presented on 2020-01-29
Corporate Engineer Night #2 おれたちは愛されコーポレートITになる https://ce-night.connpass.com/event/161079/
Corporate Engineer Night #2 おれたちは愛されコーポレート ITになる | co-ba jinnan2020-01-29@rela1470Kyashでコーポレートエンジニアを初採用して7ヶ月が経ちましたがお元気ですか
View Slide
3新しい価値移動のインフラを創るMission
4Kyashの特徴Visaとして使えるカードスマホからすぐに作れる Visaカード。 Visaカード加盟店でいつでも1%還元。もちろん年会費や手数料は一切無料。
55なにを話すか
66Kyashでコーポレートエンジニアを初採用して7ヶ月が経ちましたが元気ですという話です
7創業以来、専任のコーポレートエンジニアは居なかった
82019/07 入社
9思った以上に、なにもない...
10空白の415日間情シス不在が長く続いたMeraki Dashboardの変更ログより2018年5月16日以降、自分が入社するまでログインがなかったようです ...
11社員数が50人を超えると考えることが一気に多くなる(2020年 わたなべ調べ)
12同期入社6人組織が急拡大していくタイミングわたなべ入社以降も続々とメンバー増
13だいたいの社員数
14入社したタイミングがよかった&このタイミングでコストを払う判断をした経営陣GJ
1515ゼロからの立ち上げ7ヶ月でやったこと
16● 社内ディレクトリの構築○ OneLogin + OneLogin Desktop● プロビジョニング体制の構築○ G Suite○ Office365○ Zendesk○ AWS● MDM導入○ Jamf Pro○ Microsoft Intune● EDR導入○ CrowdStrike Falcon Prevent +Insight● PC調達基準の刷新○ Macは基本最新機種○ WinはThinkPad E Mem32GBSSD 1TB● ネットワーク環境の見直し○ WPA2-Enterpriseへの移行○ サブネットマスクの切り直し● 物理設備の整備○ 複合機入れ替え○ オンプレサーバーの廃止○ 会議室へのChromecast導入● 資産管理ツールの導入○ Snipe-IT
https://rela1470.hatenablog.jp/entry/2019/12/06/000000Kyashの社内システムを刷新した5ヶ月間
18● 社内ディレクトリの構築○ OneLogin + OneLogin Desktop● プロビジョニング体制の構築○ G Suite○ Office365○ Zendesk○ AWS● MDM導入○ Jamf Pro○ Microsoft Intune● EDR導入○ CrowdStrike Falcon Prevent +Insight● PC調達基準の刷新○ Macは基本最新機種○ WinはThinkPad E Mem32GBSSD 1TB● ネットワーク環境の見直し○ WPA2-Enterpriseへの移行○ サブネットマスクの切り直し● 物理設備の整備○ 複合機入れ替え○ オンプレサーバーの廃止○ 会議室へのChromecast導入● 資産管理ツールの導入○ Snipe-IT
19社内ディレクトリ構築OneLogin
20IDaaS:OneLoginを採用KyashはMacが8割、Winが2割ADはWinが少ないとあまり力を発揮しない (主観)JumpCloudはPCログインだけならあり (主観)oktaはベターだけど王者なので融通が効かない (主観)OneLoginは業界2位(たぶん)なので頑張ってる (主観)あとOneLogin好き(主観)ということで色々考えた結果、 OneLoginを採用
21Masterデータ入社時に自動で割り振り名前と職種を入力するだけで、大抵のロールは自動で付与されるようにルール化
22OneLoginを中心に考えるすべての認証をOneLoginに統一"会社の中心を何にするか"で今後の方針が変わるので、一番最初に手を付けるべき
2301. SAML02. RADIUS03. OpenID Connect04. vLDAP05. API06. Google Auth07. その他
2401. SAML02. RADIUS03. OpenID Connect04. vLDAP05. API06. Google Auth07. その他
25SAML連携+ProvisioningG SuiteOffice365ZendeskAWS
2601. SAML02. RADIUS03. OpenID Connect04. vLDAP05. API06. Google Auth07. その他
27OpenIDConnect+ALBALBがOpenID Connectに対応していて、登録するだけでJWTが飛んでくる。便利。{"sub": "99999999","email": "[email protected]","preferred_username": "momoka.ariyasu","name": "Momoka Ariyasu","params": {"roles":"job_engineer_all;member_full;app_github;app_gsuite;job_engineer_server;job_engineer_main"},"exp": 9999999999,"iss": "https://openid-connect.onelogin.com/oidc"}App側はJWTを検証するだけで良い !(Kyashではparamsにrolesを渡していて、権限チェックをしている )
2801. SAML02. RADIUS03. OpenID Connect04. vLDAP05. API06. Google Auth07. その他
29Google Auth+OneLoginGoogle認証しか対応していないアプリでも、OneLoginに転送されるので実質SSOできている。ただしロール情報などは全く取れないので、全社員使えちゃう的な状態になるので注意。
3001. SAML02. RADIUS03. OpenID Connect04. vLDAP05. API06. Google Auth07. その他
31Form認証パスワードマネージャー的使い方も。1Password等と比べると誤爆率が高い。
https://rela1470.hatenablog.jp/entry/2019/12/11/000000KyashがOneLoginを選んだ理由
33公式HPにむっちゃ掲載されてる...びっくりするから連絡してほしい...
3434Kyashでコーポレートエンジニアを初採用して7ヶ月が経ちましたがOneLoginを中心として色々導入したおかげで元気だし愛されてますという話でした
Thank you35@rela1470https://rela.red/Kyash ID: rela