はじめまして、エンジニアの稲垣です。
はじめての記事投稿ですが、こっそりと他の記事に2回登場したことがあります。(ぜひ見つけてみてください!)
はじめに
HRBrainでは先日、OpenID Connectによるシングルサインオン対応をリリースしました。
OpenID ConnectとはOAuth2.0を使ってユーザ認証を行うための方法です。
シングルサインオンの文脈でよく登場するユーザ認証方法のひとつです。
今回から複数回にわけて、OpenID Connectを提供する認証プロバイダ(以降、OP)を利用して、OpenID ConnectのClientをGoで実装する方法について書いていきます。
今回はAuth0設定編です!
認証フロー
まずOpenID Connectによる認証フローについて見てみたいと思います。
OpenID Connectによる認証は以下のフローで行われます。
まずユーザのログインボタンクリックなどをトリガーにアプリケーションサーバにリクエストが送信されます。
アプリケーションサーバはリクエストを受信すると、クライアント識別子(Client ID / Client Secretなど)を含めたリクエストを生成し、OPにリダイレクトします。
OPはリクエスト情報を検証し、認証・認可画面を表示します。
ユーザは認証に必要な情報を入力し、OPはその情報を検証します。OPは認可コードを付与し、アプリケーションサーバのコールバックURLにリダイレクトします。
アプリケーションサーバは認可コードを元に、OPにIDトークンと呼ばれる署名つきのJWTを要求します。
アプリケーションサーバはOPからIDトークンが返却されるとそれを解析し正当性を検証します。
以上が、認証の流れになります。
このように、OPの情報を含めたリクエストを生成するためにはOPから Client ID
/ Client Secret
といったクライアント識別子を教えてもらう必要があります。
また、OPにアプリケーションのドメインやコールバックURLを伝え、信頼してもらう必要もあります。
以降では、そのための設定をしていきます。
準備
今回はタイトルにあるようにAuth0というOPを利用します。
Auth0とは、OpenID Connectに対応している認証プラットフォームです。(いわゆるIDaaS)
Auth0には2019/05現在、無料プランがあり、簡単な疎通確認だけであれば十分な機能を無料で利用することができます。
今回は最低限の疎通確認を行うために、
アプリケーション登録
ユーザ管理
の設定を行います。
アプリケーション登録
Auth0にログインします(アカウントがない場合、作成してください)
Applications 内にある
+ CREATE APPLICATION
をクリックします。Nameに適当なアプリケーション名を入力し、
Regular Web Applications
を選択し、CREATE
をクリックします。作成されたアプリケーションの情報が表示されます。
Domain
/ Client ID
/ Client Secret
などは先述の通り、認証エンドポイントへのリダイレクトに必要な情報になりますので必要なときに参照します。
また少し下にスクロールすると Allowed Callback URLs
という入力項目があります。
こちらには、実装するアプリケーションのコールバックURLを入力します。
このあたりの項目については、後日公開する実装編にて再度触れたいと思います。
ログイン可能なユーザの作成
つづいてログイン可能なユーザを作成します。
まず、ユーザを管理するためのデータベースを作成します。
メニューの
Connections
->Database
をクリックし、表示された画面にある+ CREATE DATABASE
をクリックします。Name
を入力し(今回はMy-Database
)CREATE
をクリックすると、データベースが作成されます。Applications
タブをクリックすると、作成したアプリケーションが表示されているので有効にします。メニューの
Users & Roles
->Users
をクリックし、表示された画面にある+ CREATE USER
をクリックします。入力したメールアドレスに確認メールが届いているのでメール内のリンクをクリックしてユーザを有効化します。
ここまでの設定で、アプリケーションの設定と、認証可能なユーザが作成されたので、あとはクライアントが実装できれば、認証の疎通確認ができることになります。
今回は設定編ということでここまでです!
次回はGoでクライアントの実装をしていきます!