この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2020年09月16日 Auth0 & クラスメソッド株式会社共催「認証トレンド2020 ~ Auth0の戦略的活用事例 ~」 でご参加頂いた方から頂戴した質問とその回答を公開します。
Q. OneLogin/Oktaとの違いがよく分かりません。SNSログインはOneLogin/Okta側の話かと思ったのですが、Auth0の事例ではSNSログインの実装という話もあったので。それぞれの違いを一般的な呼び方(用語)の違いでもいいので教えてください。
A. SSO (シングル・サイン・オン)は1度のサインインで複数サービスにサインインした状態にすることです。Auth0はサービスの提供側として複数提供するサービスをSSOしてもらう仕組みを提供します。
一方で、OneLogin/Oktaは、サービスを利用する側がSSOしようとする仕組みを提供してくれます。
Auth0は主に以下のような認証プロバイダを持っています。
①ソーシャル接続 (Social Connection):LINE/Facebook/Twitterなど https://auth0.com/docs/connections/identity-providers-social
②エンタープライズ接続 (Enterprise Connection):G-Suite/SAML/LDAP/Azure ADなど https://auth0.com/docs/connections/identity-providers-enterprise
③データベース接続(Auth0 DB/カスタムDB含む):サービス提供社がAuth0、もしくは、独自のデータベースを使う
https://auth0.com/docs/connections/database
④Auth0データベースによるログイン:メールアドレス+パスワード/パスワードレス https://auth0.com/docs/connections/passwordless
質問にある「SNSログイン」は上記の①ソーシャル接続のことです。
事業会社が提供するサービスは、サービスを提供する側と、サービスを利用する側によって成り立っています。 サービスを利用する側がそれぞれ企業(ビジネス)、コンシューマー(消費者)、エンプロイー(社員)かによってtoB, toC, toEという違いがあります。 自社でしか使わない在庫管理システムや、物流管理システムなどがBtoEになります。
つまりサービスを提供する側は常に企業(ビジネス)視点のためFrom B to B, From B to C, From B to Eとなるのです。 このとき、From BでSSOを提供するのがAuth0です。
サービスを利用する側が企業(BtoB)の場合、実際に使うのはその中にいる社員です。 BtoBによって提供されたサービスをさらに社員が使う場合、構造的にBtoBtoEになります。 この場合に、「E」すなわち社員の立場でOneLoginやOktaは一番効果を発揮します。
BtoCでサービスを受ける側が、個人的にOneLogin/Oktaを導入するケースはあまり聞きません。 このような場合、ソーシャルログインや、パスワードの使い回しが一般的です。 パスワードの使い回しは、当然、パスワードリスト攻撃や、パスワード忘れに繋がり、セキュアなログインを保証できないので、昨今ではパスワードレス接続が一般的となっています。
BtoEにおいては、認証のプロトコルが問題になります。 認証のプロトコルとは、SAML/OAuth2/OIDC (Open ID Connect)などです。 FromBがこのプロトコルに従っていればOneLogin/Oktaでも使えることになります。
従って、いずれの場合もサービスを提供する側としてはAuth0が向いており、サービスを利用する側ではBtoBtoEになる場合、あるいは限定的ですがBtoEの場合にOneLogin/Oktaが使えるということです。
Q. B2BやB2CだったらAuth0が向いていて、B2EだったらOneLoginやOktaの方がSSOとしては向いているということでしょうか?
A. 上記の通りで、サービスを提供する側とサービスを受ける側の視点の話なので、どちらが正しいという話ではありません。
Q. M2Mで利用する場合、Auth0の認証基盤との接続はどのようにされるのでしょうか。SaaSだとすると、インターネットを経由するので、認証の速度に影響がありそうですが、速度的な影響ないものでしょうか。
A.インターネット経由での接続となります。
APIへの接続となりますので、通常速度的な問題が発生することはありませんが、非常にリアルタイム性の高いシステムの場合にはご相談ください。
https://auth0.com/docs/flows/client-credentials-flow
Q. "GDPR、CCPAは、その該当エリアに在住の人がビジネスの対象の場合、越境EC事業者は対応必須でしょうか?該当エリアの国籍を持つ(仮に日本在住の方がビジネスの対象の場合)でも対応必須でしょうか?
A. GDPRについては、国籍を問わず、該当エリアに居住または滞在している人々に対してビジネスを行う場合に対象となります。
CCPRについてはカリフォルニアでビジネスを行う事業者の一部が対象とされています。 これらの情報持ちだしに関する法令は、徐々に多くのエリアにも拡大しています。
Q. "auth0の認証基盤を利用させていただいております。 Universal loginでnewとclassicがありますが、new版において、ホームレルムディスカバリー機能がつくのはいつ頃になりますでしょうか?"
A. ご記載の機能につきまして、日付を確約するものではございませんが、2020年10月末頃の機能追加見込みとなっております。
Q. ISOやPCI DSSのお話がありましたが、日本でよく聞かれるコンプライアンスなどへの対応はいかがでしょうか。プライバシーマークとかは範疇に入りますでしょうか。
A. エンタープライズのお客様に対しては、Pマークや各社独自のコンプライアンス指標、セキュリティシートへの対応についてご支援させていただきます。
Q. "Auth0のユーザーデータはどこか別にバックアップをとる必要性はありますでしょうか? とるとしたらベストプラクティスをお聞きしたいです。"
A.ユーザーデータはAuth0でも異なるデータセンターにバックアップを行っておりますので、通常お客様側でバックアップを取って頂く必要はありませんが、エクスポートAPIにてユーザーデータを取得することも可能です。
https://auth0.com/docs/api/management/v2/#!/Jobs/post_users_exports
逆にAuth0の課題は何でしょうか?(今後Auth0のロードマップとして改善予定があるかないかも含めて)
A. 認証認可を外部ソリューションに委託することのメリットを訴求するとともに、日本におけるAuth0の知名度を高めていくことが課題と考えています。
製品に関しては、WebAuthNや改正個人情報保護法などの認証に関する新たなトレンドにタイムリーに対応することが重要と考えており、随時機能追加して提供していく予定となっています。
以上。
Auth0に関してはクラスメソッドでも定期的にセミナーを開催していますので、興味がある方は、是非ご参加ください。
9
