100万ユーザーをログアウトさせずに新認証基盤に移行した話
即戦力人材と企業をつなぐ転職サイト「ビズリーチ」は2009年にサービスを開始し、スカウト可能会員数は190万人以上(2023年1月末時点)のユーザーにご利用いただくサービスに成長しました。 今回、その「ビズリーチ」の認証基盤としてIDaaS(Identity as a Service)のOkta Customer Identity Cloud(Powered by Auth0)(以下Auth0という)の導入を行いました。 本記事では認証基盤を刷新するに至った背景とAuth0を用いて100万を超えるユーザーをログアウトさせることなく移行した方法についてご紹介いたします。 前提 本記事で得られる情報 本記事を読むことで以下のような情報を得ることができます。 IDaaSを選ぶ理由 IDaaSを用いて認証・認可を運用中のプロダクトに組み込んだ事例 運用中のプロダクトに組み込む際に発生しうる課題と対
OAuthにおける認可コード横取り攻撃とその対策
OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア
Auth0認証アーキテクト責任者がIDaaSの今を語る
IDaaS(Identity as a Service)という言葉を耳にする機会が増えている。本来は複雑な手間やコストがかかる認証基盤の構築をクラウドサービスとして提供してくれるため、サーバー管理のコスト削減だけでなく、ライブラリの追加などにより工数が削減できるなど開発者にとってもメリットは大きい。日本においてもIDaaSを提供する企業が多く参入している中で、今注目を集めているのがAuth0だ。今回は、同社で認証アーキテクト責任者を務めるヴィットーリオ・ベルトッチ(Vittorio Bertocci)氏へ、盛り上がりをみせるIDaaSの現状やコロナ禍による影響などを尋ねた。 IDaaSはなぜ注目を集めるのか Auth0は、2013年に創業された認証基盤サービスを提供する企業であり、既に日本を含む世界中で9,000社以上の導入実績を持っているという。そのような同社で首席アーキテクト責任者を務
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
