Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話株式会社リンクアンドモチベーション菊池修平

自己紹介菊池修平株式会社リンクアンドモチベーションソフトウェアエンジニア # 普段の業務・フロントエンド設計・開発・認証まわりの組み込み #
最近ハマってること・ポケモンユナイト Link and Motivation Inc. 2

1. 認証基盤を開発して導入した話 2. シングルログアウト問題の話

1. 認証基盤を開発して導入した話

認証基盤開発の背景 Link and Motivation Inc. 5

認証基盤開発の背景認証にdeviseを使用認証にAuth0を使用 Link and Motivation Inc. 6

認証基盤開発の背景認証にdeviseを使用認証にAuth0を使用 Link and Motivation Inc. 7 各プロダクトでログイン・認証処理を実装

ログイン参照 Link and Motivation Inc. 8 ログイン参照ユーザーA
ユーザーA プロダクトごとにユーザー・認証情報を管理

Link and Motivation Inc. 9 ユーザーは各プロダクトでパスワード設定しないといけないシステムは同じユーザーとして紐づけられず、データ連携できないプロダクトごとにユーザー・認証情報を管理ユーザーA ユーザーA
ログイン参照ログイン参照

似たような画面を毎回作成 Link and Motivation Inc. 10

似たような画面を毎回作成プロダクト立ち上げる度に、画面の開発工数がかかる Link and Motivation Inc. 11

共通して使える認証の基盤を作ろう！

どうやって作る？認証基盤クラウド（IDaaS）：Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation
Inc. 13

どうやって作る？認証基盤クラウド（IDaaS）：Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation
Inc. 14 => 認証だけでなく、認証まわりの機能（パスワード変更、再発行など）やその画面の共通化、独自のユーザー処理を挟むため、別途ユーザー管理アプリケーションを開発

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 15 依存認証・認可

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 16 認証システム主な役割・認証データ（ID /
Pass・IdP）管理・ログイン処理（ID / Pass・SSO...）・ログイン画面UI管理・Access Token、ID Tokenの発行

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 17 ユーザー管理システム主な役割・ユーザーのマスタデータ管理・パスワード設定/再発行UI管理
・Auth0、各サービスにユーザーデータを同期

認証基盤の導入によって Link and Motivation Inc. 18 （将来的に）・プロダクトの認証周りの工数削減・認証周りの保守・改善の一元化・シングルサインオンによるログイン体験の向上

認証基盤の開発で困ったこと Link and Motivation Inc. 19 ・認証の仕組み自体はAuth0を使ったが、組み込み等で難しいことはほとんどなかった・Auth0はRailsはもちろんさまざまな言語・フレームワーク用のSDKが用意されており、ドキュメントも豊富にある
・そんな中、一番困ったのがシングルログアウトへの対応

2. シングルログアウト問題の話

シングルログアウト

シングルログアウト（SLO）ユーザが 1 つのアプリケーションからログアウトすると、すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン（SSO） Link and Motivation
Inc. 22

シングルログアウト（SLO）ユーザが 1 つのアプリケーションからログアウトすると、すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン（SSO） Link and Motivation
Inc. 23 SSOより目立たないが実は結構難しい・・

シングルサインオンの流れ Link and Motivation Inc. 24 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン
④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているためすぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス

シングルサインオンの流れ Link and Motivation Inc. 33 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン
④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているためすぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセスアクセストークンを毎回取得しないようにクライアントにキャッシュしている点がポイント

ログアウトの流れ Link and Motivation Inc. 34 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除
③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま

ログアウトの流れ Link and Motivation Inc. 39 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除
③別サービスに移動 ④アクセストークンがローカルストレージに保存されたままそれを使ってAPIにアクセス出来てしまうあるサービスからログアウトしたタイミングで、別サービスのドメインに保存されているアクセストークンを削除するすべがない

他のサービスはどうやって対応しているのか Link and Motivation Inc. 40 ・サービスからログアウトされたら、クライアントに「ログアウトされた」ということを通知するような仕組みを作っていそう（AWSとかそんな挙動っぽい）・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示している
https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service

