Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation

3373c144fef1d3518b9b3f24a6b46ad0?s=47 リンクアンドモチベーション
July 30, 2021
Technology
1
390

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation

銀座Rails#35 登壇資料

3373c144fef1d3518b9b3f24a6b46ad0?s=128

リンクアンドモチベーション

July 30, 2021
Tweet

More Decks by リンクアンドモチベーション

See All by リンクアンドモチベーション
Biz・経営・Dev+PMがOne Teamであり続けるために効果的だったこと / CTO-PM_vol2_presentation_LMI_220609
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
2
460
リンクアンドモチベーション 営業コンサルタント向け紹介資料 / Introduction to Link and Motivation for Sales and Consultants
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
1.9k
プロダクト成長を加速させる共通機能のサービスの分離 / LM-Litalico_architecture_presentation
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
300
本当に使われるヘルススコアを作るための3つのポイント / cs_ops_labo_vol2_presentation
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
180
『Successful Digital Transformation Study 2022』 / Successful Digital Transformation Study 2022 presentation
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
220
『進化するエンジニアキャリアパスの在り方』 / engineer_career_presentation_miyazaki
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
230
3分でわかるリンクアンドモチベーション(エンジニア向け) / 3min Link and Motivation for Software Engineers
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
70
3分でわかるリンクアンドモチベーション(営業コンサルタント向け) / 3min Link and Motivation for Sales and Consultants
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
0
140
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
9
87k

Other Decks in Technology

See All in Technology
リファインメントは楽しいかね?
F4ea0f5f6211de72f79576d020308de5?s=48 kitamu_mu
1
380
ソフトウェアライセンス 2022 / Software License 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
1k
【Pythonデータ分析勉強会#33】「DearPyGuiに入門しました」の続き~Image-Processing-Node-Editor~
26afa82334d1037f0ba602272b950c90?s=48 kazuhitotakahashi
0
110
LINEのB2Bプラットフォームにおけるトラブルシューティング2選
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
3
290
ノーメンテナンス運用実現のためのノウハウ/ColoplTech-05-02
E704514df1d69d511c4c74771a40c8f5?s=48 colopl
0
160
2022年度新卒技術研修「良いコードの書き方」講義
094e424062f60b011a0d0b294fbc17e4?s=48 excitejp
PRO
0
290
How to start with DDD when you have a Monolith
Ac38eb7117f177d961362cfe1387341b?s=48 javujavichi
0
270
音のような言葉 〜ちゃちゃっとチャットで楽しむちょっとしたコツ〜 / words like sounds
8db3c91c8b3d3e5686f62fbf43c303dd?s=48 satoryu
1
1.3k
1人目QAエンジニアよもやま話 / QA Test Talk Vol.1
1b7098127bb4872f5fa10415d88479b7?s=48 nametake
4
230
WACATE 2022 夏 ワークショップの目的
Add1036688abcb2e3dbff7c3090f7e35?s=48 imtnd
0
120
インフラのCI/CDはGitHub Actionsに任せた
F5c597c41d9bc6a80cce50adbd6c7bd9?s=48 mihyon
0
110
Scrum Fest Osaka 2022 段階的スクラムマスターのススメ
68073cc248e24e0b94cc6895e5c4710f?s=48 orimomo
0
730

Featured

See All Featured
The Power of CSS Pseudo Elements
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
46
3.9k
The Mythical Team-Month
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
209
39k
Intergalactic Javascript Robots from Outer Space
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
261
25k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
269
11k
Music & Morning Musume
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
35
4.2k
Ruby is Unlike a Banana
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
91
9.2k
Fight the Zombie Pattern Library - RWD Summit 2016
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
226
15k
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k
We Have a Design System, Now What?
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
35
3k
Designing for Performance
245cee81a9c424266e5e401d844ea881?s=48 lara
597
63k
WebSockets: Embracing the real-time Web
E76911cbe088e5b850d966de3fc7435b?s=48 robhawkes
57
5.2k

