Auth0のオープンソース代替となる Ory Kratos、Passwordless と SMS をサポート

 (github.com/ory)
14 ポイント 投稿者 xguru 2024-02-26 | 2件のコメント | WhatsAppで共有
  • Ory Kratos v1.1 リリース : 拡張性が高く、セキュリティが強化されたオープンソースのアイデンティティサーバー

新機能と改善点

  • 携帯電話認証 & SMS による二要素認証(2FA): Twilio のような SMS ゲートウェイと簡単に統合してセキュリティを強化
  • 翻訳および国際化対応: 多言語をサポートし、世界中のユーザーへのアクセシビリティを向上
  • Google および Apple のネイティブログイン対応: モバイルプラットフォームで「Google でログイン」および「Apple でログイン」をネイティブにサポート
  • アカウント連携: 同じメールアドレスを共有するソーシャルアカウントでログインする際、アカウント連携を容易にする新機能を追加
  • パスワードレスの「マジックコード」ログイン: メールでワンタイムコードを送ってログインする方式で、パスワードを忘れた場合やソーシャルログインが使えない場合の代替ログイン手段として利用可能
  • セッションを JWT に変換: Ory のセッション Cookie やトークンを JSON Web Token (JWT) に変換し、セッション管理や他システムとの統合を柔軟にする
  • メール送信の信頼性向上: さまざまなプロバイダー経由でのメール送信の信頼性を改善
  • HTTP API および関連 SDK メソッドの改善: API 呼び出しの性能向上と使いやすさの改善
  • キーセットページネーションの導入: アイデンティティ一覧の性能向上のためにキーセットページネーションを導入
  • Passkeys および WebAuthn のマルチオリジン対応: サブドメイン利用時に有用
  • ログアウトフローの改善: API 呼び出し時に設定された return_to パラメータへユーザーをリダイレクト
  • 設定更新時にパスワード確認を要求する不具合を修正: ユーザーが設定を更新する際に誤ってパスワード確認が求められる問題を解消
  • 既存アカウントで登録しようとした際のログインヒント提供: すでに存在するアカウントで登録しようとするユーザーに対し、既存アカウントでのログインを案内するヒントを提供
  • CORS 設定のホットリロード対応: CORS 設定変更をサーバー再起動なしで反映可能
  • Ory OAuth2 / Ory Hydra との統合改善: ログアウト、ログインセッション管理、検証およびリカバリーフローを改善
  • パスワードレスの新しいログイン方法「マジックコード」を追加: メールでワンタイムコードを送る方式でログインおよび登録が可能
  • ソーシャルログイン統合の改善: ソーシャルログインプロバイダーで確認済みのメール状態を利用可能
  • Ory Elements および標準の Ory Account Experience の国際化: 翻訳による国際化をサポート
  • Ory のセッション Cookie やトークンを JWT に変換可能: セッション管理や他システムとの統合のための機能を追加
  • ネイティブアプリでのリカバリー機能改善: ユーザーがブラウザへ切り替えずにリカバリーステップを完了できるよう改善
  • 管理者が識別子でユーザーをあいまい検索できる機能を追加: まだプレビュー段階
  • HMAC ハッシュ済みパスワードのインポートが可能: セキュリティ強化のための機能を追加
  • Webhook によるアイデンティティ管理者メタデータ更新対応: 管理機能を改善
  • パスワード変更時にユーザーの全セッションを無効化できる機能を追加: セキュリティ強化のための機能を追加
  • ログイン、登録およびログイン方法に対する Webhook 対応: Passkeys、TOTP などを含むすべてのログイン方法に対して Webhook をサポート
  • ログイン画面で「ID」の代わりに正しいラベルを表示: たとえば「メールアドレス」や「ユーザー名」のように識別子スキーマから取得
  • ログインヒントの提供: ログインに失敗したユーザーへガイダンスを提供
  • Twilio のような SMS ゲートウェイによる電話番号認証に対応: セキュリティ強化のための機能を追加
  • SMS OTP を二要素認証オプションとして追加: ユーザーセキュリティ強化のための機能を追加

