質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.75%

  • Ruby on Rails

    6751questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Webサイト

    1009questions

    一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

Ruby on Railsでシングルサインオン?複数サービスで認証を共通にしたいです

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 579

ti1050

score 2

初めて質問させていただきます。
独学でWebサービス開発に取り組んでいて、いわゆるベストプラクティスがわからず苦戦することが多い状況です。
ヒントでも事例でもいいので、アドバイスをいただければと思います。

よろしくお願いします!

前提・実現したいこと

Ruby on Rails 5でWebアプリケーションを開発しようと思っています。
今後、サブドメインでいくつかのサービスを展開したいと考えています。
(AAA.mydomain.com, BBB.mydomain.com, CCC.mydomain.comのようにしたい。各サービスもRailsで開発しようと考えています)
それぞれのサービスは内容が離れていて、一つのWebアプリケーション(一つのRailsプロジェクト)には開発のしやすさの観点からもしたくはないです。

自分で考えている方法

ユーザー認証を行うためのWebサービスを一つ作り、そこでユーザー管理をまとめて行う。
【構成】
・認証用サービス(mydomain.com): ユーザー登録を受け付け、他のサービスからの認証に応答する(OAuthプロバイダを実装する? mydomain.comに対してクッキーでセッション情報を持たせて、他サービスが参照できれば問題なし?)
・サービスA(AAA.mydomain.com): mydomain.comで認証ができていなければ、mydomain.comにリダイレクトして認証を行う
・サービスB,C:サービスAと同じ動作で認証を行う

 質問内容

上記の内容を実現したい場合、私が考えている方法がベストでしょうか。
勉強不足で語句を正確に使えていないかもしれません。
よろしくお願いいたします。

 補足

  • サーバーはAWS上のEC2に構築しようと考えています
  • DNSの設定も、サブドメインをロードバランサーに転送する設定程度は難なく組めます
  • Twitter,Facebookなどの他サービスでの認証は今回は考えていません
  • 現状、Ruby on Railsしか使えません。他言語、他フレームワークでの実装は今回は考えていません。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

認証をOpenID Connectでやるのか、SAMLでやるのか、独自に実装するのかという検討もあるかと思いますが、概ね問題ないのではないでしょうか。

認証提供範囲が独自ドメインのサブドメインのみということであれば、共通ログイン後にcookieでチケットを発行して、各サービスでチケットから認可を判断するという形での対応でも可能だと思います。

cookie情報のみから判断しようとすると、cookieはどうしても改ざんのリスクがあるため、認証サービス側で認証結果を秘密鍵を用いて暗号化し、各サービスは公開鍵で復号、正当性の確認をする等の流れが良いのではないかと思います。
どちらも自分のサービスであれば鍵は共通鍵でも良いかもしれませんが、将来的にサービス数が増えた場合に安全に鍵を配布する手間を考えると、各サービスサーバが定期的に公開鍵をとりにいく形が漏れもなくよいと考えます。

また、鍵ペアは複数登録できるようにしておくことが望ましいです。
秘密鍵の交換を計画した場合に鍵の並行運用ができないと、鍵を差し替えたタイミングで認証済みのチケットが一斉に失効してしまうからです。
もちろん、cookie内のデータ構造を変更したり、何らかのインシデントが発生して必要になったり等で一斉失効を意図的に実施するケースはありえます。

長々と書いていて質問者の方の意図とずれた内容かもしれませんが、何か参考になれば幸いです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/04 10:00

    素早いご回答ありがとうございます!
    公開鍵認証自体はSSHなどで使ったことがあり、知っていましたがこの場面で利用できる可能性は全く思い至っていませんでした!

    cookieの改ざんも、確かに対策が必要だと感じました。

    大変参考になりました。
    ありがとうございます!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.75%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Ruby on Rails

    6751questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Webサイト

    1009questions

    一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。