API 公開

オープン API のセキュリティを強化

API マネージメントあるいはゲートウェイソリューションと Authlete を連携することで、最新の OAuth 2.0・OpenID Connect (OIDC) 仕様に準拠して、パブリック API を保護しましょう。

無料で始める専門家に相談する

国内外の企業がセキュアにAPI を公開するために Authlete を導入しています

自社サービスのコアであるデータや機能を、パートナー企業や開発者に公開する「オープン API 基盤」の構築においては、専用 API 管理ソリューションの導入が一般的です。API 管理ソリューションは、外部からの API リクエストを一手に担う「ゲートウェイ」となり、流量制御からアクセス解析まで、API 公開にかかる機能を幅広く提供します。その中には、API アクセス認可に必要な OAuth 2.0 や、アイデンティティ情報の流通に欠かせない OpenID Connect (OIDC) も含まれています。

しかし、API ゲートウェイに標準搭載されている OAuth/OIDC 機能は、オープン API に対しては適さないことが少なくありません。たとえば一部のソリューションでは、近年必須とされている PKCE にさえ対応できていなかったり、逆に独自パラメーターを OAuth/OIDC のやり取りに追加していたりします。また別のソリューションでは、API アクセス認可に必要となるユーザーやグループを管理するためのしくみとして使えるのが同社の姉妹ソリューションのみであり、すでにアイデンティティ管理基盤を構築済みの場合には移行が困難です。

多くの API 管理ソリューションには機能を追加するためのフレームワークが備わっており、必要な OAuth/OIDC 拡張仕様を独自に実装し、組み込むことも、技術的には可能です。しかし、OAuth/OIDC 拡張仕様の動向を把握し、フレームワークに従って適切に実装し、それを API 管理ソリューションに組み込んだ後もメンテナンスし続けることの負担は、決して小さいものではありません。さらに、より高度な OAuth セキュリティを定めた FAPI や、API の利用シーンを広げる CIBA など、API 管理ソリューションの標準機能への接木方式では実装が難しい仕様への対応も、用途によっては必要となるかもしれません。

Authlete for Open API

API ゲートウェイの OAuth/OIDC 機能を Authlete に置き換えることにより、API 管理ソリューションの対応状況に影響されずに、OAuth/OIDC 標準への準拠を迅速に実現できるようになります。また Authlete は完全にバックエンドサービスとして動作するように設計されているため、認可エンドポイントやトークンエンドポイントなどの OAuth/OIDC API を、API ゲートウェイが管理するエンドポイントのひとつとして実装・運用可能でき、オープン API 基盤全体での管理の効率化につながります。

標準準拠のセキュアなオープン API 基盤を効率的に構築

ビジネス API とのシームレスな統合

Authlete は完全にバックエンドで動作するため、OAuth/OIDC 関連のエンドポイントを API ゲートウェイ上に実装し、他の API と同じように管理可能

アーキテクチャの自由度の最大化

Authlete API は特定の環境に依存しないため、任意の IAM システムを用いて OAuth/OIDC 処理にかかるユーザー認証・アクセス認可を実現可能

柔軟なサービス体系

Authlete は共用クラウド、専有クラウド、オンプレミスパッケージの 3 通りのサービス体系を提供しており、メディア事業者はサービスの規模や特性に応じて利用形態を選択可能

お客様の声

みんなの銀行

「Authlete が提供しているガイダンスや記事は、非常に理解しやすいと感じています。（中略）実際に使うものをベースに書かれているので、技術者にとってすごく理解しやすく、大変助かっています。」

導入事例を見る

オープン API のためのセキュアで柔軟でコスト効率の高い OAuth/OIDC ソリューション

面倒な OAuth/OIDC プロトコル処理とトークン管理は、開発者志向の Authlete のバックエンドサービスに移管。コア機能の開発とオープン API の利用推進に注力しましょう。