関連記事

2件のコメント

 
xguru 2024-02-26

Hacker Newsの意見

  • 2FA(二要素認証)としてSMS認証を使うのは、もはや安全ではないという主張。

    • SMSは今やアンチパターンと見なされている。問題を単に別の場所へ移しているだけだという批判。
    • メール認証でさえSMSよりはましだという意見もあるが、それも大きく優れているわけではない。
    • 財布と携帯電話は最も頻繁に盗まれる物であり、多くの人が低価格の携帯電話やプリペイドSIMを使っている。
    • 一時的なものと考えるべき電話番号に自分の身元を結び付けると、数年後にアカウントへアクセスできなくなるリスクがある。
    • 人々が電話番号を変更する理由はさまざまにある: 通信事業者の変更、旅行中に別のSIMを使う、転職によって会社支給の電話を失う、事業者が以前の番号の引き継ぎを拒否する、番号がスパムリストに載る、など。

  • 新機能の発表を祝福するとともに、電話番号を第一級の存在として扱っている点を前向きに評価する声。

    • 競合のFusionAuthで働いている人からの意見。
    • メールアドレスの一致に基づいてソーシャルアカウントと既存アカウントを結び付ける機能が、新機能として紹介されている。
    • 既存アカウントにソーシャルアカウントをリンクするシナリオについてのドキュメントがあり、逆のケースも可能なのかという質問がある。
    • ユーザーがalice@example.comで登録した後にalice@gmail.comをリンクしたい場合をどう処理するのか知りたいという声。
    • アカウントリンクをユーザー単位で無効化できるのか、それともシステム全体で有効になるのかという疑問。
    • 数年前からアカウントリンク機能を備えており、顧客がこのような境界ケースを提起してきたという話。

  • KratosとOathkeeperをオーストラリアのオンボーディングアプリでセルフホストして使っており、ほとんどはうまく動いているという肯定的なフィードバック。

    • カスタムUIの適用は非常に大変だったという体験談。
    • サーバーコードとJS内のCSSが混在したサンプルプロジェクトから始まっており、HTML/CSSに手を入れにくかった。
    • このプロジェクトの進捗についての質問がある。

  • SMSサポートに対する懸念の表明。

    • SMSテキストメッセージは認証目的に使うべきではないという認識が広く共有されている。
    • 機能リクエストの元リンクとともに、ユーザー@zepatrikの懸念が無視されたことへの指摘。

  • B2B SaaSアプリケーション向けの良いソリューションについて助言を求める質問。

    • アプリのログインが必要で、パスワードやソーシャルなど一般的な方法だけでなく、メールドメインごとにルールをカスタマイズできる方法を探している。
    • AuthentikやFusionAuthのようなサービスを試したが、組織ごとの制御には向いていなかったという体験談。

  • Auth0の代替というよりは、Auth0代替を構成するコンポーネントの一つだという意見。

  • Ory Kratosが動作のために7つのDockerコンテナを使うことへの批判。

    • わずか2つのコンテナで動くKeycloakと比べると重く見える。
    • このような「大きさ」を正当化するものは何かという質問。

  • メールとSMSで送る暗号化されていないマジックリンクによる登録、ログイン、アカウントリンク、そしてセッションCookieを有効なJWTへ変換することへの懸念。

    • 1年以内にCVE(共通脆弱性識別子)が出そうだという意見。

  • 2年未満の期間、プロダクション環境で使ってきた経験の共有。

    • 多くの改善があったが、依然として設定は難しく、jsonnetは非常に複雑だという意見。
    • ログイン後数分以内でソーシャルプロバイダー経由で来た場合、現在のパスワードを知らなくてもパスワード変更が可能になるなど奇妙な判断はあるが、全体としてこの分野の有力な競争相手だという評価。

  • Kratosを自分のオープンソースプロジェクトで使いたかったが、さまざまなストレージオプションの追加をどれだけうまくサポートしているかについて十分に調べられなかったという意見。

    • プロジェクトはさまざまなドキュメントストアをサポートしており、Kratosが同じストアをクエリできるように開発を進めたいという希望が述べられている。