BtoB SaaS を支える認証認可基盤の設計

Slide 1

Slide 1 text

Slide 2

Slide 2 text

© CADDi Inc. © CADDi Inc. 2 Engineering Manager Keiichi Yamada SIer、コロプラを経て2019年9⽉にキャディ⼊社。 2つのプロダクト開発を経て、2021年7⽉にプラットフォームチームを組成。技術組織向けの横断的な活動とチームマネジメントに従事。 2023年6⽉よりCTO Oﬃceを⽴ち上げ、技術組織全体のポリシー制定やセキュリティ強化、採⽤活動に取り組んでいる。プライベートでは2⼈の男児のパパ。 Software Engineer Kentaro Maeda バックエンドエンジニア、SREとして、システム全体の最適化やアプリケーション基盤構築に携わる。 2022年2⽉に製造業で新しい商流を作ろうとしているキャディのビジネスモデルに惹かれて⼊社。⼊社後は、Platformチームのメンバーとしてクラウドインフラの管理やシステム横断の技術課題の解消に従事、サービスメッシュの導⼊や認証認可基盤の構築など、CADDiのサービス全般の運⽤課題や共通機能の開発に取り組んでいる。

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

© CADDi Inc. ● 利⽤顧客からのセキュリティ強化要望 ○ MFA, IP制限, AD連携, パスワードポリシーの設定 ■ 顧客会社ごとの設定が難しいものやAuth0のアップグレードが必要なものがあった ● 複数サービスの相互利⽤のニーズが発⽣ ○ 社内システムとのAPI連携の要望が度々発⽣ ■ ⼈による認証のみ対応していたため、セキュアなAPI呼び出しの⽅法やルールがない ■ 認可(⼈の属性やAPIリクエスト元などによるアクセス制御)を考えてない ● 新サービスの追加によるAuth0テナントの追加やユーザー運⽤の煩雑化 ○ Auth0テナントが分散しているため、外部ユーザーの統⼀管理やSSOが難しいサービス拡⼤を⾒据えた認証認可基盤の導⼊の検討を開始サービス利⽤拡⼤に伴う認証課題の発⽣ 10

Slide 11

Slide 11 text

Slide 12

Slide 12 text

© CADDi Inc. 認証認可基盤に求める要件 12 アカウント管理 ● パスワードなどの機密情報を⾃前で保持しない ● MFAへの対応 ● SAML, OIDCなど外部IdPとの連携 ● 低コスト ● マルチテナント, 会社ごとに管理者がアカウントの管理ができる API管理 ● API間のセキュアな通信ができる ● テナントごとにAPIの呼び出しの制御ができる ● 認可制御をするための情報が管理できる

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

© CADDi Inc. 認証認可基盤を構成する技術要素 16 要素機能使用技術認可サービス OAuth2/OIDC 認可フロー Ory Hydra ユーザープールテナント別ユーザー情報の保持、ログイン Amazon Cognito 認証サービス利用者ログインUI Next.jsによる自作 Policy サービス認証認可基盤の各種設定を行う API,UI NestJS, React-Adminによる自作

Slide 17

Slide 17 text

© CADDi Inc. Ory Hydra 17 https://github.com/ory/hydra 認証SaaSを⼿がける Ory社が中⼼に作成している OIDC/OAuth2 サーバー OpenID Foundationの承認を受けている Hydra プロセスと RDBMSで動くため導⼊が簡単対応するフロー: Authorization Code Grant (PKCE), Client Credentials 前者を⼈によるログイン、後者を APIの認証のために使⽤している Authorization Code Grantを⾏うためには認証バックエンドが別途必要既存の認証システムがある場合や認証のカスタマイズが必要な場合に有⽤ (OryからKratosという認証サーバーOSSもあり、SaaSではAll in Oneで提供されている)

