Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_v...

Avatar for リンクアンドモチベーション リンクアンドモチベーション PRO
July 30, 2021
Technology
1
1.8k

Auth0を使った認証基盤導入の取り組みとシングルログアウトの話 / ginzarails_vol35_presentation

銀座Rails#35 登壇資料

Avatar for リンクアンドモチベーション

リンクアンドモチベーション PRO

July 30, 2021
Tweet

More Decks by リンクアンドモチベーション

See All by リンクアンドモチベーション
Devinで始める デザインルール運用/cm-fukuoka-study-lmi
Avatar for リンクアンドモチベーション lmi
PRO
0
15
「2026は言語化を鍛える」 —“わかったつもり”をなくすQiitaチャレンジ/hello-lt-world-lmi
Avatar for リンクアンドモチベーション lmi
PRO
0
36
Claude Codeで顧客対応自動化を目指す挑戦/cre-camp-4-link-and-motivation
Avatar for リンクアンドモチベーション lmi
PRO
0
42
2025年、チームにAI活用を取り入れてみた振り返り/Qiita Advent Calendar
Avatar for リンクアンドモチベーション lmi
PRO
0
260
AIに段取りを考えてもらい、迷いを減らす / progate-bar-link-and-motivation
Avatar for リンクアンドモチベーション lmi
PRO
0
30
太りすぎコアモデルのダイエット作戦  〜決意編〜 / lmi-railstokyo-251218
Avatar for リンクアンドモチベーション lmi
PRO
0
25
AI駆動で継続的にコンテキストを改善する 仕組み作り/AI-context-link-and-motivation
Avatar for リンクアンドモチベーション lmi
PRO
0
46
AWSのコスト調査をAWS MCP Serversで簡単に自動化した話 / uv-study-aws-link-and-motivation
Avatar for リンクアンドモチベーション lmi
PRO
0
62
「合う形が、正解。」 ーAIと作る、楽しく続く勉強法 / techbrew-lmi-ai-study
Avatar for リンクアンドモチベーション lmi
PRO
0
51

Other Decks in Technology

See All in Technology
【Oracle Cloud ウェビナー】[Oracle AI Database + AWS] Oracle Database@AWSで広がるクラウドの新たな選択肢とAI時代のデータ戦略
Avatar for oracle4engineer oracle4engineer
PRO
2
170
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
24k
コンテナセキュリティの最新事情 ~ 2026年版 ~
Avatar for Kyohei Mizumoto kyohmizu
2
300
データの整合性を保ちたいだけなんだ
Avatar for ShoheiMitani shoheimitani
8
3.2k
茨城の思い出を振り返る ~CDKのセキュリティを添えて~ / 20260201 Mitsutoshi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
350
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
Avatar for kekke-n kekke_n
1
470
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
10k
15 years with Rails and DDD (AI Edition)
Avatar for Andrzej Krzywda andrzejkrzywda
0
200
Frontier Agents (Kiro autonomous agent / AWS Security Agent / AWS DevOps Agent) の紹介
Avatar for msysh msysh
3
180
Context Engineeringが企業で不可欠になる理由
Avatar for Hirosato Gamo hirosatogamo
PRO
3
630
Greatest Disaster Hits in Web Performance
Avatar for Estela Franco guaca
0
280
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
Avatar for OQTOPUS oqtopus
0
140

Featured

See All Featured
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
810
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
Avatar for Helen Beal helenjbeal
1
130
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
0
150
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
The Spectacular Lies of Maps
Avatar for Per Axbom axbom
PRO
1
520
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
160
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
350
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.1k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.9k

Transcript

  1. Auth0を使った認証基盤導入の取り組みと シングルログアウトの話 株式会社リンクアンドモチベーション 菊池 修平

  2. 自己紹介 菊池 修平 株式会社リンクアンドモチベーション ソフトウェアエンジニア # 普段の業務 ・フロントエンド設計・開発 ・認証まわりの組み込み #

    最近ハマってること ・ポケモンユナイト Link and Motivation Inc. 2

  3. 1. 認証基盤を開発して導入した話 2. シングルログアウト問題の話

  4. 1. 認証基盤を開発して導入した話

  5. 認証基盤開発の背景 Link and Motivation Inc. 5

  6. 認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 6

  7. 認証基盤開発の背景 認証にdeviseを使用 認証にAuth0を使用 Link and Motivation Inc. 7 各プロダクトでログイン・認証処理を実装

  8. ログイン 参照 Link and Motivation Inc. 8 ログイン 参照 ユーザーA

    ユーザーA プロダクトごとにユーザー・認証情報を管理

  9. Link and Motivation Inc. 9 ユーザーは各プロダクトでパスワード設定しないといけない システムは同じユーザーとして紐づけられず、データ連携できない プロダクトごとにユーザー・認証情報を管理 ユーザーA ユーザーA

    ログイン 参照 ログイン 参照

  10. 似たような画面を毎回作成 Link and Motivation Inc. 10

  11. 似たような画面を毎回作成 プロダクト立ち上げる度に、画面の開発工数がかかる Link and Motivation Inc. 11

  12. 共通して使える 認証の基盤を作ろう!

