認可、認証周りの知識を深めるべく、【Qiita Meetup】Auth0創業者が語る認証・認可のこれまでとこれからにオンライン参加してきました!ヾ(´∀`)ノ
オフラインで行きたかったんだけどねー。移動時間が取れなかった。。。
備忘録として、学んだことや思ったことを残していきたいと思います。
イベント開始・挨拶
Qiita PM 清野さん、声が優しい。落ち着いて聞ける良い声ですね。
会場は食事あるんだー。お腹空いたナ('ω')
Auth0ユーザー企業セッション
色んなサービス使ってるよ!って説明ですね( ゚Д゚)
導入事例ですな。ふんふん、なるほどー。
そっかー。Auth0はOkta Customer Identity Cloudに名前変わったのかー(古)
以下、メモ書き。
開発スタイルの変更:PaaS型の受託開発
開発リソースが限られている中でスピード感を出すため
クラウドネイティブの方針で考えたときに、認証のところを自分のところで作るのかと考えた時にAuth0を採用した。
資材マッチングサービス。寄贈したいところと寄贈先をマッチングするサービス。
最初に導入した案件のためオーソドックスな使い方をしている。
UserDBを使ってUserを管理。
WEBサイト作成ツールSALADA-BAR
社内のDBでシングルサインオンする仕組みを一から作ったことがあるらしくて、簡単にできて感動したと担当者は言っていた。
社内の基盤とつながると営業面でもメリットがある。既に使っている基盤とSSOできることで導入速度も違う。
Okta Customer Identity Cloudの良いところ
- 無償プランがある
- 公式ドキュメント、チュートリアルの充実
- クイックセットアップガイドで1時間くらいあれば簡単に使えるようになる
- 機能の組み込みやすさ
- 認証機能作ったことのある方だったらOktaすごーいってなると思う
要望
- 日本語化をぜひお願いします
- ユーザー側はできているが、Documentや管理画面
- 先頭を走り続けて欲しい。セキュリティアップデートなどをどこよりも早く
パネルトーク「認証・認可のこれまでとこれから」
ここからが本番ですね。本気でメモります。('Д')
創造秘話
- 話しちゃうと秘話にならないよって笑ってるとこ、可愛い
- 秘訣は2つあった。
- 1つはとにかく簡単にする。単一のAPIで専門家じゃなくても使える。シンプルさ
- 2つ目は拡張性。システムのカスタマイズをたくさんコードを書かなくても良いようにする。エクスペンシビリティ
現在のソフトウェア開発における顧客ID管理
- Oktaと一緒になることですべてのユースケースに対応できる幅広いサービスになった
- 外部のシステムに依存する、アウトソースする必要がなくなった
Customer Identity Cloudの価値について
- 価値は変わっていない。すべての時間を使ってシステムを構築するという本来の業務に使えることが価値
- もう1点。セキュリティには終わりがない。システムを構築すればいいというものではない。新たな脆弱性も発見されるし、常に注視しておかないといけない。それを我々が受け持つ
開発者はどのような課題を抱えているのか
- 世界的に見てもDevelopersの不足
- より多くのことをより早く、セキュリティ、信頼性を考慮せずに開発できる環境を提供する
- 我々が全員、どうやったら生産的になれるかということを考えないといけない
ユーザーは顧客管理についてどう向き合うべきか
- end userにとってidentityは見えないべき
- onlineで何かをしようとするとidentityは摩擦を生じる
- やろうとしていることに対してセキュリティがidentityが障害にならないように安全性を保つことが大事
開発者は顧客管理の開発環境についてどう向き合うか
- ID管理は通常コアビジネスであることはない
- サービスの観点からするとどのようなPlatformでも動くサービスであるべき
- どのようなアプリケーション、デバイスでも動くことが期待されている
- ID管理はメインではないけれど大事なところ
企業は顧客ID管理にどう向き合うべきか
- 顧客ID管理は2つある、BtoBとBtoC
- コンシューマーアプリケーションとしてはコンバージョンを上げることにつきる。顧客にとっては選択肢はたくさんある。弊害があると他社に逃げていく
- SaaS BtoBでの価値は以下にエンタープライズビリティになっているか。整っているか
- すぐにSSOが使える、プロビジョニングが使える、逆プロビジョニングができるということ
開発者にアピールしたいポイント
- どの開発者にとっても、どのPlatformでも使えるということ
- フレキシブルであるということ。大切だと思っている