Slide 18

Slide 18 text

© CADDi Inc. Amazon Cognito 18 AWSのIDaaS。Cognitoのみを使⽤し、その他のサーバーリソースはGoogle Cloud。 Cognitoを選定した理由 ● 他のIDaaSでは上位プランに含まれそうな機能がデフォルト(SAML, MFA ) ● MAU単位のコストが安い(0.05$〜) ○ ⼀つのユーザープールに⼀つの会社を割り当て、会社ごとのユーザー運⽤、セキュリティポリシーの適⽤を⾏う想定選定の際に注意が必要だったこと ● 他のIDaaSと⽐べて、便利ではない部分、作り込みが必要な部分が多い。 ○ 認証認可基盤の要件の実現のために、多少の造り込みは必要なので、ここは許容 ● レートリミットの制約が厳しい ○ CADDiのサービスは、会社の特定部署のユーザーが使うもので、利⽤者数は少ない。そのため、低コストで運⽤できることを重視

Slide 19

Slide 19 text

© CADDi Inc. 認証サービス 19 HydraのOAuthフローから呼び出される認証バックエンド Cognitoの標準ログインUIは拡張性に⽋け、複数のユーザープールをユーザーの所属に応じて切り替える必要があることから、HydraとCogntioをつなぐログインUIとして⾃作利⽤者はアプリケーションからログインを開始するとまず、テナントIDを⼊⼒する。テナントごとに許可されたログイン⼿段でログインするとCognitoへの認証を実施し、成功するとIdtoken, access tokenをアプリケーションで取得可能になるログイン開始アプリケーションへ戻る

Slide 20

Slide 20 text

© CADDi Inc. Policy サービス 20 Hyrda OSSは管理コンソールはなく、またリソースサーバー(API)の管理機能はない。これらの設定を管理するサービスとしてNestJS, React-Adminで⾃作 ● HydraにOAuth2クライアントを登録する ○ 認可フローの種類やトークンのTTL,利⽤可能なリソースサーバーの設定など ● リソースサーバーを登録する ○ audienceやscopeの設定 ● 認可設定の管理 ○ クライアントが呼び出し可能なリソースサーバー、スコープの設定 ○ クライアントを利⽤可能なテナントの設定 ○ スクリプトによるログイン処理のカスタマイズ

Slide 21

Slide 21 text

Slide 22

Slide 22 text

© CADDi Inc. その他の機能‧将来の展望 22 ● リクエストごとの認可制御 ○ 認証認可基盤はログイン時にトークン発⾏のみを⾏うが、トークンのチェックをサービスメッシュやCloud Runサイドカーを使ってインフラ側である程度チェックする ■ JWTの期限や署名のチェックなどは⾃動化できる ■ 詳細なチェックはアプリケーション側で⾏うか、OPAによるチェックを調査中 ● ユーザー、テナントのマスター管理 ○ ユーザーやテナントの詳細情報を管理できるように認証認可基盤で扱う情報を拡⼤する ● トークン⾃動⽣成‧変換 ○ API間の通信で使⽤するトークンを⾃動⽣成するプロキシや、トークンを宛先に応じて変換したりするエージェントの作成 ● 認証ロジックの追加 ○ Cognito カスタム認証(Lambda)を⽤いて、ID/Password以外の認証やセキュリティ強化を⾏う

Slide 23

Slide 23 text

© CADDi Inc. まとめ 23 バラバラな認証バックエンドを集約し、CADDiのサービスと利⽤顧客の拡⼤を⾒据えた認証認可基盤を絶賛開発中 ● 認証認可の開発は公開事例も少なく、アーキテクチャや事業に合わせたモデルを考えるのは⼤変だったが良い経験になった ● OAuth2/OIDC/SAMLの基本知識が重要で、今もこれからも勉強中 ● 認証認可基盤以外のサービス開発やセキュリティ強化など、CADDi全般で仕事がいっぱいあるので、興味のある⽅は⼀度お話ししましょう! エンジニア採⽤ポータル CADDi Engineering https://recruit.caddi.tech/

Slide 24

Slide 24 text