Money Forward Developers Blog

株式会社マネーフォワード公式開発者向けブログです。技術や開発手法、イベント登壇などを発信します。サービスに関するご質問は、各サービス窓口までご連絡ください。

20230215130734

サービスの当たり前を支える認証認可 〜マネーフォワードxマクアケ〜イベントレポート

こんにちは、マネーフォワードエンジニア採用広報の acha です。 1月19日に株式会社マクアケさんと「サービスの当たり前を支える認証認可 〜マネーフォワードxマクアケ〜」と題してイベントを開催しました!

今回はイベント資料と当日のQ&Aでいただいた質問をご紹介できればと思います。

マネーフォワード

マネーフォワードでは、各サービス共通の認証基盤「マネーフォワードID」の開発を行う部署と、事業者向けに特化した事業者基盤の開発を行う部署があります。 今回はそれぞれの部署のメンバーが、開発の経緯や今後の展望などをお話ししました。

マネーフォワードにおける認証基盤

登壇者:CTO室 IDサービス開発部部長 細谷直樹

マネーフォワードクラウドを支える事業者基盤

登壇者:クラウド横断本部 ID基盤グループリーダー 原田大輔

マクアケ

一方マクアケさんでは、「Makuake」がスケールし続けるためのシステム・アーキテクチャを実現することをミッションとしたRe-Architectureチームがあり、その中の一部として認証・認可基盤の開発を行っています。 今回のテーマである認証基盤を当たり前に提供するための取り組みや、基盤の開発の裏側についてお話いただきました。

Makuakeの認証基盤とRe-Architectureチーム

登壇者:Re-Architectureチームリーダー 竹内健太

OIDC仕様に準拠したMakuakeのID連携基盤について

登壇者:Re-Architectureチーム 松田陽佑

Q&A

Q. DBが単一障害点になる話があったがID基盤に載せ替えることで今度はID自体が単一障害点にはならないのでしょうか?単一障害点にならないように工夫された点があれば教えてください

A. マネーフォワード 細谷

ID基盤が落ちるとログインや登録が全くできなくなるのはその通りです。 ただ以前は、DBが落ちた時にすでにログインしてる人の操作もできなくなる状況でしたが、今は新規のログインや新規のアカウント登録のみで、影響を限定できています。そこはID基盤を分けたことによって得られたメリットだと思います。

Q. 「ライブラリを作って、個人的にめちゃくちゃ良い経験になった。」とあったが特に印象に残ってる内容について差し支えなければ教えてほしいです。

A. マネーフォワード 細谷

少し話が変わってしまうのですが、作るにあたってOpenID Connectやクライアントの知識も必要になってきて勉強しました。そんな中、Appleが「Sign in with Apple」を発表した際は、すぐに需要の良し悪しを判断できたり、クライアントライブラリを自作をして公開したりできたので、面白い経験だったなと思います。

Q. マクアケさんはライブラリーを使わずに開発したと思うのですが、何か特徴的な話があれば聞きたいです

A. マクアケ 松田

スクラッチで作りましたが、実装は参考にしてるところが多く、stateやnonceのやり取り以外にサーバー側でセキュリティ部分担当するために、challengeというパラメータ入れてたりと、その辺はすごく勉強になりました。 多分スクラッチで作らないと学べなかったところもあるので、エンジニアとして経験できてよかったなと思っています。

Q. 「事業者基盤のこれから」でマネーフォワード クラウド上でのユーザ追加/削除を他サービスへ連携したいとありましたが逆に他サービス、例えばHR系サービスからアカウントが削除されたことを検知しマネーフォワード上でも削除する…といった展望はあるのでしょうか?

A. マネーフォワード 原田

他社HR系サービスでのアカウント追加や削除を、マネーフォワードへ同期することはちろんやりたいと思っています。私の野望になってしまうのですが、自動化できるところは自動化することで、人の手をかけずにセキュアな環境を提供できるようにしていきたいと思っています。

Q. IdPを自作することやパスワードをクラウドとはいえ自前のストレージに保存することによる不安はなかったですか?対策があれば知りたいです

A. マネーフォワード 細谷

IdPを自作すること自体の不安はありましたが、エキスパートの方に相談できたことが大きかったですね。 パスワードの保存に関しては、当然したくはないですが、すでにあったので仕方ないというところですかね…。ただまだ途中ではあるのですが、パスワードをハッシュ化する際のアルゴリズムを改善することも、IdPに独立させることでできるようになったので、少しずつ進めてきたいと思っています。

Q. RP側としてはOIDCに対応しなくちゃいけないということでトークンのライフサイクルの管理など負担が増えそうですが不満とか出なかったですか?

A. マクアケ 竹内

特に不満はなかったです。ライフサイクル管理などは負担はあるのですが、「うまいことやろうね」という感じで解決していきました。

【宣伝】マネーフォワード・マクアケ、エンジニア募集中です 🙌

今回のイベントを通して、認証・認可基盤や、サービスの課題を一緒に解決してくれるエンジニアを各社募集中です。ご興味ある方は、ぜひエントリーいただけると嬉しいです。

マネーフォワード hrmos.co

マクアケ hrmos.co