[レポート] Auth0 in Microservices ~リーガルテックの事績~ #Auth0JP #Auth0Day

Auth0 in Microservices ~リーガルテックの事績~

2019年11月19日(火)にNagatacho GRiDでAuth0社の自社イベント「Auth0 Day 2019」が開催されました。

本記事は、セッション「Auth0 in Microservices ~リーガルテックの事績~」をレポートします。

スピーカー

太田林太郎様(GVA Tech株式会社)

セッション概要

自社専用のAI契約法務サービスを展開するGVA TECH。ユーザー毎の認証認可は、必須にして最大のセキュリティ要件となります。今回のイベントではサービスの拡大に備えたアプリケーションのマイクロサービス化、そしてその中での認可APIの構築事例についてお話しします。

スライド

スライドはこちらに共有されています。

レポート

AI CONについて

  • 法律関連(特に法務)はレガシーな状況なので労働集約型であり属人化されている。これらをテクノロジーで障害をない状態を作ろうとしている。
  • スタートアップやフリーランス(AI CON・AI CON登記)をメインにやっていたが、大企業も同様に同じ課題があるためAI CON PROを開発した。この中でAuth0を利用している
  • 契約レビュー時に文章の照らし合わせが大変 / 企業ひな形・GVA TECHひな形によるセキュリティレベルの対応
  • モダンな技術環境(Vue.js, Go, AWS)
  • APIの仕様変更を柔軟に対応するためマイクロサービス化、下記を徹底
    • スキーマ駆動開発(リクエスト・レスポンスを確定し開発)
    • テスト駆動開発
    • アジャイル開発
  • 適切なロール統制をしてどちらのひな形レビューを可能に
  • 次に精度改善
    • ElasticSearchで条文検索
    • さらに改善をするためにSageMaker
  • セキュリティを認証をAuth0で強化

Auth0の使い所

  • CustomDB
    • 会社名をユーザーに持たせる必要がある
    • プライベートにDBを配置しAPI経由でアクセス
  • トークン検証API
    • リソースが複雑になったため検証コードが重複
    • auth0/go-jwt-middlewareを使わずjwt-goで独自実装
      • Goとの親和性
        • 型不定やAuth0 SDKによる型の書き換え

そのほかにやっている事

  • Connections
    • Socialログイン
  • Rules
    • アクセス元IP制限
    • MFA

今後やっていく事

  • トークン検証APIの破棄(Goプライベートパッケージ化)
  • テナント間のCI/CD
  • Action ScriptのTypescript化

AI CON B版リリース 問い合わせお待ちしています!

まとめ

Auth0を実際にご利用いただいているお客様事例を聞くことができました。スタートアップにおいて開発の高速化はもちろんですがセキュリティやConnectcions・RulesのFeatureを利用することで簡単に利用ができている点がわかりました。