Kyashでコーポレートエンジニアを初採用して7ヶ月が経ちましたがお元気ですか / ce-night-kyash

Transcript

1. Corporate Engineer Night #2 おれたちは愛されコーポレート ITになる | co-ba jinnan 2020-01-29

   @rela1470 Kyashで コーポレートエンジニアを初採用して 7ヶ月が経ちましたが お元気ですか
2. None

3. 3 新しい価値移動の インフラを創る Mission

4. 4 Kyashの特徴 Visaとして使えるカード スマホからすぐに作れる Visaカード。 Visaカード加盟店 でいつでも1%還元。もちろん年会費や手数料は一切無 料。

5. 5 5 なにを話すか

6. 6 6 Kyashで コーポレートエンジニアを初採用して 7ヶ月が経ちましたが 元気です という話です

7. 7 創業以来、 専任のコーポレートエンジニアは 居なかった

8. 8 2019/07 入社

9. 9 思った以上に、なにもない...

10. 10 空白の415日間 情シス不在が長く続いた Meraki Dashboardの変更ログより 2018年5月16日以降、自分が入社するまでログインが なかったようです ...

11. 11 社員数が50人を超えると 考えることが一気に多くなる (2020年 わたなべ調べ)

12. 12 同期入社6人 組織が急拡大していくタイミング わたなべ入社以降も続々とメンバー増

13. 13 だいたいの社員数

14. 14 入社したタイミングがよかった & このタイミングで コストを払う判断をした 経営陣GJ

15. 15 15 ゼロからの立ち上げ 7ヶ月でやったこと

16. 16 • 社内ディレクトリの構築 ◦ OneLogin + OneLogin Desktop • プロビジョニング体制の構築

    ◦ G Suite ◦ Office365 ◦ Zendesk ◦ AWS • MDM導入 ◦ Jamf Pro ◦ Microsoft Intune • EDR導入 ◦ CrowdStrike Falcon Prevent + Insight • PC調達基準の刷新 ◦ Macは基本最新機種 ◦ WinはThinkPad E Mem32GB SSD 1TB • ネットワーク環境の見直し ◦ WPA2-Enterpriseへの移行 ◦ サブネットマスクの切り直し • 物理設備の整備 ◦ 複合機入れ替え ◦ オンプレサーバーの廃止 ◦ 会議室へのChromecast導入 • 資産管理ツールの導入 ◦ Snipe-IT

17. https://rela1470.hatenablog.jp/entry/2019/12/06/000000 Kyashの社内システムを刷新した5ヶ月間

18. 18 • 社内ディレクトリの構築 ◦ OneLogin + OneLogin Desktop • プロビジョニング体制の構築

    ◦ G Suite ◦ Office365 ◦ Zendesk ◦ AWS • MDM導入 ◦ Jamf Pro ◦ Microsoft Intune • EDR導入 ◦ CrowdStrike Falcon Prevent + Insight • PC調達基準の刷新 ◦ Macは基本最新機種 ◦ WinはThinkPad E Mem32GB SSD 1TB • ネットワーク環境の見直し ◦ WPA2-Enterpriseへの移行 ◦ サブネットマスクの切り直し • 物理設備の整備 ◦ 複合機入れ替え ◦ オンプレサーバーの廃止 ◦ 会議室へのChromecast導入 • 資産管理ツールの導入 ◦ Snipe-IT

19. 19 社内ディレクトリ構築 OneLogin

20. 20 IDaaS:OneLoginを採用 KyashはMacが8割、Winが2割 ADはWinが少ないとあまり力を発揮しない (主観) JumpCloudはPCログインだけならあり (主観) oktaはベターだけど王者なので融通が効かない (主観) OneLoginは業界2位(たぶん)なので頑張ってる

    (主観) あとOneLogin好き(主観) ということで色々考えた結果、 OneLoginを採用

21. 21 Masterデータ 入社時に自動 で割り振り 名前と職種を入力するだけで、 大抵のロールは自動で付与され るようにルール化

22. 22 OneLoginを 中心に考える すべての認証をOneLoginに統一 "会社の中心を何にするか"で今 後の方針が変わるので、一番最 初に手を付けるべき

23. 23 01. SAML 02. RADIUS 03. OpenID Connect 04. vLDAP

    05. API 06. Google Auth 07. その他

24. 24 01. SAML 02. RADIUS 03. OpenID Connect 04. vLDAP

    05. API 06. Google Auth 07. その他

25. 25 SAML連携 ＋ Provisioning G Suite Office365 Zendesk AWS

26. 26 01. SAML 02. RADIUS 03. OpenID Connect 04. vLDAP

    05. API 06. Google Auth 07. その他

27. 27 OpenID Connect + ALB ALBがOpenID Connectに対応して いて、登録するだけでJWTが飛ん でくる。便利。 {

    "sub": "99999999", "email": "[email protected]", "preferred_username": "momoka.ariyasu", "name": "Momoka Ariyasu", "params": { "roles": "job_engineer_all;member_full;app_github;app_gsuite;job_engine er_server;job_engineer_main" }, "exp": 9999999999, "iss": "https://openid-connect.onelogin.com/oidc" } App側はJWTを検証するだけで良い ! (Kyashではparamsにrolesを渡していて、 権限チェックをしている )

28. 28 01. SAML 02. RADIUS 03. OpenID Connect 04. vLDAP

    05. API 06. Google Auth 07. その他

29. 29 Google Auth ＋ OneLogin Google認証しか対応していない アプリでも、OneLoginに転送さ れるので実質SSOできている。 ただしロール情報などは全く取 れないので、全社員使えちゃう

    的な状態になるので注意。

30. 30 01. SAML 02. RADIUS 03. OpenID Connect 04. vLDAP

    05. API 06. Google Auth 07. その他

31. 31 Form認証 パスワードマネージャー的使い 方も。1Password等と比べると誤 爆率が高い。

32. https://rela1470.hatenablog.jp/entry/2019/12/11/000000 KyashがOneLoginを選んだ理由

33. 33 公式HPに むっちゃ掲載 されてる... びっくりするから連絡してほし い...

34. 34 34 Kyashで コーポレートエンジニアを初採用して 7ヶ月が経ちましたが OneLoginを中心として 色々導入したおかげで 元気だし 愛されてます という話でした

35. Thank you 35 @rela1470 https://rela.red/ Kyash ID: rela