他のサービスはどうやって対応しているのか Link and Motivation Inc. 41 ・サービスからログアウトされたら、クライアントに「ログアウトされた」ということを通知するような仕組みを作っていそう（AWSとかそんな挙動っぽい）・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示している
https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service => 相当コストと時間がかかるため、別の方法を検討

どうやって対応したか Link and Motivation Inc. 42 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持（Cookieは同じドメインを跨いで共有できるようなスコープにしておく
e.g. ‘mydomain.com’） 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、いずれかのサービスでログアウトされたと見なし、自身からもログアウトする（ローカルストレージからアクセストークンを削除する）

どうやって対応したか Link and Motivation Inc. 43 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持（Cookieは同じドメインを跨いで共有できるようなスコープにしておく
e.g. ‘mydomain.com’） 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、いずれかのサービスでログアウトされたと見なし、自身からもログアウトする（ローカルストレージからアクセストークンを削除する） => ドメインが完全に異なると対応できないため万能ではないが、現状では問題なく動作している

まとめ Link and Motivation Inc. 44 ・複数プロダクトを抱える弊社の認証基盤導入の事例を紹介しました・基盤として共通化することで、コスト削減だけでなく、ユーザー体験向上やデータ連携などサービス価値を向上する取り組みが出来た・シングルログアウトという意外に難しい機能があるのでお気をつけを

以上です。ありがとうございました。

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_v...

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation

リンクアンドモチベーション

More Decks by リンクアンドモチベーション

Other Decks in Technology

Featured

Transcript

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話株式会社リンクアンドモチベーション菊池修平

自己紹介菊池修平株式会社リンクアンドモチベーションソフトウェアエンジニア # 普段の業務・フロントエンド設計・開発・認証まわりの組み込み #

1. 認証基盤を開発して導入した話 2. シングルログアウト問題の話

1. 認証基盤を開発して導入した話

認証基盤開発の背景 Link and Motivation Inc. 5

認証基盤開発の背景認証にdeviseを使用認証にAuth0を使用 Link and Motivation Inc. 6

認証基盤開発の背景認証にdeviseを使用認証にAuth0を使用 Link and Motivation Inc. 7 各プロダクトでログイン・認証処理を実装

ログイン参照 Link and Motivation Inc. 8 ログイン参照ユーザーA

Link and Motivation Inc. 9 ユーザーは各プロダクトでパスワード設定しないといけないシステムは同じユーザーとして紐づけられず、データ連携できないプロダクトごとにユーザー・認証情報を管理ユーザーA ユーザーA

似たような画面を毎回作成 Link and Motivation Inc. 10

似たような画面を毎回作成プロダクト立ち上げる度に、画面の開発工数がかかる Link and Motivation Inc. 11

共通して使える認証の基盤を作ろう！

どうやって作る？認証基盤クラウド（IDaaS）：Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

どうやって作る？認証基盤クラウド（IDaaS）：Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 15 依存認証・認可

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 16 認証システム主な役割・認証データ（ID /

そんなこんなで出来上がったのがこちら Link and Motivation Inc. 17 ユーザー管理システム主な役割・ユーザーのマスタデータ管理・パスワード設定/再発行UI管理

認証基盤の導入によって Link and Motivation Inc. 18 （将来的に）・プロダクトの認証周りの工数削減・認証周りの保守・改善の一元化・シングルサインオンによるログイン体験の向上

2. シングルログアウト問題の話

シングルログアウト

シングルログアウト（SLO）ユーザが 1 つのアプリケーションからログアウトすると、すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン（SSO） Link and Motivation

シングルログアウト（SLO）ユーザが 1 つのアプリケーションからログアウトすると、すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン（SSO） Link and Motivation

シングルサインオンの流れ Link and Motivation Inc. 24 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

シングルサインオンの流れ Link and Motivation Inc. 33 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

ログアウトの流れ Link and Motivation Inc. 34 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

ログアウトの流れ Link and Motivation Inc. 39 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

以上です。ありがとうございました。