- 拡張できるシステムであること。10名でも100万でもスケール化ができることが大切
- 常に高度な攻撃があるので、それらから守っていくことも大切
- 3割から4割が不審なログイン。守るのは簡単なことではない
- 技術の進化、バイオメトリクスを使ったログインなど、簡単に導入できるようにしていこうと思っている
今後のソフトウェア開発について
- passwordをなしにするということ。永遠にパスワードなし
- 一切passwordを使わない世界は遠い未来じゃない。今でもできること
- passkeyなどは業界が勢いづいている
- passwordを管理するサービスが増えている
解決すべき開発者が抱える問題
- 技術が進化する中で出てくる。未知のこともある
- 個人的にはワクワクしている
- アクセス管理の社会的なコンポーネントにまつわるものではないかと思っている
- 一部の国ではプライバシーに関する懸念が出てきている
- 問題の根本にあるのは信頼。どのようにリードして維持するのか。
Customer Identity Cloudの成功とはどんなものか
- appleでログインするという発表をしたとき、appleは誰にも言わなかったんです
- それで発表して公表して、一部のアプリケーションについてはaapleでログインすることが必須だった
- 私たちはAuth0を一週間以内に対応した。初めて知って、Documentを読んで、対応していかなければならないとなったとき、一週間じゃ無理!となったときに、我々の価値が出てくる
ソフトウェア開発はどのように変化していくか
OpenAPIのChatGPTを踏まえた話
- AIも最初は何ができるか懐疑的だった
- ただ、自分で試してこんなにできるようになったんだと驚いた
- AIによってDeveloperとしての役割がなくなることはないが、能力が拡張される
- こういった変化がどれくらい時間がかかるのか、最終系は何かわからないが、パラダイムシフト、転換点ではないかと考えている
- システムに開発における大切な点だけではなく、クリエイティブなところに集中していけるのではないかと考えている
- Javaで関数を書いてAuth0でコードジェネレートして動かしてみたが正常に動いた。的確な結果になったので驚いた
- 今後はこういった方向に動いていくのではと思っている
トークセッション終了。ありがとうございました!
なるほどねー。考え方と言うか心構えの再確認できた感じです。
Q&A
-
マイナンバーなどの行政が個人を識別するサービスがある。Oktaでも提供したり今後どう動くか聞きたい
- どんなユーザーの情報についてもサポートは提供している。
- まだ提供はしていないがコンプライアンスのフレームワーク。いずれは完全準拠する予定
- 既に一部政府、自治体の顧客になっている状況はある
-
デジタルウォレットについて
- 検証可能な認証情報と言う取り組みをしている。
- これにはスペシャルウォレットが使われている。
- 認証情報の中に入っている情報を使う人に対し認証情報を発行する。?
- Auth0 Laboで検索すると一部公開されている。ご自身でテストすることも可能です
- Partnerがいる。デジタルウォレットでログインするということを提供しているPartnerがいる。本番環境で提供してる
- login with walletで検索していただければ出てくると思う
-
企業内の開発システムでSSOを求められることがある。Auth0を適用し辛い、適用できないパターンがあれば教えて欲しい
- 非常に古いレガシーシステムであれば難しいことはあるが、何らかの方法はあると思うので不可能ではないと思う
- SSOを色んな変更ができないレガシーシステムの場合、リバースプロキシを使う
-
ここ数年間で他の技術が主流になる可能性はありますか?
- より古いSAMLにとって代わってきていると思う
- 非常にシンプルなプロトコル
最後聞き損ねたー!SAMLにとって代わるの、なんだ??調べれば出てくるかなー。。。
リバースプロキシもよくわからん。勉強する項目が増えたな。( ..)φメモメモ
(2022/12/17 追記)
SAMLに取って代わるのは OpaneID Connect だそうです。
ソーシャルログインでよく使われている技術で、企業基盤でも取って代わるだろうとのこと。
Oktaの岩崎さん、ありがとうございます!
セッション終了
関係者の皆様、ありがとうございました。
自分が知らない、よくわかってない事項が出てくるのは、情けないなと思いつつ嬉しい。
理解が深まるというよりは、理解してないことを自覚できた感じでした。頑張ろう。
懇親会いいなー。お腹空いた。TKGでも食べよう。
ではでは!