Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure AD対応の認証プロキシサーバをGoで作っている話

YAEGASHI Takeshi
November 13, 2021
Technology
0
150

Azure AD対応の認証プロキシサーバをGoで作っている話

Go Conference 2021 Autumn
https://gocon.jp/2021autumn/sessions/azure-ad-auth-server/

YAEGASHI Takeshi

November 13, 2021
Tweet

More Decks by YAEGASHI Takeshi

See All by YAEGASHI Takeshi
Microsoft Entra IDとAzure App Serviceによる エンタープライズWebアプリ・サービスのプラットフォーム構築
yaegashi
0
87
Microsoft Entra/Azure による Redmine の企業内利用向けカスタマイズと運用
yaegashi
0
250
バンダイナムコスタジオにおけるクラウドネイティブなゲーム開発スタジオの挑戦
yaegashi
2
1.1k
Bandai Namco DX Cloud Studios の全貌
yaegashi
0
100
DX(開発者体験)の向上を目指す ゲーム開発インフラの進化とDX(デジタル変革)
yaegashi
0
72
ゲーム開発におけるクラウドネイティブな CI/CD の最新動向
yaegashi
0
410
rclonefunction
yaegashi
0
820
大規模ゲーム開発を支える Azure DevOpsによるクラウドネイティブなCI/CDの紹介
yaegashi
5
2.3k
社員全員が利用できるWebダッシュボードを Azureで作ってみた話
yaegashi
3
2.4k

Other Decks in Technology

See All in Technology
フルカイテン株式会社 採用資料
fullkaiten
0
36k
生成AIとAWS CDKで実現! 自社ブログレビューの効率化
ymae
2
330
よくわからんサービスについての問い合わせが来たときの強い味方 Amazon Q について
kazzpapa3
0
220
新卒1年目が挑む!生成AI × マルチエージェントで実現する次世代オンボーディング / operation-ai-onboarding
cyberagentdevelopers
PRO
1
160
一休.comレストランにおけるRustの活用
kymmt90
3
580
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
110
AIを駆使したゲーム開発戦略: 新設AI組織の取り組み / sge-ai-strategy
cyberagentdevelopers
PRO
1
130
【若手エンジニア応援LT会】AWSで繋がり、共に成長! ~コミュニティ活動と新人教育への挑戦~
kazushi_ohata
0
180
マネジメント視点でのre:Invent参加 ~もしCEOがre:Inventに行ったら~
kojiasai
0
460
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.5k
[AWS JAPAN 生成AIハッカソン] Dialog の紹介
yoshimi0227
0
150
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
620

Featured

See All Featured
The Pragmatic Product Professional
lauravandoore
31
6.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
167
49k
Fontdeck: Realign not Redesign
paulrobertlloyd
81
5.2k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
7
150
Building Your Own Lightsaber
phodgson
102
6k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
RailsConf 2023
tenderlove
29
880
GitHub's CSS Performance
jonrohan
1030
460k
Designing the Hi-DPI Web
ddemaree
280
34k
Learning to Love Humans: Emotional Interface Design
aarron
272
40k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k

Transcript

  1. Azure AD対応の 認証プロキシサーバを Goで作っている話 2021/11/13 Go Conference 2021 Autumn 八重樫

    剛史 Takeshi Yaegashi

  2. 自己紹介 八重樫 剛史 Takeshi Yaegashi 株式会社バンダイナムコスタジオ所属 Linux・Unix・OSS・Go 言語が好きなエンジニア 組み込みシステム開発、ゲームサーバ開発、 CI/CD

    インフラ開発、 開発環境のクラウドシフトなどの業務に従事 活動場所 ホームページ・ブログ https://l0w.dev GitHub https://github.com/yaegashi Twitter https://twitter.com/hogegashi

