Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_v...
Search
リンクアンドモチベーション
July 30, 2021
Technology
1
1.6k
Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation
銀座Rails#35 登壇資料
リンクアンドモチベーション
July 30, 2021
Tweet
Share
More Decks by リンクアンドモチベーション
See All by リンクアンドモチベーション
リンクアンドモチベーション 営業コンサルタント向け紹介資料 / Introduction to Link and Motivation for Sales and Consultants
lmi
0
110k
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
360k
AIとともに歩んだライブラリアップデートの道のり/ vue-fes-japan-2024-link-and-motivation
lmi
2
6.3k
Aiderとともに進めるライブラリアップデートの第一歩 / ai-agent-software-link-and-motivation
lmi
1
190
AIとともに踏み出す技術的負債返済への一歩 / Tech-Debt-Meetup-link-and-motivation
lmi
1
120
開発チームへのディープダイブで見えてきた顧客=開発者の本当の課題/sre-next-2024-link-and-motivation
lmi
1
2k
dxd2024-生成AIに振り回された3か月間の成功と失敗/dxd2024-link-and-motivation
lmi
2
750
生成AIに振り回された3か月間の成功と失敗/dev-productivity-con2024-link-and-motivation
lmi
8
8.5k
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
390
Other Decks in Technology
See All in Technology
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
660
クラウド関連のインシデントケースを収集して見えてきたもの
lhazy
9
1.8k
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.5k
Potential EM 制度を始めた理由、そして2年後にやめた理由 - EMConf JP 2025
hoyo
2
2.9k
サバイバルモード下でのエンジニアリングマネジメント
konifar
5
1.1k
Apache Iceberg Case Study in LY Corporation
lycorptech_jp
PRO
0
350
LINEギフトにおけるバックエンド開発
lycorptech_jp
PRO
0
380
目標と時間軸 〜ベイビーステップでケイパビリティを高めよう〜
kakehashi
PRO
8
850
JAWS DAYS 2025 アーキテクチャ道場 事前説明会 / JAWS DAYS 2025 briefing document
naospon
0
2.6k
日経のデータベース事業とElasticsearch
hinatades
PRO
0
260
ウォンテッドリーのデータパイプラインを支える ETL のための analytics, rds-exporter / analytics, rds-exporter for ETL to support Wantedly's data pipeline
unblee
0
140
DeepSeekとは?何がいいの? - Databricksと学ぶDeepSeek! 〜これからのLLMに備えよ!〜
taka_aki
1
160
Featured
See All Featured
Side Projects
sachag
452
42k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.1k
The Pragmatic Product Professional
lauravandoore
32
6.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Fireside Chat
paigeccino
35
3.2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Into the Great Unknown - MozCon
thekraken
35
1.6k
Being A Developer After 40
akosma
89
590k
Gamification - CAS2011
davidbonilla
80
5.2k
Product Roadmaps are Hard
iamctodd
PRO
51
11k
Transcript
Auth0を使った認証基盤導入の取り組みと シングルログアウトの話 株式会社リンクアンドモチベーション 菊池 修平
自己紹介 菊池 修平 株式会社リンクアンドモチベーション ソフトウェアエンジニア # 普段の業務 ・フロントエンド設計・開発 ・認証まわりの組み込み #
最近ハマってること ・ポケモンユナイト Link and Motivation Inc. 2
1. 認証基盤を開発して導入した話 2. シングルログアウト問題の話
1. 認証基盤を開発して導入した話
認証基盤開発の背景 Link and Motivation Inc. 5
認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 6
認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 7 各プロダクトでログイン・認証処理を実装
ログイン 参照 Link and Motivation Inc. 8 ログイン 参照 ユーザーA
ユーザーA プロダクトごとにユーザー・認証情報を管理
Link and Motivation Inc. 9 ユーザーは各プロダクトでパスワード設定しないといけない システムは同じユーザーとして紐づけられず、データ連携できない プロダクトごとにユーザー・認証情報を管理 ユーザーA ユーザーA
ログイン 参照 ログイン 参照
似たような画面を毎回作成 Link and Motivation Inc. 10
似たような画面を毎回作成 プロダクト立ち上げる度に、画面の開発工数がかかる Link and Motivation Inc. 11
共通して使える 認証の基盤を作ろう!
どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation
Inc. 13
どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation
Inc. 14 => 認証だけでなく、 認証まわりの機能(パスワード変更、再発行など)やその画面の共通化、 独自のユーザー処理を挟むため、別途ユーザー管理アプリケーションを開発
そんなこんなで出来上がったのがこちら Link and Motivation Inc. 15 依存 認証・認可
そんなこんなで出来上がったのがこちら Link and Motivation Inc. 16 認証システム 主な役割 ・認証データ(ID /
Pass・IdP)管理 ・ログイン処理(ID / Pass・SSO...) ・ログイン画面UI管理 ・Access Token、ID Tokenの発行
そんなこんなで出来上がったのがこちら Link and Motivation Inc. 17 ユーザー管理システム 主な役割 ・ユーザーのマスタデータ管理 ・パスワード設定/再発行UI管理
・Auth0、各サービスにユーザーデータ を同期
認証基盤の導入によって Link and Motivation Inc. 18 (将来的に) ・プロダクトの認証周りの工数削減 ・認証周りの保守・改善の一元化 ・シングルサインオンによるログイン体験の向上
認証基盤の開発で困ったこと Link and Motivation Inc. 19 ・認証の仕組み自体はAuth0を使ったが、組み込み等で難しいことはほとんどな かった ・Auth0はRailsはもちろんさまざまな言語・フレームワーク用のSDKが用意 されており、ドキュメントも豊富にある
・そんな中、一番困ったのがシングルログアウトへの対応
2. シングルログアウト問題の話
シングルログアウト
シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation
Inc. 22
シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation
Inc. 23 SSOより目立たないが実は結構難しい・・
シングルサインオンの流れ Link and Motivation Inc. 24 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン
④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス
シングルサインオンの流れ Link and Motivation Inc. 33 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン
④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス アクセストークンを毎回取得しないようにクライアントにキャッシュしている点がポイント
ログアウトの流れ Link and Motivation Inc. 34 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除
③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま
ログアウトの流れ Link and Motivation Inc. 39 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除
③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま それを使ってAPIにアクセス出来てしまう あるサービスからログアウトした タイミングで、 別サービスのドメインに保存されて いるアクセストークンを削除するす べがない
他のサービスはどうやって対応しているのか Link and Motivation Inc. 40 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている
https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service
他のサービスはどうやって対応しているのか Link and Motivation Inc. 41 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている
https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service => 相当コストと時間がかかるため、別の方法を検討
どうやって対応したか Link and Motivation Inc. 42 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく
e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する)
どうやって対応したか Link and Motivation Inc. 43 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく
e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する) => ドメインが完全に異なると対応できないため万能ではないが、 現状では問題なく動作している
まとめ Link and Motivation Inc. 44 ・複数プロダクトを抱える弊社の認証基盤導入の事例を紹介しました ・基盤として共通化することで、コスト削減だけでなく、ユーザー体験向上やデ ータ連携などサービス価値を向上する取り組みが出来た ・シングルログアウトという意外に難しい機能があるのでお気をつけを
以上です。 ありがとうございました。