Slide 1
Slide 1 text
Corporate Engineer Night #2 おれたちは愛されコーポレート ITになる | co-ba jinnan
2020-01-29
@rela1470
Kyashで
コーポレートエンジニアを初採用して
7ヶ月が経ちましたが
お元気ですか
Slide 2
Slide 2 text
No content
Slide 3
Slide 3 text
3
新しい価値移動の
インフラを創る
Mission
Slide 4
Slide 4 text
4
Kyashの特徴
Visaとして使えるカード
スマホからすぐに作れる Visaカード。 Visaカード加盟店
でいつでも1%還元。もちろん年会費や手数料は一切無
料。
Slide 5
Slide 5 text
5
5
なにを話すか
Slide 6
Slide 6 text
6
6
Kyashで
コーポレートエンジニアを初採用して
7ヶ月が経ちましたが
元気です
という話です
Slide 7
Slide 7 text
7
創業以来、
専任のコーポレートエンジニアは
居なかった
Slide 8
Slide 8 text
8
2019/07 入社
Slide 9
Slide 9 text
9
思った以上に、なにもない...
Slide 10
Slide 10 text
10
空白の415日間
情シス不在が長く続いた
Meraki Dashboardの変更ログより
2018年5月16日以降、自分が入社するまでログインが
なかったようです ...
Slide 11
Slide 11 text
11
社員数が50人を超えると
考えることが一気に多くなる
(2020年 わたなべ調べ)
Slide 12
Slide 12 text
12
同期入社6人
組織が急拡大していくタイミング
わたなべ入社以降も続々とメンバー増
Slide 13
Slide 13 text
13
だいたいの社員数
Slide 14
Slide 14 text
14
入社したタイミングがよかった
&
このタイミングで
コストを払う判断をした
経営陣GJ
Slide 15
Slide 15 text
15
15
ゼロからの立ち上げ
7ヶ月でやったこと
Slide 16
Slide 16 text
16
● 社内ディレクトリの構築
○ OneLogin + OneLogin Desktop
● プロビジョニング体制の構築
○ G Suite
○ Office365
○ Zendesk
○ AWS
● MDM導入
○ Jamf Pro
○ Microsoft Intune
● EDR導入
○ CrowdStrike Falcon Prevent +
Insight
● PC調達基準の刷新
○ Macは基本最新機種
○ WinはThinkPad E Mem32GB
SSD 1TB
● ネットワーク環境の見直し
○ WPA2-Enterpriseへの移行
○ サブネットマスクの切り直し
● 物理設備の整備
○ 複合機入れ替え
○ オンプレサーバーの廃止
○ 会議室へのChromecast導入
● 資産管理ツールの導入
○ Snipe-IT
Slide 17
Slide 17 text
https://rela1470.hatenablog.jp/entry/2019/12/06/000000
Kyashの社内システムを刷新した5ヶ月間
Slide 18
Slide 18 text
18
● 社内ディレクトリの構築
○ OneLogin + OneLogin Desktop
● プロビジョニング体制の構築
○ G Suite
○ Office365
○ Zendesk
○ AWS
● MDM導入
○ Jamf Pro
○ Microsoft Intune
● EDR導入
○ CrowdStrike Falcon Prevent +
Insight
● PC調達基準の刷新
○ Macは基本最新機種
○ WinはThinkPad E Mem32GB
SSD 1TB
● ネットワーク環境の見直し
○ WPA2-Enterpriseへの移行
○ サブネットマスクの切り直し
● 物理設備の整備
○ 複合機入れ替え
○ オンプレサーバーの廃止
○ 会議室へのChromecast導入
● 資産管理ツールの導入
○ Snipe-IT
Slide 19
Slide 19 text
19
社内ディレクトリ構築
OneLogin
Slide 20
Slide 20 text
20
IDaaS:OneLoginを採用
KyashはMacが8割、Winが2割
ADはWinが少ないとあまり力を発揮しない (主観)
JumpCloudはPCログインだけならあり (主観)
oktaはベターだけど王者なので融通が効かない (主観)
OneLoginは業界2位(たぶん)なので頑張ってる (主観)
あとOneLogin好き(主観)
ということで色々考えた結果、 OneLoginを採用
Slide 21
Slide 21 text
21
Masterデータ
入社時に自動
で割り振り
名前と職種を入力するだけで、
大抵のロールは自動で付与され
るようにルール化
Slide 22
Slide 22 text
22
OneLoginを
中心に考える
すべての認証をOneLoginに統一
"会社の中心を何にするか"で今
後の方針が変わるので、一番最
初に手を付けるべき
Slide 23
Slide 23 text
23
01. SAML
02. RADIUS
03. OpenID Connect
04. vLDAP
05. API
06. Google Auth
07. その他
Slide 24
Slide 24 text
24
01. SAML
02. RADIUS
03. OpenID Connect
04. vLDAP
05. API
06. Google Auth
07. その他
Slide 25
Slide 25 text
25
SAML連携
+
Provisioning
G Suite
Office365
Zendesk
AWS
Slide 26
Slide 26 text
26
01. SAML
02. RADIUS
03. OpenID Connect
04. vLDAP
05. API
06. Google Auth
07. その他
Slide 27
Slide 27 text
27
OpenID
Connect
+
ALB
ALBがOpenID Connectに対応して
いて、登録するだけでJWTが飛ん
でくる。便利。
{
"sub": "99999999",
"email": "[email protected]",
"preferred_username": "momoka.ariyasu",
"name": "Momoka Ariyasu",
"params": {
"roles":
"job_engineer_all;member_full;app_github;app_gsuite;job_engine
er_server;job_engineer_main"
},
"exp": 9999999999,
"iss": "https://openid-connect.onelogin.com/oidc"
}
App側はJWTを検証するだけで良い !
(Kyashではparamsにrolesを渡していて、
権限チェックをしている )
Slide 28
Slide 28 text
28
01. SAML
02. RADIUS
03. OpenID Connect
04. vLDAP
05. API
06. Google Auth
07. その他
Slide 29
Slide 29 text
29
Google Auth
+
OneLogin
Google認証しか対応していない
アプリでも、OneLoginに転送さ
れるので実質SSOできている。
ただしロール情報などは全く取
れないので、全社員使えちゃう
的な状態になるので注意。
Slide 30
Slide 30 text
30
01. SAML
02. RADIUS
03. OpenID Connect
04. vLDAP
05. API
06. Google Auth
07. その他
Slide 31
Slide 31 text
31
Form認証
パスワードマネージャー的使い
方も。1Password等と比べると誤
爆率が高い。
Slide 32
Slide 32 text
https://rela1470.hatenablog.jp/entry/2019/12/11/000000
KyashがOneLoginを選んだ理由
Slide 33
Slide 33 text
33
公式HPに
むっちゃ掲載
されてる...
びっくりするから連絡してほし
い...
Slide 34
Slide 34 text
34
34
Kyashで
コーポレートエンジニアを初採用して
7ヶ月が経ちましたが
OneLoginを中心として
色々導入したおかげで
元気だし
愛されてます
という話でした
Slide 35
Slide 35 text
Thank you
35
@rela1470
https://rela.red/
Kyash ID: rela