昨日はご参加いただきありがとうございました! アンケートにご協力いただけるとうれしいです。今後の参考にします #authlete x.com/authlete_jp/st…

「#OAuth & #OpenID Connect 勉強会 by #Authlete ー 認可サーバーの作りかた（#AWS 編）」にご参加ありがとうございました！アンケートにご協力お願いします。 @kthrtty さん、@kosui_meさん、@stefafafan さん、ご登壇ありがとうございました！ さて、皆さまにご参加いただいたこのポーズとは？ pic.x.com/37Rrc4wCHU

懇親会含めとても勉強になる会でした、お誘いありがとうございました！ #authlete

#authlete aws.amazon.com/jp/verified-pe… RBACを採用する場合はロールの長期運用を見据えた設計をしないといけないし、ABACを採用する場合はどうしても各実装に認可ロジックが散ってしまう。 そこで、Amazon Verified Permissionsを利用して認可判定を一元化できる！めっちゃ良さそう！ pic.x.com/LrsytakVmC

Amazon CognitoのIDプール。認可サーバーとは直接関係ないけど #authlete pic.x.com/e5MpkZUusS

Amazon API Gatewayとオーソライザー。さらに、トークンに追加のクレームを入れておいて、Amazon Verified Permissionsに認可判断を委譲。ポリシーを一元化 #authlete pic.x.com/mjOUprYza7

Amazon Verified Permissions、へー フルマネージド型の Cedar 認証サービス - Amazon Verified Permissions aws.amazon.com/jp/verified-pe… #authlete

AWS世界の資格情報に変換 #authlete pic.x.com/neDbjZJZg9

「既存の認可サービスをサーバレス認可機能でラップして強化」やるかどうかはおいておいて（？）、やろうと思えばできるの面白い #authlete

外部のOPに認可要求するようALBを設定できるの、おもろい #authlete pic.x.com/6ghyPxZ5XR

#authlete 認可リクエストに紐づくセッション情報はDynamoDBに保存しています。低い運用コストで高い可用性を実現できます。DynamoDB Global Tablesを使うことでマルチリージョン化も容易です。 TTLを用いて自動破棄することもできますが、必ずしもTTLの通りに即時削除されはしないことに注意。 x.com/tkudos/status/…

かつたつのオマケ（本編？）コンテンツ 普段外にでないticketをリダイレクトで引き回すのおもろい。てかALBってこんな高機能なんか #authlete

kosuiさんにこの内容も改めて語ってもらう会を見たい [SaaS企業の認証基盤の最前線: SSOとパスワードレス化を乗り越える · Issue #173 · aws-events/aws-dev-day-tokyo-2023-cfp](github.com/aws-events/aws…) #authlete

aws.amazon.com/jp/solutions/i… Cognitoユーザープールのバックアップについては、AWSが公開しているリファレンスアーキテクチャが参考になります。 しかし、このリファレンスでも述べられている通り機密情報の移行はできない点に注意が必要です。 #authlete x.com/tkudos/status/…

Enabling的な活動で、プロダクト側と伴走するのとても良い。使ってもらえるように・愛着持ってもらえるように・適切にFBもらえるようにっていういろんなメリットがありそう！ 一定の労力はかかるけど、絶対やる価値ある #authlete

#authlete Authleteを選択することで、UIや認証認可ロジックは自社の要件に合わせて柔軟に実装しつつ、OIDCの各種ロジックだけをAuthleteへ移譲できる点が最高でした！ x.com/tkudos/status/…

そうなんだよねえ…サービス側に共通認証基盤に切り替えろって言ったって進まないからねえ… #authlete

積極的に移行を支援する。プラットフォームエンジニアリングのプラクティスを活用。サポート体制を手厚くする。設計やライブラリ選定などから関わることが重要 #authlete pic.x.com/nMfIxoVwCp

