Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OIDC仕様に準拠した Makuake ID連携基盤構築の裏側

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Y.Matsuda Y.Matsuda
January 19, 2023
Programming
2.8k
3

OIDC仕様に準拠した Makuake ID連携基盤構築の裏側

Avatar for Y.Matsuda

Y.Matsuda

January 19, 2023

More Decks by Y.Matsuda

See All by Y.Matsuda
Accelerating the Feedback Loop of OpenTelemetry Instrumentation with otel-tui
Avatar for Y.Matsuda ymtdzzz
1
760
Observability Technology Selection Tips
Avatar for Y.Matsuda ymtdzzz
6
1.7k
Building Observability Infrastructure with OpenTelemetry and SaaS
Avatar for Y.Matsuda ymtdzzz
2
1.6k
ActiveSupport::Notifications supporting instrumentation of Rails apps with OpenTelemetry
Avatar for Y.Matsuda ymtdzzz
1
1.1k
OpenTelemetryでRailsのパフォーマンス分析を始めてみよう(KoR2024)
Avatar for Y.Matsuda ymtdzzz
5
5.1k

Other Decks in Programming

See All in Programming
Spec-Driven Development with AI-Agents: From High-Level Requirements to Working Software
Avatar for Anton Arhipov antonarhipov
2
480
過去最大のMCPアップデート! 2026-07-28 RC版の謎に迫る
Avatar for matsukada licux
6
210
エージェンティックRAGにAWSで入門しよう!
Avatar for Har1101 har1101
8
1.3k
例外の正しい扱い方 そのエラー try-catchして大丈夫?
Avatar for Watanabe Jin jinwatanabe
0
180
Inside Stream API
Avatar for Yuichi.Sakuraba skrb
1
670
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
Avatar for mom0tomo mom0tomo
8
3.2k
さぁV100、メモリをお食べ・・・
Avatar for nilpe nilpe
0
130
RTSPクライアントを自作してみた話
Avatar for simotin13 simotin13
0
520
Webフレームワークの ベンチマークについて
Avatar for Yusuke Wada yusukebe
0
150
The NotImplementedError Problem in Ruby
Avatar for Koichi ITO koic
1
660
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
Avatar for chobishiba chobishiba
3
560
AI駆動開発で崩れていくコードベースを立て直す
Avatar for Kyoko NR kyoko_nr_nr
1
450

Featured

See All Featured
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
420
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
211
24k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
1.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.2k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
230
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.3k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.2k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
460

Transcript

  1. OIDC仕様に準拠した
 ID連携基盤構築の裏側
 2022.01.19
 株式会社マクアケ
 松田陽佑(@ymtdzzz)


  2. 自己紹介
 Copyright © Makuake, Inc. All Rights Reserved.
 2
 松田陽佑(@ymtdzzz)


    株式会社マクアケ 開発本部 Re-Architectureチーム所属
 - 認証・認可基盤サービスの開発と保守( 2021年10月入社)
 - 最近までID連携(OIDC)基盤の開発をメインで担当 
 - 分散トレーシング、APMの導入を進めています 
 - 興味分野
 - Kubernetes
 - CKA, CKAD
 - OpenTelemetry(分散トレーシング)
 - (たまに)Contribute
 - OpenTelemetry Advent Calendar 2022


  3. 今日話したいこと
 Copyright © Makuake, Inc. All Rights Reserved.
 3
 話すこと


    - 出来立てホヤホヤのID連携基盤の設計〜構築フェーズのお話
 - makuakeの既存アーキテクチャを踏まえ、OIDC準拠のID連携基盤をどのように構築したか
 - プロジェクト要件、マクアケのアーキテクチャ固有の課題
 - アーキテクチャ
 - チャレンジ
 - 認可フローススクラッチ or ライブラリやBaaSの利用
 - 新認証画面の実装
 話さないこと
 - OIDCの細かい仕様について
 - 実装レベルの話


  4. 4 ID連携基盤??


