_BlackBelt_ApplicationAuthPatterns

Transcription

1 AWS Black Belt Online Seminar AWS におけるアプリ認証パターン アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト辻義一

2 AWS Black Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 火曜 12:00 13:00 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例 IoT 金融業界向け etc.) 水曜 18:00 19:00 主にAWSサービスの紹介や アップデートの解説 (例 EC2 RDS Lambda etc.) 開催曜日と時間帯は変更となる場合がございます 最新の情報は下記をご確認下さい オンラインセミナーのスケジュール 申し込みサイト

3 内容についての注意点 本資料では 2017 年 10 月 10 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( にてご確認ください 資料作成には十分注意しておりますが 資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

4 Agenda 用語について本 Webinarでの想定ユースケース3パターン登場するサービスの概要紹介 AWS 上での実現パターン

5 用語について 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

6 用語の確認 (1/2) 統一されておらず曖昧な用語もあるが 本ウェビナーでは以下の通りとする 認証 = Authentication (AuthN) 相手が本当に申告された人であるかを確認すること 認可 = Authorization (AuthZ) 特定の条件で特定のリソースへのアクセスを許可すること 認証連携 = Federated Authentication, Federated Identity, ID Federation, Federation で行われた認証情報を受け取って 認証を実施する代わりにすること アプリにとって認証を委譲していることになる 別の用語例 : 実現方法の例 :SAML, OpenID, OpenID Connect 代理アクセス = Delegated Acccess ユーザ合意の上で サード パーティがユーザの代わりにリソースへのアクセスを許可すること ユーザにとって認可されている一部をに委譲することになる 実現方法の例 :OAuth

7 用語の確認 (2/2) 認証情報 = Credential 認証をパスするために必要な情報のこと 具体例 : ユーザ名とパスワード IAM ユーザのアクセスキーとシークレットアクセスキー トークン = Token, Ticket 認証をパスするために必要な情報で 一定期間のみ有効な情報のこと 具体例 :IAM ロールで割り当てられるアクセスキーとシークレットアクセスキーとトークン SAML で認証後に発行される SAML Assertion JWT (Json Web Token)

8 本 Webinar での想定ユースケース 3 パターン 勝手に 3 分類 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

9 1 コンシューマ向け 典型的な 構成 Web の HTML 生成はサーバサイドで実施 初回ユーザ認証後は Cookie ベースでの認証 ユーザの状態をセッションストアに保持 user001 ******** login Cookie ID/Passwod での認証 Cookie 発行 Cookie ベースでの認証 Web + 認証機能 ユーザレポジトリ & セッションストア ブラウザ

10 1 コンシューマ向け 初回認証 その後 Cookie ベース認証のイメージ ID/Password でまず認証し その後の通信では Cookie 内のセッション ID を常に確認する 1 2 ユーザレポジトリ user001 ******** login ブラウザ Cookie Web サーバ 3 6 セッションストア 初回アクセス ID/Password 認証 ブラウザ : HTML のフォームで ID/Password を送信する Web サーバ : ユーザストアに ID/Password を確認する Web サーバ : セッションにログイン情報を反映する Web サーバ : セッション ID が入った Cookie を含めて HTML コンテンツを返す 2 回目以降のアクセス Cookie ベースの認証 ブラウザ : セッションIDが入ったCookieを含めてリクエストを送る Webサーバ : セッションIDがログイン済みかセッションストアに確認する Webサーバ : ログイン済みであればHTMLコンテンツを返す

11 1 コンシューマ向け 典型的な 構成 Web の HTML 生成はサーバサイドで実施 初回ユーザ認証後は Cookie ベースでの認証 ユーザの状態をセッションストアに保持 OAuth SAML a f t g user001 ******** login ブラウザ 代理アクセスできるトークン発行 との認証連携 Cookie ID/Passwod での認証 Cookie 発行 Cookie ベースでの認証 内部や外部への認証連携 トークンで にアクセス アプリの認証情報でアクセス Web AWS リソースに直接アクセス Web + 認証機能 バックエンドシステム ユーザレポジトリ & セッションストア セッションストア AWS のマネージドサービス

12 2 モバイルアプリやシングルページアプリケーションバックエンド サーバサイドは で実現 サーバサイドはステートレスな構成 モバイルアプリなどクライアントサイドの画面は JavaScript で構成 初回ユーザ認証後は トークンベースでの認証 OAuth SAML a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン ID/Passwod での認証 トークン発行 トークンベースでの認証外部への認証連携 トークンで にアクセス アプリの認証情報でアクセス AWS リソースに直接アクセス + 認証機能 バックエンドシステム ユーザレポジトリ AWS のマネージドサービス

