Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IdentityPlatformを活用してモバイルアプリのセキュアな認証基盤をつくる

Avatar for maeken maeken
October 24, 2023
0
400

 IdentityPlatformを活用してモバイルアプリのセキュアな認証基盤をつくる

アプリ開発において、ユーザーの認証機能は重要です。セキュリティ上の脅威に対して、堅牢かつ安全に認証基盤を構築することが求められます。

Google CloudのIdentityPlatformは、幅広いセキュリティ機能を持った認証機能を提供するサービスです。多要素認証やOAuth、OpenIDConnectなどの認証プロトコルをサポートしておりiOSアプリのよりセキュアな認証機能の開発に活用することができます。

本トークでは、実際のiOSアプリ開発プロジェクトで、IdentityPlatformを活用したユーザー認証機能の開発を行い、そこで得られた知見や実践的なノウハウを共有いたします。 また悪意のあるユーザーからの攻撃に対してどのようなセキュリティ対策を取ることができるかを具体的にご紹介します。

Avatar for maeken

maeken

October 24, 2023
Tweet

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.2k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
78
6k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
600
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
368
20k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
513
110k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k

Transcript

  1. CONFIDENCIAL IdentityPlatformを活用してモ バイルアプリのセキュアな認証 基盤をつくる 2023/10/19 CA.swift #17 株式会社タップル 前澤健一

  2. CONFIDENCIAL 目次 • IdentityPlatformについて ◦ IdentityPlatformとは? ◦ 機能紹介 • IdentityPlatformのサービスへの導入

    ◦ タップルの認証刷新について ◦ IdentityPlatformを活用した認証機能の開発 • 運用事例 OpenIDConnectを使ったLine認証 • まとめ

  3. CONFIDENCIAL 発表中のリアクションは #ca_swift をつけてツイート🔥 🙌 わいわいしよう 🙌

  4. CONFIDENCIAL 自己紹介 • 前澤 健一(まえけん) • 2023年4月 サイバーエージェント 新卒入社 •

    株式会社タップルのiOSエンジニア • 麻雀、スノボが好きです

  5. CONFIDENCIAL タップルのサービス紹介

  6. CONFIDENCIAL マッチングアプリ「タップル」は、2014年5月にサービスを開始。男女ともに 半数以上を20代の利用者が占めており、グルメや映画、スポーツ観戦な ど、自分の趣味や行ってみたいデートスポットをきっかけに恋の相手が見 つけられる国内最大規模のマッチングアプリです。

  7. CONFIDENCIAL 目次 • IdentityPlatformについて ◦ IdentityPlatformとは? ◦ 機能紹介 • IdentityPlatformのサービスへの導入

    ◦ タップルの認証刷新について ◦ IdentityPlatformを活用した認証機能の開発 • 運用事例 OpenIDConnectを使ったLine認証 • まとめ

  8. CONFIDENCIAL IdentityPlatformとは Google Cloudで提供している認証サービス Firebase Authentication の機能に加え追加の機能を提供 MFA/カスタムIDプロバイダー認証 etc.. 認証機能の、より高機能でセキュアな開発が可能

  9. CONFIDENCIAL IdentityPlatform 機能紹介 Firebase IdentityPlatformでできること • 多要素認証(MFA) ◦ ユーザに2つ以上の認証要素の提供を求める認証 • カスタムIDプロバイダーによる認証 OIDC/

    SAML • ブロッキング関数 ◦ 認証処理の前段に特定のロジックを挟むことで、意図したユーザー以外の認証を制限できる • etc.. 高機能な認証、裏側のよりセキュアな認証管理によって、 よりセキュアな認証開発ができる

  10. CONFIDENCIAL 目次 • IdentityPlatformについて ◦ IdentityPlatformとは? ◦ 機能紹介 • IdentityPlatformのサービスへの導入

    ◦ タップルの認証刷新について ◦ IdentityPlatformを活用した認証機能の開発 • 運用事例 OpenIDConnectを使ったLine認証 • まとめ

  11. CONFIDENCIAL タップルの認証刷新 タップルは現在、認証機能の刷新に取り組んでいる 目的 • より堅牢でセキュアなものに作り変えること • 既存の認証機能の改善

  12. CONFIDENCIAL IdentityPlatformを活用したタップルでの認証刷新 タップル認証刷新にあたりIdentityPlatformを導入 • 既存の認証機能に対して、 ◦ ID/Pass 認証を廃止 ◦ Line認証、タップルサーバー使ったカスタム認証からOIDC認証へ

    • 新たに認証方式を追加 ◦ SMS認証を新規に追加 ◦ 2要素認証

  13. CONFIDENCIAL タップルでの認証刷新 IdentityPlatformの選定理由 • 旧タップル認証 ◦ Id/pass認証, line認証をカスタム認証で対応してた ◦ 認証情報を一部タップルのdbに保存して管理 •

    Identity platformへの移行 ◦ Line認証をOIDCとすることで 認証関連の情報の保存、管理をFirebaseAuthへ移譲 タップル側に認証の処理を持たないことで セキュリティリスクを減らし、より安全な認証基盤とできる