  5. MakuakeのID連携基盤
 Copyright © Makuake, Inc. All Rights Reserved.
 5
 -

    Makuake本体の認証情報を外部サービスに連携する仕組み
 - 認証、認可の合わせ技
 - OpenID Connect仕様に準拠
 - 2022年9月にリリース🐣
 - Makuake STOREで利用中(RPはまだ一つ)
 認証 認可 外部サイト(RP) Makuake Makuake 外部サイト(RP) 認可フロー開始(認可エンドポイント) ・認可コードでトークン取得( tokenエンドポイント) ・IDトークン署名検証 ・必要に応じてユーザー情報取得( userinfoエンドポイント)

  6. 6 開発要件と課題


  7. 要件
 - まずはMakuake STOREへのID連携組み込みがファーストステップ 
 - デッドライン:Makuake STOREリリースまで
 - 技術標準であるOpenID

    Connect仕様への準拠
 - (将来的に)Makuake関連サービスや、それ以外の外部サービスとの連携 
 - Webバックエンドでの使用を想定: Basicな認可コードフローのみがスコープ 
 
 アーキテクチャ上の課題
 新規構築が多いので認証サービスリプレースのような難しさは無いものの・・・ 
 - 認証画面の新規実装したい
 - ユーザー関連のサービス新規実装 したい
 開発要件と課題
 Copyright © Makuake, Inc. All Rights Reserved.
 7


  8. 認証画面の新規実装したい 
 - 認証サービスはAPIのみ提供
 - 画面はモノリスのビルトイン認証画面 のみ
 - 認証サービスに生やした認証画面を使う(まずは OIDCから)


    
 ユーザー関連のサービス新規実装したい 
 - 認証サービスでは認証に関わるデータ のみ保持
 - ユーザーのプロフィール関連データ 
 は依然としてモノリスのDBに存在
 開発要件と課題
 Copyright © Makuake, Inc. All Rights Reserved.
 8
 ※絶対必要ではないが今後を見据えてこのタイミングでやっておきたい

  9. 9 アーキテクチャ検討


  10. アーキテクチャ検討
 登場人物
 - 認証サーバー(IdP)
 - 認証API(auth-api)
 - 認証画面(auth-web)※新規実装
 - 認可サーバー(oidc-provider)※新規実装


    - authZ endpoint
 - token endpoint
 - userinfo
 - 外部API GW ※新規実装
 - ユーザーサービス(user-api)※新規実装
 Copyright © Makuake, Inc. All Rights Reserved.
 10


  11. アーキテクチャ検討 - 認証画面(auth-web)
 バックエンド
 - 認証APIと同様にKubernetes(GKE)上に構築
 - マルチテナントによるコストメリット
 - Golangで実装


    フロントエンド
 - CDNで配信(図では省略)
 - Vuejs+Typescriptで実装
 ネットワーキング
 - Traffic Director
 - xDSを用いたプロキシレスのgRPC通信を実現
 Copyright © Makuake, Inc. All Rights Reserved.
 11


  12. バックエンド
 - 認証画面とほぼ同様
 - JWT署名鍵はKMSで管理
 - シークレット情報の隠蔽
 - パフォーマンス的な懸念については負荷試験で担保 


    DB
 - Cloud Spannerを採用
 - auth-apiで実績あり
 - マルチテナントによるコストメリット 
 フロントエンド
 - 認証画面と同様
 アーキテクチャ検討 - 認可サーバー(oidc-provider)
 Copyright © Makuake, Inc. All Rights Reserved.
 12


  13. アーキテクチャ検討 - ユーザーサービス
 Copyright © Makuake, Inc. All Rights Reserved.


    13
 バックエンド
 - ECS上に構築
 - Auroraに近い
 - 将来的なオーナーシップの変更 
 - ユーザーサービス自体はprivate APIとして構築
 し、外部API GWによって公開
 - ユーザーサービス
 - OIDCを意識しない仕様
 - 外部API GW
 - 流量制限
 - OIDC固有の責務
 - tokenチェック
 - scope判定


  14. アーキテクチャ検討 - 全体
 Copyright © Makuake, Inc. All Rights Reserved.