13 2 モバイルアプリやシングルページアプリケーション初回認証 その後トークンベース認証のイメージ ID/Password でまず認証し その後の通信ではトークンを付けてリクエストを行う モバイルアプリ ユーザレポジトリ シングルページアプリケーション 4 6 サーバ 5 初回アクセス ID/Password 認証 アプリ : ユーザの入力した ID/Password を取り出して認証 に送信する サーバ : ユーザストアに ID/Password を確認する サーバ : トークンを返す 2 回目以降のアクセス Cookie ベースの認証 アプリ : トークンを付けてリクエストを送る サーバ : トークンを公開鍵暗号方などで検証する サーバ : リクエストに応じてレスポンスを返す

14 3 エンタープライズ企業の社内システム SSO やパスワード同期を実現 複数パスワード管理の煩雑さやログインの手間を軽減する PC やサーバに Windows が多数使われるため Windows の認証機能を活用 認証連携は SAML で実現 SaaS user001 ******** との認証連携 login インターネット Acitve Directory 社内での認証連携 統合 Windows 認証 / Kerberos 認証 SAML 対応 Web サーバ SAML Active Directory Federation Service (ADFS, IdP) Web サーバ 社員 PC ID/Passwod での認証 SSO 製品 Linux/Unix 系 Web サーバ Web サーバ ユーザレポジトリ

15 登場するサービスの概要紹介

16 AWS IAM (Identity and Access Management) AWS のサービスへの認証と認可を管理するサービス AWS 管理者 オペレータ IAM ユーザ ユーザ アプリ サービスなど IAM ロール ユーザ名 パスワード アクセスキー シークレットアクセスキー アクセスキー シークレットアクセスキー トークン > AWS CLI Management Console SDK EC2 起動 停止 S3 アップロードダウンロード ユーザやロールに 何を行ってよいか記載されたポリシーを割り当てて制御する にアクセスする際に使用する認証情報は アクセスキー シークレットアクセスキー トークン ( 有効期限ありの場合のみ ) で構成されている AWS のサービスは認証情報を SigV4 という方法で署名を リクエストに毎回付けてアクセスする

17 Amazon Cognito 主にモバイル向けに認証機能を提供するサービス Cognito Sync アプリケーションにデバイス間でユーザ出たの同期を実現できるサービスとライブラリ Cognito User Pool アプリケーションにユーザー登録やサインイン機能を追加できる パスワードや MFA を使ったユーザ認証 フェデレーションして認証 認証後に独自のアプリケーションでも検証可能な JWT 形式のトークンが得られる Cognito Federated Identities ID プロバイダと認証連携して ロールを使った一時的な AWS 認証情報を得られる

18 Amazon Gateway Web の作成 保護 運 と公開を簡単に REST を実現するリバースプロキシとして動作 モバイルアプリ Gateway キャッシュ Lambda カスタムオーソライザー OS キャパシティ等インフラの管理不要 認証 認可をメソッド単位で制御可能 Gatew ay Lambda 標準 :AWS 認証情報 カスタム :Lambda で任意に実装可 サービス CloudWatch モニタリング EC2 / Elastic Beanstalk に必要なスロットリング キャッシュの機能を提供 バックエンドとして Lambda 既存 Web システムを利用可能 Web サービス

19 AWS 上での実現パターン 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

20 1 コンシューマ向け ID/Passwod での認証 Cookie 発行 Cookie ベースでの認証 認証はAWS 上でも実装方法に違いは無し ユーザレポジトリには以下のものが使用可 SAML Amazon DynamoDB Amazon RDS a f t g との認証連携 ID/Passwod での認証 Cookie 発行 アプリの認証情報でアクセス バックエンドシステム Web + 認証機能 user001 ******** login ブラウザ Cookie Cookie ベースでの認証 内部や外部への認証連携 Web ユーザレポジトリセッションストア & セッションストア セッションストア OAuth 代理アクセスできるトークン発行 トークンで にアクセス AWS リソースに直接アクセス AWS のマネージドサービス

