マネーフォワードの認証基盤のこれまでとこれから

Transcript

1. ϚωʔϑΥϫʔυͷ ೝূج൫ͷ͜Ε·Ͱ ͱ͜Ε͔Β גࣜձࣾϚωʔϑΥϫʔυ @nhosoya ࡉ୩௚थ 2023-01-19

2. @nhosoya ʢࡉ୩௚थʣ גࣜձࣾϚωʔϑΥϫʔυ IDαʔϏε։ൃ෦ 2015 - ϚωʔϑΥϫʔυMEͷ։ൃ ʢAndroid/Rails/EMͬΆ͍ͳʹ͔ʣ 2018 -

   ݱࡏ ೝূج൫ͷ։ൃ <- ࠓ೔͸͜ͷ࿩ 2

3. ϚωʔϑΥϫʔυͷαʔϏε 3

4. ͜͜ʹςΩετ͕ೖΓ·͢͜͜ʹςΩετ͕ ͜͜ʹςΩετ͕ೖΓ·͢͜͜ʹςΩετ͕ ͜͜ʹςΩετ͕ೖΓ·͢͜͜ʹςΩετ͕ ͜͜ʹςΩετ͕ೖΓ·͢͜͜ʹςΩετ͕ 4

5. 1ͭͷIDͰ͢΂ͯͷαʔϏεΛར༻Մೳ 
   31T *E1 01 5

6. ౰વɺ࠷ॳ͔Β͜͏ͳ͍ͬͯͨΘ͚Ͱ͸ͳ͍ 6

7. 2012೥ ϚωʔϑΥϫʔυ ME ϦϦʔε 7

8. 1App 1DBͷγϯϓϧͳߏ੒ - ΞΧ΢ϯτ(ID/PW) - ۚ༥ػؔͳͲ͔Βऔಘͨ͠৘ใ - ͳͲͳͲ 8

9. 2013೥ Ϋϥ΢υձܭɾ֬ఆਃࠂ ϦϦʔε 9

10. Ոܭ฽ͷσʔλΛ֬ఆਃࠂͰ΋׆༻͍ͨ͠ 10

11. ڞ༗͞ΕΔσʔλϕʔε - ۚ༥ػؔͳͲ͔Βऔಘͨ͠৘ใ - Ոܭ฽αʔϏεͷΈ͕ར༻͢Δ σʔλ - ΞΧ΢ϯτ৘ใ (ID/PW) -

    ձܭɾ֬ఆਃࠂαʔϏεͷΈ͕ ར༻͢Δσʔλ 11

12. 2014೥ Ϋϥ΢υ੥ٻॻ 2015೥ Ϋϥ΢υڅ༩ Ϋϥ΢υϚΠφϯόʔ 2016೥ Ϋϥ΢υܦඅ 12

13. ਐΉີ݁߹ - ΞΧ΢ϯτ৘ใ (ID/PW) - ۚ༥ػؔͳͲ͔Βऔಘͨ͠৘ใ - Ոܭ฽αʔϏεͷΈ͕ར༻͢Δ σʔλ -

    ϚωʔϑΥʔϫʔυΫϥ΢υͷ αʔϏε͕ڞ௨Ͱར༻͢Δσʔλ 13

14. ͜ͷͱ͖ͳʹ͕ى͖͍͔ͯͨ සൃ͢Δো֐ ɾDBͷੑೳ໰୊ ɾεϩʔΫΤϦҰൃͰ શαʔϏε͕ো֐ʹͳΔ ɾڞ༗ϥΠϒϥϦͰޓ׵ੑ Λอͭඞཁ͕͋Δ ɾΫϥ΢υαʔϏεΛ࢖͑ ͳ͍ ɾӨڹ͕શαʔϏεʹٴͿ