    14
 ※CDN, LB, WAF等は省略

  15. 15 チャレンジ


  16. チャレンジ - スクラッチによる認可フローの実装
 Copyright © Makuake, Inc. All Rights Reserved.


    認可フローの実装手段
 - スクラッチ
 - OSSやマネージドBaaSの使用(hydra, Authlete)
 スクラッチを選択した理由
 - 開発スコープが限られていたため実装コストのリスクは許容範囲と判断
 - 認可コードフロー、特にBasic OPのカバーが要件
 将来的にどこまでカバーするニーズが生じるかは未知数だが・・・
 - OSSやBaaSへのシフト後も作成した実装の多くは無駄にならない
 - チーム内に有識者がいた 
 16
 ここは無駄にならない 出典:https://www.authlete.com/ja/

  17. チャレンジ - 新認証画面の実装
 Copyright © Makuake, Inc. All Rights Reserved.


    背景
 (開発要件と課題より)モノリスの既存認証画面から認証サービス側の認証画面への移行
 →このタイミングでOIDCだけでも新認証画面を使うようにしたい
 リスク
 Makuake STOREリリースまでに認可基盤の提供ができない
 前提
 makuake本体の既存認証画面でもOIDCフローは実現可能
 どうしたか
 既存認証を使用するプランBを持った上で新認証画面実装
 17
 既存認証でOIDCフローが実 現可能であることを検証 新認証画面前提で実装 新認証画面でいくかどうか最 終ジャッジ リリース (プランBの場合)既存認証に 向き先変更

  18. 18 サービスインまでの流れ


  19. 動作確認用RPの作成
 Copyright © Makuake, Inc. All Rights Reserved.
 19
 OIDC自体の動作確認のためのRP(client)実装


    - Vue+Typescript
 - 外部には公開しないOIDC基盤開発者用ツール


  20. 負荷試験&キャパシティプランニング
 Copyright © Makuake, Inc. All Rights Reserved.
 20
 条件


    - 定常時・ピーク時
 - メディア露出時のスパイク(定常時ピークの10~200倍)
 - スケーリングにかかる時間検証(K8s HPA)
 - ロングランテスト(3日程度)
 - メモリリークなど短時間の試験で検出しにくい観点
 環境
 - K6 Cloud
 - K6 on EC2 ※ロングランテストのみ


  21. 連携先への組み込みとリリース
 Copyright © Makuake, Inc. All Rights Reserved.
 21
 組み込み手順書ベースで組み込んでもらう


    - 元データはmarkdownでドキュメント化
 - Gitbook等でpublish可能な状態
 →OIDC準拠なのでライブラリやプラグイン導入で組み込み完了
 
 脆弱性診断(外部業者へ委託)を実施後、無事リリース🎉
 - デッドライン ✅
 - OpenID Connect仕様への準拠 ✅
 - 認証画面の新規実装 ✅
 - ユーザー関連のサービス新規実装 ✅
 リリース後は順調に稼働中


  22. 22 今後の課題


  23. 今後の課題
 Copyright © Makuake, Inc. All Rights Reserved.
 23
 認証改善


    - 認証画面統一
 - 認証手段追加
 OIDC Certificationの取得
 - Basic OP取得準備完了
 SLI/SLO運用
 - 目下運用中
 - APM、Distributed Tracing活用
 他フローへのサポート、OIDC公開 ※未定
 - developer consoleなど開発画面の開発


  24. 24 Re-Architectureチームの旅は続く・・・


  25. 絶賛採用中!
 Copyright © Makuake, Inc. All Rights Reserved.
 25
 https://hrmos.co/pages/makuake/jobs/0000081


  26. 26 Thank you !


  27. Copyright © Makuake, Inc. All Rights Reserved.