21 1 コンシューマ向け ブラウザから AWS リソースへのアクセス 署名付きURLをサーバサイド生成することで直接アクセス Amazon S3 Amazon CloudFront S3 と CloudFront は認証の要否を設定でき 認証方法の 1 つとして署名付き URL を利用できる 生成された URL は 長いパラメータが付いていますが単なる URL のため HTML 内にリンク先やイメージの URL ファイルのアップロード先に使用できる この方法は Web サーバの負荷軽減 Web サーバのステートレス化に役立つ OAuth a f t g user001 ******** SAML login ブラウザ 代理アクセスできるトークン発行 との認証連携 例 : 1.amazonaws.com/tsujiyshare/blackbelt.pdf?Signature=3qU6GYLrhaqUsA ID/Passwodでの OZZs3%2BnkqEMFM%3D&Expires= 認証 Cookie 発行 &AWSAccessKeyId=AKIAI5WBYZZKWLQO7XVA Cookieベースでの認証署名付きURL Cookie をリンク先に 内部や外部への認証連携 トークンで にアクセス アプリの認証情報でアクセス AWS リソースに直接アクセス Web バックエンドシステム Web + 認証機能 ユーザレポジトリ & セッションストア セッションストア AWS のマネージドサービス

22 1 コンシューマ向け 署名機能の違い 署名に必要な鍵 S3 CloudFront ( + S3) AWS 認証情報 (IAM ユーザ IAM ロール ) CloudFront キーペア 署名時に独自ドメイン名利用可 (HTTP のみ ) 利用可 (HTTPS も ) 署名時に行える制限有効期限有効期限 開始日時 IP アドレス 署名時のスケーラビリティ キーを適切に分散させればスケーラビリティが得られる キャッシュによりさらに高いスケーラビリティが得られる ( 認証情報で URL が異なっていてもキャッシュ有効 ) その他 - Cookieでも認証が可能で特定パス以下全体を 許可するなどが可能 ダウンロード回数制限や署名 URL の失効はできない URL の有効期限をかなり短くして 都度 URL を生成する仕組みで対応するのがおすすめ

23 1 コンシューマ向け アプリの認証情報でアクセス アプリと認証情報を分離し 安全に管理 EC2 インスタンスプロファイル EC2 Systems Manager パラメータストア EC2 インスタンスプロファイルを使うと EC2 インスタンス内で AWS 認証情報を入手できる パラメータストアでは パスワードや DB 接続文字列など任意の文字列を入手できる アプリケーションプログラムと認証情報を分離できるため パスワードなどの流出を防ぎやすくなる OAuth a f t g user001 ******** SAML login ブラウザ 代理アクセスできるトークン発行 との認証連携 Cookie ID/Passwod での認証 Cookie 発行 Cookie ベースでの認証 内部や外部への認証連携 トークンで にアクセス アプリの認証情報でアクセス AWS リソースに直接アクセス Web バックエンドシステム Web + 認証機能 ユーザレポジトリ & セッションストア セッションストア AWS のマネージドサービス

24 1 コンシューマ向け との認証連携 内部との認証連携 代理アクセス AWS 上でも実装方法に違いは無し SAML a f t g との認証連携 アプリの認証情報でアクセス バックエンドシステム ID/Passwod での認証 Cookie 発行 Web + 認証機能 user001 ******** login ブラウザ Cookie Cookie ベースでの認証 内部や外部への認証連携 Web ユーザレポジトリ & セッションストア セッションストア OAuth 代理アクセスできるトークン発行 トークンで にアクセス AWS リソースに直接アクセス AWS のマネージドサービス

25 2 モバイルアプリやシングルページアプリケーション ID/Passwod での認証 トークン発行 トークンベースでの認証 ブラウザから AWS リソースへのアクセス ユーザ認証 ユーザレポジトリ トークン発行をサービスで実現 Amazon Cognito 認証に関連する内容を一通りサービスで実現できるため 実装コストや期間を減らすことができる E メールや携帯電話番号への SMS を使った MFA も可能 OAuth SAML a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン ID/Passwodでの認証 ID/Passwod トークン発行での認証 トークン発行 トークンベースでの認証 アプリの認証情報でアクセス トークンで AWSリソースに にアクセス AWSリソースに直接アクセス直接アクセス バックエンド Cognito + 認証機能 AWS のマネージドサービス バックエンドシステム ユーザレポジトリ