    ͷͰख͕ग़ͮ͠Β͍ ɾಉҰIDͰ͋Δ͜ͱΛ׆͔ ͤͳ͍ ։ൃ΁ͷ੍໿ ਐԽ͠ͳ͍ೝূ 14

15. 2018೥ ೝূج൫ͷ։ൃ։࢝ 15

16. Ͳ͏ղܾ͢Δ DB΁ͷґଘΛ ݮΒ͢ WebAPI ͷΈͰ ΍ΓऔΓ ิॿͰ͸ͳ͘ ҕৡͯ͠΋Β͏ 16

17. *%τʔΫϯͷऔಘͱݕূ ೝূ 17

18. OpenID Connect ͷϝϦοτ • ඪ४࢓༷Ͱ͋Δ • ηΩϡϦςΟݒ೦͕গͳ͍ • OSS͕ར༻Ͱ͖ΔʢΫϥΠΞϯτࢹ఺ʣ •

    RESTful ͳ Web API ͷΈͰͷ΍ΓऔΓ • ݴޠɺΠϯϑϥͱ΋ʹαʔϏεଆ΁ͷ੍໿͕ͳ͍ • IdP ଆͷ։ൃͷΈͰೝূڧԽ͕Մೳ • ೝূॲཧࣗମ͸ IdP ଆͷυϝΠϯͷΈͰߦΘΕΔ 18

19. େมͩͬͨ͜ͱ • ࢓༷ͷཧղɾղऍ͕೉͍͠ • Ͳ͏࡞Δ͔ • طଘαʔϏεͷ IdP ରԠ 19

20. ࢓༷ͷཧղɾղऍ͕೉͍͠ • ؔ࿈࢓༷͕ଟ͍… • Φϓγϣφϧ͕ଟ͍… • IdP Λ࡞ΔͨΊʹඞཁͳ࢓༷͕͢΂ͯࡌ͍ͬͯΔΘ͚Ͱ͸ͳ͍ → OpenID

    Foundation Japan ΁ͷ૬ஊ → ΤΩεύʔτͰ͋Δ @nov ͞ΜΛٕज़ސ໰ͱܴͯ͑͠Δʢͷͪೖࣾʣ 20

21. ࣗ࡞ / IDaaS / Managed • طଘσʔλͷҠߦཁ݅ • ϕϯμʔϩοΫΠϯ΁ͷෆ҆ •

    ྉۚʹݟ߹͏ͷ͔ → OSSϥΠϒϥϦΛ࢖ͬͯࣗ࡞ ʢݸਓతʹ͸ΊͪΌͪ͘Όྑ͍ܦݧʹͳͬͨɻ4೥͘Β͍େ͖ͳ໰୊΋ͳ͘ӡ༻Ͱ͖͍ͯΔɻ ͚Ͳ͔ͳΓ੒ޭόΠΞεɻຊ౰ʹθϩ͔Β΍ΔͳΒ IDaaS ࢖ͬͯΈ͍ͨɻʣ 21

