Auth0_Recap_Osaka_海外事例_191210.pdf

Transcript

1. auth0.com 海外Guest News Corp Australiaの話。 Auth0 Marketing Manager/Developer Advocate Engineer

   Rica Nakajima @auth0_jp #Auth0JP

2. auth0.com ⾃⼰紹介 名前︓中島 りか ポジション︓Marketing Manager 兼 Developer Advocate Engineer

   前職︓マイクロソフト開発チームのProgram Manager。 ローカルプロダクト（AIチャットボット系）の開発・運⽤ ミートアップのFeedback・感想は#Auth0JP まで︕

3. auth0.com 当⽇のスピーカー • News Corp Australia • Head of Online

   & Subscription Delivery • Andreas Martin （アンドレアス・マーティン）

4. auth0.com News Corp Australiaってどんな会社︖ • オーストラリアでナンバーワンのメディア企業（親会社はNews Corp（本 社︓ニューヨーク）は、ウォール・ストリート・ジャーナル等を発⾏して いるダウ・ジョーンズを傘下に収めている︕とっても有名） •

   デジタルと紙を合わせ40のブランドを抱えている • 毎⽉1600万⼈のオーストラリア⼈が彼らのもつブランドのサービスを利⽤ している

5. auth0.com Auth0利⽤⽤途 ⾃社が保有する40ブランドのメディアサービスのウェブお よびモバイルアプリケーションの認証基盤 || 既存サービスの⼤規模移⾏

6. auth0.com 7年前、有料コンテンツ配信を始めるために内製したアイデンティティ ＆ペイウォール*を使⽤していた • 顧客体験におけるカスタマイズ性の限界 • 新しい要件への対応難（柔軟性/拡張性の⽋如） • ⾼負荷な運⽤コスト News

   Corp Australiaが持っていた当時の課題 *ペイウォールとは︓2010年代半ばから使われている、購⼊や有料サブスクリプションサービスを通じてコンテンツへのアクセ スを制限するための⽅法

7. auth0.com ハイレベルアーキテクチャ

8. auth0.com ⼤規模な移⾏は まさに⼿術の ようなもの・・・

9. auth0.com 6738 移⾏までに⾏った テストケースの回数 11 移⾏開始から完了まで かかった期間（ヶ⽉） 100+ 移⾏に関わった⼈の数 20+

   移⾏に関わった チームの数 13 デプロイメントに かかった時間 500K はじめの⽉で移⾏された アクティブユーザーの数 移⾏にまつわる数字（これだけで⼤変なのがわかる

10. auth0.com 移⾏の攻め⽅ オートマティック マイグレーション バルク マイグレーション クライアントサイド サーバーサイド 既存クレデンシャルを 使⽤したログインによる

    グラデュアルな移⾏ パスワードリセットを 伴うバルクでの移⾏ JavaScriptを使って セッションを ブラウザに保存 セッション情報を 取得して設定するための サーバーサイドAPIコール

11. auth0.com ⼿術結果…

12. auth0.com たくさんの良い結果がありました • 最⼩限のフリクションで360万⼈のユーザー移⾏に成功 • 設定作業だけで開発を⾏わずに済むようになった • より細かくパーソナライゼーションできるようになった • 法⼈向け契約が増えた

    • 社内からプロアクティブに顧客体験向上のための フィードバックがもらえるようになった

13. auth0.com やったね

14. auth0.com Martinさんが学んだこと • 外的内的問わず”変化”を⽢く⾒てはならない • 利害関係者のエンゲージメントと後押しは⾮常に重要 • パフォーマンスが重要である場合は、パフォーマンステスト を前もってきちんと計画すること •

    レポーティングとロギングは成功そしてトラブルシューティ ングにとって重要

15. auth0.com 今後の取り組んでいかなければならないこと • セッションマネジメント/Sign In with Apple • コードの⼀本化（SSOを⽤いたフリクションレスな顧客体験） •

    IDaaS（すぐに使えるサービス）と柔軟性のバランス • クレデンシャルスタッフィング攻撃からの保護

16. auth0.com 会場であったQ&A（⼀部抜粋） Question: 移⾏のためにユーザー対して普段とは異なる画⾯遷移やフ ローを踏ませるなどしたか︖また、それらを⾏う前に事前 に告知したか︖

17. auth0.com 会場であったQ&A（⼀部抜粋） Answer : ⾊々検討し、オプションを考えた結果、積極的にユーザーへの 告知は⾏わなかった。サービスを介して間接的に通知する⽅法 をとった。例えば、ユーザーがサービスにアクセスしたときな どは変更の旨を伝えるメッセージを表⽰させたが、メールで通 知するなど直接的なコミュニケーションはとらなかった。

18. auth0.com 会場であったQ&A（⼀部抜粋） Question: クレデンシャルスタッフィング攻撃の話があったが、その 問題のためにどのような対策を⾏ったのか︖

19. auth0.com 会場であったQ&A（⼀部抜粋） Answer : ブルートフォース（不正アクセス）検知機能は使っているが、検知 できない場合もある。AkamaiのCDAのボット検知機能も使ってい る。ボット検知機能はログインさせる前にもチェックをかけている。 Auth0のビルトインのソリューションとしてこの機能は欲しい ★Auth0では機械学習を⽤いて過去にログイン/ログアウトが通らなかったものをベース にBotかどうか判断するような機能を作っています︕

20. auth0.com このセッションのまとめ ü オーストラリアナンバーワンのメディア企業News Corp Australiaの、40のブラン ドに関わるアプリケーションの認証基盤をがさっと⼊れ替えプロジェクト ü 内製した認証基盤の課題点は、(1)顧客体験におけるカスタマイズ性の限界、(2)新し い要件への対応難（柔軟性/拡張性の⽋如）、(3)⾼負荷な運⽤コスト

    ü Auth0にすることで、(1)顧客体験が柔軟にカスタマイズ可能になり、(2)複雑で時間 のかかる開発作業を排除でき（必要なのは設定作業だけ）、かつ(3)スケーラブルで、 新しい要件にもすぐに対応できるようになり（オープンスタンダードはAuth0が⼀通 りサポート）、管理も楽に

21. auth0.com Auth0 Japan User Community @auth0_jp @auth0jp

22. auth0.com Thanks!