  13. どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

    Inc. 13

  14. どうやって作る? 認証基盤クラウド(IDaaS):Okta, Azure AD, Auth0, … 認証を統一するだけであれば、各プロダクトに直接組み込むことで対応できる Link and Motivation

    Inc. 14 => 認証だけでなく、 認証まわりの機能(パスワード変更、再発行など)やその画面の共通化、 独自のユーザー処理を挟むため、別途ユーザー管理アプリケーションを開発

  15. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 15 依存 認証・認可

  16. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 16 認証システム 主な役割 ・認証データ(ID /

    Pass・IdP)管理 ・ログイン処理(ID / Pass・SSO...) ・ログイン画面UI管理 ・Access Token、ID Tokenの発行

  17. そんなこんなで出来上がったのがこちら Link and Motivation Inc. 17 ユーザー管理システム 主な役割 ・ユーザーのマスタデータ管理 ・パスワード設定/再発行UI管理

    ・Auth0、各サービスにユーザーデータ を同期

  18. 認証基盤の導入によって Link and Motivation Inc. 18 (将来的に) ・プロダクトの認証周りの工数削減 ・認証周りの保守・改善の一元化 ・シングルサインオンによるログイン体験の向上

  19. 認証基盤の開発で困ったこと Link and Motivation Inc. 19 ・認証の仕組み自体はAuth0を使ったが、組み込み等で難しいことはほとんどな かった ・Auth0はRailsはもちろんさまざまな言語・フレームワーク用のSDKが用意 されており、ドキュメントも豊富にある

    ・そんな中、一番困ったのがシングルログアウトへの対応

  20. 2. シングルログアウト問題の話

  21. シングルログアウト

  22. シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation

    Inc. 22

  23. シングルログアウト(SLO) ユーザが 1 つのアプリケーションからログアウトすると、 すべてのアプリケーションから自動的にログアウトする機能 ⇔ シングルサインオン(SSO) Link and Motivation

    Inc. 23 SSOより目立たないが実は結構難しい・・

  24. シングルサインオンの流れ Link and Motivation Inc. 24 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

    ④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス

  25. シングルサインオンの流れ Link and Motivation Inc. 33 service1.mydomain.com service2.mydomain.com ②ログイン ③アクセストークン

    ④アクセストークンをローカルストレージに保存 ⑤別サービスに移動 ⑥既にAuth0でログインしているため すぐアクセストークンが返される ⑦アクセストークンをローカルストレージに保存 ①アクセス アクセストークンを毎回取得しないようにクライアントにキャッシュしている点がポイント

  26. ログアウトの流れ Link and Motivation Inc. 34 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

    ③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま

  27. ログアウトの流れ Link and Motivation Inc. 39 service1.mydomain.com service2.mydomain.com ①ログアウト ②アクセストークンをローカルストレージから削除

    ③別サービスに移動 ④アクセストークンがローカルストレージに保存されたまま それを使ってAPIにアクセス出来てしまう あるサービスからログアウトした タイミングで、 別サービスのドメインに保存されて いるアクセストークンを削除するす べがない

  28. 他のサービスはどうやって対応しているのか Link and Motivation Inc. 40 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている

    https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service

  29. 他のサービスはどうやって対応しているのか Link and Motivation Inc. 41 ・サービスからログアウトされたら、クライアントに「ログアウトされた」とい うことを通知するような仕組みを作っていそう(AWSとかそんな挙動っぽい) ・Auth0公式も、ログアウトを追跡するサービスを作って対応する方法を提示し ている

    https://auth0.com/docs/architecture-scenarios/b2b/logout#build-a- logout-service => 相当コストと時間がかかるため、別の方法を検討

  30. どうやって対応したか Link and Motivation Inc. 42 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく

    e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する)

  31. どうやって対応したか Link and Motivation Inc. 43 色々試した末、最終的にCookieの値の有無でログアウトを判別する方法で対応 1. ログイン後、CookieにログインしたユーザーのIDを保持 (Cookieは同じドメインを跨いで共有できるようなスコープにしておく

    e.g. ‘mydomain.com’) 2. 各サービスではログアウトしたときにCookieのユーザーIDを削除する処理を入れる 3. 各サービスにアクセスしたとき、CookieのユーザーIDがなければ、 いずれかのサービスでログアウトされたと見なし、自身からもログアウトする (ローカルストレージからアクセストークンを削除する) => ドメインが完全に異なると対応できないため万能ではないが、 現状では問題なく動作している

  32. まとめ Link and Motivation Inc. 44 ・複数プロダクトを抱える弊社の認証基盤導入の事例を紹介しました ・基盤として共通化することで、コスト削減だけでなく、ユーザー体験向上やデ ータ連携などサービス価値を向上する取り組みが出来た ・シングルログアウトという意外に難しい機能があるのでお気をつけを

  33. 以上です。 ありがとうございました。