Transcript

  1. Auth0を使った認証基盤導入の取り組みと シングルログアウトの話 株式会社リンクアンドモチベーション 菊池 修平

  2. 自己紹介 菊池 修平 株式会社リンクアンドモチベーション ソフトウェアエンジニア # 普段の業務 ・フロントエンド設計・開発 ・認証まわりの組み込み #

    最近ハマってること ・ポケモンユナイト Link and Motivation Inc. 2

  3. 1. 認証基盤を開発して導入した話 2. シングルログアウト問題の話

  4. 1. 認証基盤を開発して導入した話

  5. 認証基盤開発の背景 Link and Motivation Inc. 5

  6. 認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 6

  7. 認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 7 各プロダクトでログイン・認証処理を実装

  8. ログイン 参照 Link and Motivation Inc. 8 ログイン 参照 ユーザーA

    ユーザーA プロダクトごとにユーザー・認証情報を管理

  9. Link and Motivation Inc. 9 ユーザーは各プロダクトでパスワード設定しないといけない システムは同じユーザーとして紐づけられず、データ連携できない プロダクトごとにユーザー・認証情報を管理 ユーザーA ユーザーA

    ログイン 参照 ログイン 参照

  10. 似たような画面を毎回作成 Link and Motivation Inc. 10

  11. 似たような画面を毎回作成 プロダクト立ち上げる度に、画面の開発工数がかかる Link and Motivation Inc. 11

  12. 共通して使える 認証の基盤を作ろう!

  13. どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

    Inc. 13

  14. どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

    Inc. 14 => 認証だけでなく、 認証まわりの機能(パスワード変更、再発行など)やその画面の共通化、 独自のユーザー処理を挟むため、別途ユーザー管理アプリケーションを開発

  15. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 15 依存 認証・認可

  16. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 16 認証システム 主な役割 ・認証データ(ID /

    Pass・IdP)管理 ・ログイン処理(ID / Pass・SSO...) ・ログイン画面UI管理 ・Access Token、ID Tokenの発行

  17. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 17 ユーザー管理システム 主な役割 ・ユーザーのマスタデータ管理 ・パスワード設定/再発行UI管理

    ・Auth0、各サービスにユーザーデータ を同期

  18. 認証基盤の導入によって Link and Motivation Inc. 18 (将来的に) ・プロダクトの認証周りの工数削減 ・認証周りの保守・改善の一元化 ・シングルサインオンによるログイン体験の向上

  19. 認証基盤の開発で困ったこと Link and Motivation Inc. 19 ・認証の仕組み自体はAuth0を使ったが、組み込み等で難しいことはほとんどな かった ・Auth0はRailsはもちろんさまざまな言語・フレームワーク用のSDKが用意 されており、ドキュメントも豊富にある

    ・そんな中、一番困ったのがシングルログアウトへの対応

  20. 2. シングルログアウト問題の話

  21. シングルログアウト

  22. シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation

    Inc. 22

  23. シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation

    Inc. 23 SSOより目立たないが実は結構難しい・・

  24. シングルサインオンの流れ Link and Motivation Inc. 24 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

    ④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス

  25. シングルサインオンの流れ Link and Motivation Inc. 33 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

    ④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス アクセストークンを毎回取得しないようにクライアントにキャッシュしている点がポイント

  26. ログアウトの流れ Link and Motivation Inc. 34 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

    ③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま

  27. ログアウトの流れ Link and Motivation Inc. 39 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

    ③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま それを使ってAPIにアクセス出来てしまう あるサービスからログアウトした タイミングで、 別サービスのドメインに保存されて いるアクセストークンを削除するす べがない

  28. 他のサービスはどうやって対応しているのか Link and Motivation Inc. 40 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている

    https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service

  29. 他のサービスはどうやって対応しているのか Link and Motivation Inc. 41 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている

    https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service => 相当コストと時間がかかるため、別の方法を検討

  30. どうやって対応したか Link and Motivation Inc. 42 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく

    e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する)

  31. どうやって対応したか Link and Motivation Inc. 43 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく

    e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する) => ドメインが完全に異なると対応できないため万能ではないが、 現状では問題なく動作している

  32. まとめ Link and Motivation Inc. 44 ・複数プロダクトを抱える弊社の認証基盤導入の事例を紹介しました ・基盤として共通化することで、コスト削減だけでなく、ユーザー体験向上やデ ータ連携などサービス価値を向上する取り組みが出来た ・シングルログアウトという意外に難しい機能があるのでお気をつけを

  33. 以上です。 ありがとうございました。