26 2 モバイルアプリやシングルページアプリケーション Cognito User Pool を使用した場合のユーザ認証のおおまかな流れ 初回アクセス ID/Password 認証 モバイルアプリ シングルページアプリケーション SDK user001 ******** login ios, Android, JavaScript (JSON) 1 2 JWT トークン 3 4 JWTトークン Cognito User Pool 標準では Secure Remote Password プロトコルという仕組みでユーザ名とパスワードが検証される 1 アプリ :InitiateAuth を呼び出す 認証フローとしてUSER_SRP_AUTHを指定 2 Cognito : チャレンジを返す チャレンジの種類として PASSWORD_VERIFIERを返し パスワードの検証を求める 3 アプリ :RespondToAuthChallenge を呼び出す パスワードを使って生成したチャレンジレスポンスを送る 4 Cognito :3 種類トークンを返す IDトークン(JWT 形式 クレーム情報と認証用 ) アクセストークン(JWT 形式 認証用 ) 更新トークン( 他トークン更新依頼時用 )

27 2 モバイルアプリやシングルページアプリケーション Cognito User Pool を使用した場合のユーザ認証のおおまかな流れ 2 回目以降のアクセス 独自 サーバへのトークンベースの認証 モバイルアプリ シングルページアプリケーション SDK user001 ******** login ios, Android, JavaScript JWT トークン 1 4 Cognito User Pool サーバ 2 3 JWT セット 1 アプリ : 独自のを呼び出す Cognitoから受け取った JWTトークンをサーバへの呼び出しに含める 2 3 サーバ :JWT セットをダウンロードする 4 サーバ : トークンを検証して 結果を返す JWTセットに含まれる公開鍵でユーザから受け取った JWTトークンの署名を検証して OKであれば リクエストされたを処理して結果を返す JWT トークンの検証は注意して実装

28 2 モバイルアプリやシングルページアプリケーション Cognito User Pool を使用した場合のユーザ認証のおおまかな流れ 2 回目以降のアクセス Gateway へトークンベースの認証 1 アプリ : Gatewayを呼び出す Cognitoから受け取った JWTトークンを Gatewayへの呼び出しに含める モバイルアプリ シングルページアプリケーション user001 ******** login JWT トークン Gateway:JWT トークンを検証して Lambda を呼び出す 3 Gateway : 結果を返す JWTセットに含まれる公開鍵でユーザから受け取った JWTトークンの署名を検証して OKであれば リクエストされたを処理して結果を返す SDK ios, Android, JavaScript Gateway Lambda

29 2 モバイルアプリやシングルページアプリケーション Cognito User Pool を使用した場合のユーザ認証のおおまかな流れ 2 回目以降のアクセス AWS リソースへの認証 モバイルアプリ シングルページアプリケーション user001 ******** login JWT トークン AWS 認証情報 Cognito Federated Identities 1 アプリ :GetCredentialsForIdentity を呼び出す Cognito User Poolから受け取ったJWTトークンをCognito Federated Identitiesに渡す 2 Cognito :AWS 認証情報を返す 認証情報は一時的なもので アクセスキー シークレットアクセスキー トークンで構成されている 3 アプリ :AWS 認証情報を使ってAWSの他のサービスにアクセスする 4 AWSサービス : 結果を返す SDK ios, Android, JavaScript AWS のマネージドサービス

30 2 モバイルアプリやシングルページアプリケーションとの認証連携 Amazon, Facebook, Google, SAML との認証連携をサービスで実現 Amazon Cognito ユーザ認証に使用できる Cognito User Pool で認証連携も行える Cognito User Pool は OpenID Connect Twitter には現時点で未対応 Cognito Federated Identities は OpenID Connect Twitter に対応しており AWS 認証情報を得られる OAuth SAML a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン トークン ID/Passwod での認証 トークン発行 トークンベースでの認証 トークンで にアクセス Cognito アプリの認証情報でアクセス AWS リソースに直接アクセス バックエンド + 認証機能 AWS のマネージドサービス バックエンドシステム ユーザレポジトリ

31 2 モバイルアプリやシングルページアプリケーション ID/Passwod での認証 トークン発行 ブラウザから AWS リソースへのアクセス Cognito で対応できない方法で実現したい場合 独自に認証して AWS の認証情報を発行 AWS Security Token Service (STS) 以下のような場合 独自で認証を実現する事が考えられる クライアント証明書認証 独自の MFA 独自ポリシーのパスワード認証 OAuth SAML a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン ID/Passwod での認証 トークン発行 トークンベースでの認証 アプリの認証情報でアクセス トークンで AWSリソースに にアクセス AWSリソースに直接アクセス直接アクセス バックエンド + 認証機能 AWS のマネージドサービス バックエンドシステム ユーザレポジトリ

