AWS Cognito(3)OpenID Connectとの連携

OpenID Connect Provider Identifierの登録

AWS CognitoはOpenID Connectによる認証に対応している。OpenID ConnectのIdentifierを登録することで、FacebookやGmailなどの既存のパブリックログインプロバイダに加えて利用できる。

登録方法

OpenID Connectのプロバイダの登録はCognito設定画面上ではなく、IAMで行う。IAMから「Identity Provider」をクリックすると登録画面が現れるので、新規で作成する場合は「Create Provider」をクリックする。

OpenID Connect プロバイダの登録

認証プロバイダは「SAML」と「OpenID Connect」から選択可能であるので、「OpenID Connect」を選択。

プロバイダタイプの選択

OpenID Connectによる認証を追加する場合は、「Provider URL」と「audience」の情報が必要となる。

OpenID Connectの設定

Yahoo! Japan(YConnect)との連携

ここで試しに、Yahoo! Japanが提供している認証サービス「YConnect」をCognitoに登録してみる。日本でOpenID Connectによる認証に対応している有名処はYahoo! Japanの他に、mixiやIIJなども存在するようである。

プロバイダーの設定エラー

プロバイダーの設定エラー

しかし、登録の際に問題が生じる。

YConnectのOpenID Provider Configuration DocumentのURLは、
https://auth.login.yahoo.co.jp/yconnect/v1/.well-known/openid-configuration

一方で、このOpenID Provider Configuration Document内のissuerのURLは、
https://auth.login.yahoo.co.jp

となっている。

OpenID Connect Discovery 1.0 incorporating errata set 1には、issuerのURLに.well-known/openid-configurationを付加したURLがOpenID Provider Configuration DocumentのURLとなると記述があるが、YConnectでは両者のURL間にズレが生じている。その結果として、IAMに登録する際に以下のエラーメッセージが表示されてしまう。

Please check .well-known/openid-configuration of provider: https://auth.login.yahoo.co.jp/yconnect/v1/ is valid.

ということで、YConnectのCognitoへの登録は断念。

IIJなどはきちんとCognitoに登録できるので、YConnectがOpenID Connectの仕様に準拠していないのが原因か。Cognitoの設定は、なかなか一筋縄にはいかない。

OpenStack Summit Tokyo 2015(1)キーノート

日本初開催となるOpenStack Sumit Tokyo 2015に参加してきました。会場は品川のグランドプリンス新高輪、国際館パミール。OpenStackがいかに急速に発展し熱気あるプロジェクトであるか、ということを肌で感じたカンファレンスでした。

キーノート

まずはキーノートから。数日前にリリースされたOpenStack Libertyの話から企業の導入事例まで。

Keynotes Day 2

OpenStack導入事例

Lithiumは、マイクロサービスの即時実行サービスを提供している。AWS, OpenStack関係なくデプロイ、実行が可能である。ワニを撃ち落とすこんなゲームも、プログラムを変更してデプロイすればすぐにサービスに反映させることができる。

Yahoo! Japanは、月間650億PVある日本最大のポータルサイトを運用している。うちモバイルからが319億PVである。OpenStackを用いて100ラック分、4000台のマシンで運用している。天災アプリを提供していることもあって、地震発生の数十秒後にアクセスにスパイクが立つ。エンタプライズ市場でOpenStackは利用されるのかという議論があるが、Yahoo! Japanではアプリケーションの実装次第で活用できると考えている。同じAPIを提供することでデータセンタの抽象化ができるのが大きなメリットで、使っているハードウェアのライフサイクルを明確化し、移行計画を立てることも可能となる。2013年より前はIaaSを自分たちで作っており、全てのアプリケーションを自分たちで作成する必要があったが、OpenStack導入後は汎用的な部分はコミュニティにお任せして、特殊な機能の実装に集中することができるようになった。

Keynotes Day 2

Cloud Hostingを行っているbitnamiは、シャドークラウドをいかに無くすかという点が重要であると考えている。俊敏性や使い勝手がよくないと皆勝手に別のクラウドサービスを利用してしまう。

NTT Resonantは、日本で第3位のポータルサイトを運営している。月間PVは10億PVで、1800VM、4000Hypervisorを使用している。アップデートの時に障害ポイントになり得るので、カスタマイズして使うということはしていない。また、Puppet、Zabbixの利用など、既存の運用やツールは極力活用している。

Booth Crawl Happy Hour

OpenStack Liberty

10月16日に12番目のリリースとなるLibertyがリリースされた。今回からOpenStackは、主要機能であるCoreと周辺機能Big Tentにプロジェクトが分割された。成熟し開発が落ち着いたプロジェクトもあればまだまだ発展途上のプロジェクトもあるが、中でも現在最も急激に進化を遂げているのはネットワーク機能を提供するNeutronである。SDN市場は昨年比2倍で成長しているが、NeutronにはSDNコントローラも実装されSDNに対応している。また今回、コンテナのネットワークを接続する「Project Kuryr」が登場する。

Lunch Buffet