  3. クラウドの静的ウェブアプリ (SWA) • 静的ウェブアプリの流行 ◦ Hugo のような Static Site Generator

    で作る静的ウェブサイト ◦ TypeScript や React で作るシングルページアプリ • 静的ウェブアプリに適したクラウドサービス ◦ GitHub Pages ◦ GitLab Pages ◦ Netlify ◦ Azure Static Web Apps / App Service ◦ AWS Amplify ◦ Google Firebase Hosting

  4. クラウドの社内向け静的ウェブアプリ • 全てのユーザーについて認証・認可が必要 ◦ IPアドレス・イントラネット・ VPNに頼るアクセス制御は甘え (ゼロトラストセキュリティ ) ◦ 特定の会社や部署だけに見せる、といった細かいレベルで制御したいことがよくある

    ◦ Web サイトの一部分だけに認証をかけたいということも • 細かい認可のニーズに対応できるサービスがない ◦ 例えばAzure App Serviceにおいてはユーザー認証なら自動的にやってくれるが (Easy-Auth)、 認可についてはWebアプリが自分自身で判断する必要がある ◦ アプリごとになんらかの認可のためのコードを書く必要があり敷居が高い ◦ 認証だけでなく認可までコードを書かずに設定できる Webサーバがほしい

  5. pswa - Protected Static Web Apps • Go による認証・認可つきの Web

    コンテンツ・プロキシサーバ • Simple web content/proxy server that embodies enterprise zero trust security • https://github.com/yaegashi/pswa • Docker image: ghcr.io/yaegashi/pswa

  6. pswa 特徴 • Azure Active Directory の OpenID Connect によるユーザーの認証・認可

    (Azure AD 以外の IdP にも対応を検討中) • 認証ユーザーの ID トークンに含まれる groups クレームからロールを定義 ロールを使ってルートごとのアクセス認可設定 • ルートごとにリライト・リダイレクト・プロキシが設定可能 • /index.html などへのフォールバックが設定可能 シングルページアプリのホストにも利用できる

  7. pswa.config.json - 設定ファイルの例 • routes: ルートパスとアクセスを許可 するロール、リライトやリダイレクトな どの処理を定義 • roles:

    ロールの名前とそれに属する AzureAD グループのオブジェクトIDを 定義 • Azure Static Web Apps で使用する staticwebapps.config.json に似せた { "routes": [ { "route": "/admin/*", "allowedRoles": ["admin"] }, { "route": "/internal/*", "allowedRoles": ["authenticated"] }, { "route": "/api/*", "proxy": "http://backend:8080/api" } ], "roles": [ { "role": "admin", "members": [ "34a36796-6043-4dea-85e1-c6ad121a54d4", "06fe36df-51ab-49d9-aa3e-2b0034c2cbd1", "5bafeeac-804c-4ea4-95c6-11696535c8cb" ] } ] }

  8. pswa - デモ • https://pswademo1.azurewebsites.net/ • Azure App Service の

    Linux B1 に ghcr.io/yaegashi/pswa コンテナをデプロイ • Hugo で作った静的サイトを Visual Studio Code 拡張でアップロード

  9. pswa のコンポーネント • github.com/coreos/go-oidc - OpenID Connect RP ◦ IdP

    の .well-known/openid-configuration を取得してエンドポイントを自動設定 ◦ JWKS による ID トークンの署名検証 • github.com/gobwas/glob - Route path pattern matching ◦ "*.{jpg,gif,png}" のようなパターンマッチは標準ライブラリではできない • go.uber.org/zap - Logger • github.com/felixge/httpsnoop - HTTP access logging • github.com/gorilla/sessions - Session cookie store

  10. pswa 開発進捗 • 典型的な登壇ドリブン開発(CFPを出してから考える) • 構想は一年以上、開発期間はまだ一週間 • 各所に明確なニーズがあるので2021年中に完成させたい

  11. おわり • 認証・認可機能が充実した Web コンテンツ・プロキシサーバを作ってます • コメントやプルリクいただけるとうれしいです • ご清聴ありがとうございました