32 2 モバイルアプリやシングルページアプリケーショントークンベースの認証 AWS の認証情報を使った認証 認可をサービスで実現 Amazon Gateway 標準で AWS の認証情報に対応しており 認証 認可をパスしたアクセスのみ EC2 や Lambda などに送ることができる Custom Authorizer で独自のトークンにも対応できる OAuth a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン ID/Passwod での認証 トークン発行 トークンベースでの認証 トークンで にアクセス アプリの認証情報でアクセス AWS リソースに直接アクセス バックエンド + 認証機能 AWS のマネージドサービス バックエンドシステム ユーザレポジトリ

33 2 モバイルアプリやシングルページアプリケーション代理アクセス OAuth を使った代理アクセス機能を実現 Amazon Cognito ユーザ認証に使用できる Cognito User Pool で代理アクセスを実現できる OAuth プロコルに対応して トークンを に提供も行える OAuth SAML a f t g モバイルアプリ シングルページアプリケーション 代理アクセスできるトークン発行 との認証連携 トークン ID/Passwod での認証 トークン発行 トークンベースでの認証 トークンで にアクセス アプリの認証情報でアクセス AWS リソースに直接アクセス バックエンド Cognito + 認証機能 AWS のマネージドサービス バックエンドシステム ユーザレポジトリ

34 3 エンタープライズ企業の社内システム Active Directory (AD) ADの構築運用をサービスで実現 AWS Directory Service Amazon EC2 Systems Manager Config SaaS インターネット SAML 対応 Web サーバ 認証を利用するリソースを AWS 上に配置するなどのユースケースで Directory Service の Microsoft AD を利用できる ただし 既存の AD を完全に AWS 上に置き換えたいなどの場合は 移行コストを考えると EC2 上の Windows Server で実現する方が良い user001 ******** 社員 PC との認証連携 login ID/Passwod での認証 SSO 製品 Acitve Directory 社内での認証連携 統合 Windows 認証 / Kerberos 認証 Linux/Unix 系 Web サーバ Web サーバ SAML Active Directory インスタンス作成時に Federation Service ドメインの自動参加 (ADFS, IdP) Web サーバ ユーザレポジトリ

35 3 エンタープライズ企業の社内システム ID/Password での認証 社内での認証連携 との認証連携 AWS 上でも実装方法に違いは無し SaaS インターネット SAML 対応 Web サーバ との認証連携 user001 ******** login Acitve Directory 社内での認証連携 統合 Windows 認証 / Kerberos 認証 SAML Active Directory Federation Service (ADFS, IdP) Webサーバ 社員 PC ID/Passwod での認証 SSO 製品 Linux/Unix 系 Web サーバ Web サーバ ユーザレポジトリ

36 組み合わせ : Gateway + CloudFront の署名 Cookie 認証あり静的 を実現 Amazon CloudFront + Amazon S3 SAML a f t g 認証部分のみ HTML+JavaScript でクライアント部分を実装し 認証後は Cookie を元に単純な静的 を提供できる との認証連携 ID/Passwod での認証 トークン発行 トークン Cognito user001 ******** トークンでの認証 Cookie 発行 login ブラウザ Cookie Cookie ベースでの認証 Gateway Lambda CloudFront S3

37 最後に 認証機能はセンシティブでユーザエクスペリエンスにも影響する マネージドサービスを使える所は使おう Cognito Gateway の組み合わせは特におすすめ

38 参考 URL S3 署名付き URL を使ったダウンロード / アップロード : CloudFront 署名付き URL/Cookie: EC2 インスタンスプロファイル : EC2 Systems Manager パラメータストア : AWS re:invent 2016: Serverless Authentication and Authorization (MBL306) AWS re:invent 2016: Add User Sign-In, User Management, and Security to your Mobile and Web Applications with Amazon Cognito (MBL310)

39 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ 最新の情報 セミナー中の Q&A 等が掲載されています

40 公式 Twitter/Facebook AWS 検索 もしくは 最新技術情報 イベント情報 お役立ち情報 お得なキャンペーン情報などを日々更新しています!

41 AWS の導入 お問い合わせのご相談 AWS クラウド導入に関するご質問 お見積り 資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください AWS 問い合わせ で検索してください

42 AWS Well Architected 個別技術相談会のお知らせ Well Architected フレームワークに基づく数十個の質問項目を元に お客様が AWS 上で構築するシステムに潜むリスクやその回避方法をお伝えする個別相談会 参加無料 毎週火曜 木曜開催

43 ご参加ありがとうございました