標準準拠の OAuth/OIDC がオープン API 戦略を加速する

自社サービスのコアであるデータや機能を、パートナー企業や開発者に公開する「オープン API 基盤」の構築においては、専用 API 管理ソリューションの導入が一般的です。API 管理ソリューションは、外部からの API リクエストを一手に担う「ゲートウェイ」となり、流量制御からアクセス解析まで、API 公開にかかる機能を幅広く提供します。その中には、API アクセス認可に必要な OAuth 2.0 や、アイデンティティ情報の流通に欠かせない OpenID Connect (OIDC) も含まれています。

しかし、API ゲートウェイに標準搭載されている OAuth/OIDC 機能は、オープン API に対しては適さないことが少なくありません。たとえば一部のソリューションでは、近年必須とされている PKCE にさえ対応できていなかったり、逆に独自パラメーターを OAuth/OIDC のやり取りに追加していたりします。また別のソリューションでは、API アクセス認可に必要となるユーザーやグループを管理するためのしくみとして使えるのが同社の姉妹ソリューションのみであり、すでにアイデンティティ管理基盤を構築済みの場合には移行が困難です。

多くの API 管理ソリューションには機能を追加するためのフレームワークが備わっており、必要な OAuth/OIDC 拡張仕様を独自に実装し、組み込むことも、技術的には可能です。しかし、OAuth/OIDC 拡張仕様の動向を把握し、フレームワークに従って適切に実装し、それを API 管理ソリューションに組み込んだ後もメンテナンスし続けることの負担は、決して小さいものではありません。さらに、より高度な OAuth セキュリティを定めた FAPI や、API の利用シーンを広げる CIBA など、API 管理ソリューションの標準機能への接木方式では実装が難しい仕様への対応も、用途によっては必要となるかもしれません。

Authlete for Open API

API ゲートウェイの OAuth/OIDC 機能を Authlete に置き換えることにより、API 管理ソリューションの対応状況に影響されずに、OAuth/OIDC 標準への準拠を迅速に実現できるようになります。また Authlete は完全にバックエンドサービスとして動作するように設計されているため、認可エンドポイントやトークンエンドポイントなどの OAuth/OIDC API を、API ゲートウェイが管理するエンドポイントのひとつとして実装・運用可能でき、オープン API 基盤全体での管理の効率化につながります。

Case Studies

Road to Be FAPI Certified

ゼロバンク・デザインファクトリーさまに、Authlete を用いて構築したシステムに関する FAPI 認定取得の事例をお話しいただきました。

みんなの銀行

ふくおかフィナンシャルグループ傘下の新銀行として設立された『みんなの銀行』 は、デジタル起点で発想しゼロベースで設計された、次世代のデジタルバンクです。口座開設から ATM 入出金、振込などすべてのサービスを、24 時間 365 日、スマートフォン上で完結できる、全国のデジタルネイティブ世代に向けた新しい銀行として、お金とのもっとシンプルでフレンドリーな関係の実現を目指しています。

au じぶん銀行

au じぶん銀行は、提携先向けの外部 API にかかる OAuth 2.0 認可機能を実装するにあたり、Authlete を採用しました。FAPI 仕様への迅速な追随が期待できること、従前のシステムを補完するかたちで機能強化できること、API ゲートウェイへの統合がスムーズに行えることを評価いただいています。

セブン銀行

セブン銀行の自社サービスを API を介して外部サービスと連携させる際、外部からのアクセスに対する OAuth 2.0 認可の仕組みを、Authlete を活用して実現しました。

ヨドバシカメラ

OAuth 2.0 / OpenID Connect 標準に加え、金融グレードの API セキュリティを実現するための仕様である Financial-grade API（FAPI）、そしてスマートフォンを活用して API 連携時のユーザー体験を向上させる Client Initiated Backchannel Authentication (CIBA) 仕様を自社サービスに実装するために、Authlete を採用しました。

Read More