22. طଘαʔϏεͷ IdP ରԠ • ঢ়گ • ։ൃ։࢝࣌఺Ͱ7ͭͷαʔϏε͕ӡ༻த • ৽ن2αʔϏεʢIdP ར༻લఏͰ։ൃʣϦϦʔεؒۙ

    • ϏοάόϯϦϦʔε͸ૣʑʹఘΊΔ • IdP ͕ڞ௨DB Λར༻͢Δ͜ͱͰޓ׵ੑΛอͭ͜ͱʹͨ͠ 22

23. ཧ૝͸DBͷڞ༗͕ͳ͍ੈք 23

24. IdP͕ڞ༗DBʹ৘ใΛಉظ͢Δ 24

25. 2018೥12݄ ೝূج൫ͷϦϦʔε 25

26. ଓ͘৽نαʔϏε 2020೥ ϚωʔϑΥϫʔυ ͓ۚͷ૬ஊ ϚωʔϑΥϫʔυ Ϋϥ΢υձܭPlus ϚωʔϑΥϫʔυ ࣾձอݥ ϚωʔϑΥϫʔυ ։ۀಧ

    2021೥ ϚωʔϑΥϫʔυ Ϋϥ΢υ࠴຿ࢧ෷ ϚωʔϑΥϫʔυ Ϋϥ΢υܖ໿ ϚωʔϑΥϫʔυ Ϋϥ΢υ੥ٻॻPlus ϚωʔϑΥϫʔυ Ϋϥ΢υݻఆࢿ࢈ ϚωʔϑΥϫʔυ Ϋϥ΢υਓࣄ؅ཧ ϚωʔϑΥϫʔυ Ϋϥ΢υ೥຤ௐ੔ ϚωʔϑΥϫʔυ IT؅ཧΫϥ΢υ ϚωʔϑΥϫʔυ Pay for Business 26

27. 1ͭͷIDͰ͢΂ͯͷαʔϏεΛར༻Մೳ 27

28. ϦϦʔε͔ͯ͠ΒԿ΍ͬͯͨͷʁ 28

29. 1. طଘαʔϏεͷҠߦαϙʔτ ɹɾશαʔϏε͕৐ͬͨͷ͸2020೥͘Β͍ 29

30. 2. ೝূڧԽ ɹɾ2FA (TOTP/SMS) ɹɾSign in with Apple ɹɾϩάΠϯ௨஌ ɹɾύεϫʔυϙϦγʔมߋ

    ɹɾύεϫʔυڧ౓ϝʔλʔ ɹɾWebAuthn/Passkey 30

31. 3. UX޲্ɺCVR޲্ ɹɾલճͷϩάΠϯํ๏ͷهԱ ɹɾαʔϏεؒͷSSO ɹɾB2C/B2B ʹ߹ΘͤͨΧελϚΠζ ɹɾݸผͷ RP ʹ߹ΘͤͨΧελϚΠζ 31

32. 4. ΤϯλʔϓϥΠζରԠ ɹɾ૊৫؅ཧΞΧ΢ϯτ ɹɾSAML 32

33. 5. ͦͷଞݸผχʔζ΁ͷରԠ ɹɾi18nʢӳޠʣ 33

34. 6. IDج൫ࣗମͷΞʔΩςΫνϟվળ ɹɾSakura -> AWS ɹɾk8s 34

35. ࠓޙͳʹ΍͍͔ͬͯ͘ 35

36. WebAuthn/Passkey ΁ͷνϟϨϯδ ɹɾ࣮૷ࡁΈ͕ͩར༻ଅਐ͸͍ͯ͠ͳ͍ ɹɾAutofill ͷಋೖ ɹɾద੾ͳλΠϛϯάͰͷొ࿥΁ͷ༠ಋ ɹɾ”ύεϫʔυϨε” ͷఏڙ 36

37. ΞΧ΢ϯτϦΧόϦͷվળ 37

38. αʔϏεͷಛੑ΍ίϯςΩετʹ߹Θͤͨ ॊೈͳೝূͷఏڙ 38

39. ୀձ·ΘΓͷ Bad UX վળ ɹɾαʔϏεͷୀձͱIdPͷୀձͷѻ͍ ɹɾҰՕॴͰશ෦ୀձ͍͕ͤͨ͞… 39

40. άϧʔϓձࣾͷαʔϏεͱͷID౷߹ 40

41. 3rd Party ΁ͷ։์ 41

42. Pull ͔Β Publish (Push) ΁ RISCͷΑ͏ͳ΍ΓํͰ https://openid.net/specs/openid-risc-profile-specification-1_0.html https://developers.google.com/identity/protocols/risc 42

43. ϚϧνΞΧ΢ϯτɺϚϧνηογϣϯ ͜Μͳݴ༿͕͋Δ͔Θ͔ΒΜ͚ͲɺGoogle Έ͍ͨʹ੾Γସ͑ ݸਓͱձࣾͰΞΧ΢ϯτΛ࢖͍෼͚Δਓ޲͚ 43

44. ڞ༗ΞΧ΢ϯτʁ 44

45. ΞΫηείϯτϩʔϧ 45

46. Thank you! 46