  14. CONFIDENCIAL タップルでの認証刷新 2要素認証 • タップルの2段階認証の要件 ◦ 各プロバイダ認証の(Google, Apple, Line認証)をそれぞれ追加の認証要素 としたい •

    Firebase IdentityPlatformの多要素認証 ◦ 追加認証要素にSMS認証しか対応してない タップルの要件とは合わなかった。 ◦ IdentityPlatformのMFAは使わず 既存のFirebaseAuthのアカウントのリンクの機能で代用

  15. CONFIDENCIAL 目次 • IdentityPlatformについて ◦ IdentityPlatformとは? ◦ 機能紹介 • IdentityPlatformのサービスへの導入

    ◦ タップルの認証刷新について ◦ IdentityPlatformを活用した認証機能の開発 • 運用事例 OpenIDConnectを使ったLine認証 • まとめ

  16. CONFIDENCIAL FirebaseAuthでOIDC認証を使ったLine認証 • IdentityPlatformにアップグレードしたFirebaseAuth上で OIDC認証が利用可能 • カスタム認証だったタップルのLine認証を、OpenIDConnectを使った認証へ

  17. CONFIDENCIAL OpenID Connectとは • ユーザー認証の規格 (RFCで定義) OAuthを拡張し、IDトークンを用いた認証手続きを標準化したもの • ID トークン: 署名や暗号化が可能なJWT形式

    のデータ ユーザー認証情報のやりとりをより安全に行える OpenID https://www.openid.or.jp/document/

  18. CONFIDENCIAL OpenID Connectとは • 流れ ◦ OpenID プロバイダー: ID トークンの発行者

    OIDCとは、 → IDトークンを使いクライアント, OIDCプロバイダー間での セキュアな認証が可能 OpenID プロバイダー クライアント ① IDトークンの要求 ② ユーザーの認証 リクエスト ③ IDトークンの発行

  19. CONFIDENCIAL FirebaseAuthでOIDC認証を使ったLine認証 • IdentityPlatformにアップグレードしたFirebaseAuth上で OIDC認証が利用可能 • 外部の認証サービスLineを、OpenIDConnectでFirebaseAuth上で 扱える

  20. CONFIDENCIAL タップルのLine認証 (OIDC認証)

  21. CONFIDENCIAL OIDCを使ったタップルのLine認証 タップル クライアント Line 認証チャネル タップル サーバー タップル認証 Firebase

    Authentication IDトークン ②Credential JWt ③ サインインリクエスト ①ユーザー認証

  22. CONFIDENCIAL LineSDKでOIDC認証 LineSDKで認証リクエスト →Lineアプリへ遷移しユー ザー認証 →Line認証サーバーから取得した IDトークンを FirebaseのOIDC認証へ リクエスト

  23. CONFIDENCIAL FirebaseAuthでクライアントからログイン Lineから 取得したTDトークン、 OpenIDConnectの認証情報 でSignin FirebaseAuth SDKで Credential情報からFirebase へのSignIn →

    Firebaseから取得したIDトークンを タップルサーバーの APIにリクエストすることで ログイン処理完了

  24. CONFIDENCIAL FirebaseAuthでOIDC認証を使ったLine認証 • FirebaseAuthとlineチャネルの紐づけ • 外部認証プロバイダー(Line)とFirebaseAuthを設定 ◦ プロバイダ ID ◦

    クライアント ID ◦ 発行元(URL) ◦ クライアント シークレット • FirebaseSDKを使い Credentialを使ったフローで認証ができる

  25. CONFIDENCIAL Firebase OIDC認証  自動でLine画面から戻るようになった 旧 カスタム認証 新 OIDC認証

  26. CONFIDENCIAL タップルでの認証刷新 • サーバー ◦ lineとの認証のやりとりもタップルサーバ側で実装する必要なくなった。 • クライアント ◦ Oidc化でline認証もシンプルに実装できるようになった

    FirebaseAuthのSDKで各プロバイダ(Apple, Googleなど)の認証と同じ処理 のフローで実装可能になるため ◦ Line以外のoidcの対応も簡単に行える

  27. CONFIDENCIAL まとめ • IdentityPlatformで認証機能の、より高機能でセキュアな開発が可能 • タップルの認証刷新 ◦ OIDC認証を使いタップル側に認証の処理を持たないことで セキュリティリスクを減らし、より安全な認証基盤とできる •

    OpenIDConnectを使ったLine認証 ◦ FirebaseAuthに認証を任せて、よりセキュアに ◦ 実装もよりシンプルに

  28. CONFIDENCIAL IdentityPlatformを活用してモ バイルアプリのセキュアな認証 基盤をつくる 前澤健一 ご清聴ありがとうございました!