マルチリージョン構成による可用性の担保。BCP発動時のパスワード再設定は課題 #authlete pic.x.com/aXROjok48c

アプリケーションはRemixフレームワーク、データベースはDynamoDB。既存の認証基盤で利用しているAmazon Cognitoユーザープールをつないでいる #authlete pic.x.com/NWd5V8MRU5

「#OAuth & #OpenID Connect 勉強会 by #Authlete ー 認可サーバーの作りかた（AWS編）」でカケハシの @kosui_me さんと@stefafafan さんにAuthlete を利用した共通認証基盤の移行事例についてご説明いただいています。 pic.x.com/Ni5oAhgbYs

BaaSの中でもAuthleteを選択した。理由は2点。高い専門性と継続的なサポートがあり、安心して使えるのが一点。もう一点は適切な粒度での抽象化 #authlete pic.x.com/SdWSRoAYa4

IDaaS活用は見送った。既存からIDaaSへのデータベースの移行コストと、UIや認証方式追加などのカスタマイズ性 #authlete pic.x.com/Ed3oDZJXl9

数年後も運用し続けられるか? という視点 #authlete pic.x.com/K55WTtfzRu

ログインだけではなく、監査ログ、二要素認証、BCPなど、要件が増える可能性がある。OAuth/OIDCの外部化により、自分たち独自の実装に集中できる #authlete pic.x.com/OtDJDYSomE

4つの重要な要件。移植性・セキュリティ・可用性・運用コスト #authlete pic.x.com/wh3LSmP0kC

CognitoユーザープールをAPIとして利用しており、ログイン画面とか監査ログとかは各プロダクトが実装しなくてはいけない。刷新により、統一認証基盤が認証の関心事を一手に引き受けるようにする #authlete pic.x.com/Xjzzq6zlpj

コンプライアンスとセキュリティのニーズが高まっている #authlete pic.x.com/uD68DM9w3C

カケハシの @kosui_me さんと @stefafafan さん #authlete pic.x.com/wOCrrNkbvn

この後『プロダクト成長に対応するプラットフォーム戦略: Authlete による共通認証基盤の移行事例』というタイトルでAWS + Authleteを利用した認証基盤について紹介します 資料は事前にアップロード済みですので、ぜひお手元でもご確認ください #authlete x.com/kakehashi_dev/…

トークンの有効期間を、事前にスコープ単位でとか、ランタイムでトークン発行時にとか、いろいろ設定できる。識別子型・内包型（ハイブリッド）を選べる。トークンに属性をひもづけられる #authlete pic.x.com/bIzxrmDxB1

PARとJARMをカジュアルに説明しだす時点で超マニアックな #authlete に技術的に言えること無いんですが、一言物申すとしたら「ユースケース＝嬉しくなること説明したほうが」です＼(^o^)／

レスポンスの設定 #authlete pic.x.com/libkSZ2Rde

private_key_jwt でも、Amazon API GatewayからAuthleteに投げるだけ。Amazon API Gatewayの設定はさっきのPAR EPとほぼ同じ #authlete pic.x.com/4Qi4Uc1gH1

「OAuth & OpenID Connect 勉強会 ー 認可サーバーの作りかた（AWS編）」にて、 #Authlete の @morikavva がAuthlete と #AWS を活用した認可サーバーの構成例について説明しています。 pic.x.com/tYYbKmUQRH

Typoしてましたね(申し訳) #authlete x.com/tkudos/status/…

次にJARM。Authlete側を設定するだけ #authlete pic.x.com/Wl4gWncRtX

それぞれの拡張について検索したらAuthleteのヘルプがすぐヒットしてとても便利 JARM の有効化 - Authlete authlete.com/ja/kb/oauth-an… #authlete

どの場合でも、Authleteから受け取ったresponseContentの内容をクライアントに返せばオッケー #authlete pic.x.com/cre6R7fXKs

Amazon API GatewayのPAR EP設定。マッピングテンプレートで、application/x-www-form-urlencodedを、Authleteへのリクエストの "parameters" の値に入れる #authlete pic.x.com/RCdziWLYyL