Okta Japanが主催する「dev_day(24) Tokyo」&「dev{camp}」というイベントに参加したので、その様子をご紹介します。
イベント概要
開催日時:2024年 11 月 7 日 (木) 会場:Okta Japan株式会社 @ 渋谷ヒカリエ 参加費用:無料
「dev_day(24) Tokyo」は、アイデンティティとAIをテーマにした基調講演、パスキーの管理方法、認証フローの拡張方法、SaaS向け機能の活用方法などアイデンティティ管理機能の拡張に役立つ最新情報を学ぶことができます。
今回は「dev{camp}」も同日開催となっており、Okta Customer Identity Cloudの利用方法をハンズオンで体験できます。
dev{camp} セッションメモ
講演者:
池原 大然, プリンシパルデベロッパーアドボケイト Okta Japan株式会社
以下のOktaハンズオンラボのコンテンツを進めながら、Okta Customer Identity Cloudを学ぶ内容でした。
1人1テナントが割り当てられます。
StackBlitzというオンラインの統合開発環境でサンプルアプリをデプロイします。
このサイトではユーザ登録とログイン機能、さらにログイン後にAPIを叩いてレスポンスを見れるようになっています。
Okta CIC管理ダッシュボードでの設定が想定通り動くかを、サンプルアプリからAPIを叩いてすぐに確認できます。
Okta CIC管理ダッシュボードから、サンプルアプリを連携させたり、権限を変更したり、MFAを有効化したりして挙動を確認します。
Actionsではワークフローを定義することで、アクセストークンを拡張させたり、追加の情報をユーザに求めるといった動作を、ローコードで実現できます。
一部ですが、構成図は以下のようなものです。
Okta Customer Identity Cloudの基礎を一通り学べる内容で、非常に分かりやすかったです。
dev_day(24) Tokyo セッションメモ
基調講演: Navigating Identity in the Time of AI
講演者:
Cliff Simpkins 氏, Vice President, Developer Relations
Ana Cidre Perry 氏, Sr Manager, Developer Advocacy
なぜIdentityが必要なのか
- デジタルな世界でいつ何にアクセスできるかがIdentity
- 盗まれたIdentityの80%以上を使って侵害されている
- Identityは悪意のある行動のためのコアな部分である
- つまり、Identityはセキュリティのコアである
Oktaについて
Auth0のフリープラン
- 毎月のユーザ数を7,500から25,000に増やした
- ソーシャルコネクションの制限をなくした
有料プランの拡張
- よりスケーラブルに利用してもらえるように改定した
- MFAが全てのプランに組み込まれている
生成AIの活用
- 生成AIの影響度合いを測るための具体例
- 生成AI市場は今後4年間で10倍になる
- Salseforceは2026年までに10億のAIエージェントを組み込む
- 82%の企業が生成AIを活用している一方、各社のCEOの34%が生成AIの準備ができていると答えている
- 生成AIの影響度合いを測るための具体例
顧客体験とセキュリティはトレードオフと思われがちだが、実際はそうではない
ログイン前のセキュリティ
- ユーザがログイン画面に行く遥か前からセキュリティ対策は始まっている
- DDoSやBotへの対策
ログイン中のセキュリティ
- ユニバーサルログインはカスタマイズ性がある
- 例えばサインアップ画面で電話番号を入力させたり、利用規約を表示するなど
- Actionsを使ってログイン体験をカスタマイズできる
- 2024 4QにAdvanced Customization for Universal Loginをリリースする予定
- Auth0 Formsでユーザのログイン時に情報を取得できる
- AUth0 Formsは先月にGAし、全てのプランで使える
- パスキーによりパスワード運用から解放される
- 最もセキュアなソリューションはSSOである * Session & Refresh Tokens Management APIでユーザのセッションやセキュリティをコントロールする
ログイン後のセキュリティ
- 認可のためにOktaではOpenFGAとOkta FGAを用意している
生成AIアプリを開発するための4つの要件
日本語ローカライズ
- 本日LearnPasskeys.ioが日本語対応した
- 2025年にはjwt.ioやAuth0 Dashboard and Documentationも日本語対応予定
Auht0 by Oktaが提供するパスキー機能とManagement APIを活用した管理方法
講演者:
池原 大然 氏, プリンシパルデベロッパーアドボケイト
パスワードレス認証とは
- メール送信されるマジックリンク
- ワンタイムコード
- セキュリティキー
- 生体認証
パスキーが提供するセキュリティと利便性 フィッシングに強いセキュリティ シームレスなデジタル体験
パスキーの種類
パスキーのライフサイクル
- 参考URL
パスキーの「管理・更新(?)」
- パスキーはパスワードのように更新の概念が無く、「取り消し」または「削除」になる
- パスキーの取り消しはRelying Partyから公開鍵を削除
- 完全に削除するには認証器からも削除する必要がある
- パスキーはパスワードのように更新の概念が無く、「取り消し」または「削除」になる
パスキーのデモ
- パスキーの有効化
- Management APIの活用
- アプリケーションへの組み込み
Auth0 Forms and the Future of Extensibility in Customer Identity
講演者:
Sofia Prosper 氏, Senior Developer Advocate
課題
課題に対して越えなければいけないもの
- UX/UI
- クライアント側+サーバ側の検証
- セキュリティ
- インテグレーション
Auth0が解決すること
- Formsを使ったローコードでのカスタムエクスペリエンス構築
Formsのデモ
- Formsで収集したデータをメタデータに格納しておき、アプリケーションで活用できる
ラボセッション: Auht0 Formsを利用したパーソナライゼーションと情報の保護
講演者:
池原 大然 氏, プリンシパルデベロッパーアドボケイト
Formsの改善
- ユーザの利用目的に合わせて取集する情報を変更したい
- 個人利用は名前、ビジネス利用は会社名を入力させるなど
- 別の市場にサービスを展開するため、多言語対応したい
- 画面上で言語の切り替えができるなど
- ユーザの利用目的に合わせて取集する情報を変更したい
Formsのデモ
- StepおよびRouterの追加
- Flowの更新
Auth0 by Okta を使って B2B SaaS アプリケーションの認証を実現
講演者:
辻 義一 氏, シニアソリューションズエンジニア
- B2B2E SaaS開発におけるID分野の関心ポイント
- マルチテナント構成
- 企業単位でユーザを扱う
- 1つのAuth0テナントで管理できる
- Organaizationを使うと企業ごとに異なるログインページを実現できる
- 認可
- 誰が何を操作していいか
- RBACでAPIアクセス可否を制御
- FGAによりリソース単位の認可を制御
- 誰が何を操作していいか
- 顧客企業IdP連携
- セキュリティ
- 企業ごとのセキュリティ要件に対応
- 顧客企業ごとに異なるセキュリティポリシーを適用
- 企業ごとのセキュリティ要件に対応
- マルチテナント構成
まとめ
午前の「dev{camp}」で基本機能をハンズオンで試し、午後の「dev_day(24) Tokyo」でユースケースや最新機能のデモを見ることができ、理解が深まりました。
アイデンティティ管理のリーディングカンパニーであるOktaの最新機能やロードマップを聴くことができ、内容の濃い1日でした。
生成AIの活用にも注力しているとのことなので、引き続きウォッチしていきたいと思います。
