数字(これだけで⼤変なのがわかる
  10. auth0.com 移⾏の攻め⽅ オートマティック マイグレーション バルク マイグレーション クライアントサイド サーバーサイド 既存クレデンシャルを 使⽤したログインによる

    グラデュアルな移⾏ パスワードリセットを 伴うバルクでの移⾏ JavaScriptを使って セッションを ブラウザに保存 セッション情報を 取得して設定するための サーバーサイドAPIコール
  11. auth0.com ⼿術結果…

  12. auth0.com たくさんの良い結果がありました • 最⼩限のフリクションで360万⼈のユーザー移⾏に成功 • 設定作業だけで開発を⾏わずに済むようになった • より細かくパーソナライゼーションできるようになった • 法⼈向け契約が増えた

    • 社内からプロアクティブに顧客体験向上のための フィードバックがもらえるようになった
  13. auth0.com やったね

  14. auth0.com Martinさんが学んだこと • 外的内的問わず”変化”を⽢く⾒てはならない • 利害関係者のエンゲージメントと後押しは⾮常に重要 • パフォーマンスが重要である場合は、パフォーマンステスト を前もってきちんと計画すること •

    レポーティングとロギングは成功そしてトラブルシューティ ングにとって重要
  15. auth0.com 今後の取り組んでいかなければならないこと • セッションマネジメント/Sign In with Apple • コードの⼀本化(SSOを⽤いたフリクションレスな顧客体験) •

    IDaaS(すぐに使えるサービス)と柔軟性のバランス • クレデンシャルスタッフィング攻撃からの保護
  16. auth0.com 会場であったQ&A(⼀部抜粋) Question: 移⾏のためにユーザー対して普段とは異なる画⾯遷移やフ ローを踏ませるなどしたか︖また、それらを⾏う前に事前 に告知したか︖

  17. auth0.com 会場であったQ&A(⼀部抜粋) Answer : ⾊々検討し、オプションを考えた結果、積極的にユーザーへの 告知は⾏わなかった。サービスを介して間接的に通知する⽅法 をとった。例えば、ユーザーがサービスにアクセスしたときな どは変更の旨を伝えるメッセージを表⽰させたが、メールで通 知するなど直接的なコミュニケーションはとらなかった。

  18. auth0.com 会場であったQ&A(⼀部抜粋) Question: クレデンシャルスタッフィング攻撃の話があったが、その 問題のためにどのような対策を⾏ったのか︖

  19. auth0.com 会場であったQ&A(⼀部抜粋) Answer : ブルートフォース(不正アクセス)検知機能は使っているが、検知 できない場合もある。AkamaiのCDAのボット検知機能も使ってい る。ボット検知機能はログインさせる前にもチェックをかけている。 Auth0のビルトインのソリューションとしてこの機能は欲しい ★Auth0では機械学習を⽤いて過去にログイン/ログアウトが通らなかったものをベース にBotかどうか判断するような機能を作っています︕

  20. auth0.com このセッションのまとめ ü オーストラリアナンバーワンのメディア企業News Corp Australiaの、40のブラン ドに関わるアプリケーションの認証基盤をがさっと⼊れ替えプロジェクト ü 内製した認証基盤の課題点は、(1)顧客体験におけるカスタマイズ性の限界、(2)新し い要件への対応難(柔軟性/拡張性の⽋如)、(3)⾼負荷な運⽤コスト

    ü Auth0にすることで、(1)顧客体験が柔軟にカスタマイズ可能になり、(2)複雑で時間 のかかる開発作業を排除でき(必要なのは設定作業だけ)、かつ(3)スケーラブルで、 新しい要件にもすぐに対応できるようになり(オープンスタンダードはAuth0が⼀通 りサポート)、管理も楽に
  21. auth0.com Auth0 Japan User Community @auth0_jp @auth0jp

  22. auth0.com Thanks!