AWS API GatewayとLambdaでトークンベースの認証を使ってサーバーレスアプリケーションを構築する
この機能は委任を使用します。2017年6月8日より、アドオンを使用していないテナントでは、デフォルトで委任が無効になります。委任を必要とするアドオンを使用中のレガシーテナントは、引き続きこの機能を使用できます。今後、委任機能が変更されるか、サービスから削除されることがあれば、使用中のお客様が余裕を持って移行できるよう、あらかじめお知らせします。また、委任はカスタムドメインの使用をサポートしていないため、委任に依存する機能をカスタムドメインと共に使うとうまく機能しない可能性があります。
AWSでは、AWS Lambda、Amazon API Gateway、およびJavaScriptアプリケーションを使って、強力かつサーバーレス、そして高度にスケーラブルなAPIとアプリケーションを作成することができます。
サーバーレスアプリケーションはカスタムコードをコンピュートサービスとして実行します。その際、サービスをホストするための運用環境を維持する必要はありません。代わりに、AWS Lambdaなどのサービスがユーザーのためにコードを実行します。
Amazon API GatewayはLambda関数の前にサービスレイヤーを追加することで、セキュリティを拡張し、入力・出力メッセージの変換を管理し、スロットリングや監査などの機能を提供して、AWS Lambdaの機能を拡張します。サーバーレスアプローチにより、スケールアウトやフォールトトレランスなどの懸念事項がコードを実行するコンピュートサービスの責任となるため、運用上の課題が簡素化されます。
ただし、通常は、XやFacebookなどのソーシャルプロバイダーから、あるいは独自の組織内のActive Directoryや顧客データベースから、APIを既存のユーザーに紐づけておくとよいでしょう。このチュートリアルでは、AWSに対するAuth0の委任とAWS Identity and Access Management(IAM)との統合を使用して、既存のユーザーに対してAmazon API Gatewayメソッドのアクセスを認可する方法を示します。
次に、AWS Lambda関数を使ってAmazon API Gatewayをセットアップし、AWS IAMロールでこれらの関数を安全に保護してから、Auth0の委任を使ってAWS IAMロールのトークンを取得する方法を一通り説明します。この後、内部データベースやソーシャルユーザーなど様々なクラスのユーザーに異なるアクセス許可を割り当て、JSON Web Token(JWT)を使ってIDフローを実行する方法を示します。
以下の手順を踏むことになります。