Authlete は B2B SaaS 企業のセキュアな認可機能の効率的な実装・運用に役立っています
企業向けのサービスをマルチテナント型で提供する B2B SaaS において、アクセス権限管理はサービスの根幹です。B2B SaaS を利用する顧客企業の組織構造や、従業員の職責・役職、そしてその顧客企業とやりとりする社外の関係者(パートナー企業や、サプライヤー、特定業務の委託先など)の情報をどう管理し、データ・機能へのアクセス可否を実施するかは、セキュリティの確保のみならず、サービスの利便性にも影響を与えます。さらに、API を外部公開してサービスの活用シーンを広げる「API エコシステム」の実現にあたっては、API クライアントを開発・提供するサードパーティ事業者の権限管理を含めた「API 認可基盤」が必要となります。
自社サービスの強みを最大限に活かした API 認可基盤を構築するには、どのような方法が考えられるでしょうか。ひとつは、アクセス権限管理の延長として基盤を内製化することです。もしこれがうまくいけば、自社サービスに最適化された、将来の拡張・刷新においても柔軟に対応可能な API 認可基盤が構築できるでしょう。しかし、API 認可の業界標準仕様である OAuth 2.0 および OpenID Connect (OIDC) の実装・運用には高い専門性が必要であり、完全な内製化は容易ではありません。
もうひとつの手段は、OAuth/OIDC 機能を有する IDaaS や IAM ソフトウェアの導入です。実装・運用の外部化により、構築工数の低減や、更新された標準仕様への追随については、ある程度期待できます。しかしこれらのソリューションに備わっているアクセス権限管理機構は、コンシューマー向け (B2C) や社内従業員向け (B2E) であることがほとんどです。B2B SaaS のアクセス権限管理を IDaaS / IAM ソフトウェアに移行するには、半ば強引に B2C/B2E のモデルを適用するなど、相当の工夫を要するでしょう。
IDaaS や IAM ソフトウェアについては、さらに注意すべきことがあります。それは、API 認可以外の機能、たとえばユーザー認証や API クライアント管理についても、オールインワンパッケージとして提供している点です。これは一見有用に思えます。しかし実際には、ログイン画面や認証フローがサービス全体の使い心地とまったく異なっていたり、サードパーティ管理のコンセプトが異なっていたりするなど、SaaS との調和の点で難しい要素をはらんでいます。
Authlete が提案するのは、「アクセス権限管理の内製化」と「OAuth/OIDC 実装・運用の外部化」の両立です。Authlete は OAuth/OIDC を実装するためのコア機能を API として提供します。B2B SaaS 事業者はこの API を既存のアクセス権限管理機能と組み合わせて、自由に OAuth/OIDC サーバーを構築できます。さらに Authlete は完全にバックエンドで動作するため、ユーザー認証や同意取得、クライアント管理などのフロントエンド開発の妨げになりません。
また Authlete の API は特定の環境に依存しません。これにより B2B SaaS 事業者は、自社の他のサービスと同じ言語、フレームワーク、そして実行基盤を用いて OAuth/OIDC サーバーを構築でき、開発・導入期間の短縮と機能追加・改修の効率化につながります。
Authlete は最新の OAuth/OIDC 仕様に追随しているため、B2B SaaS 事業者は自ら実装・運用することなく、常に業界標準仕様に準拠した API 認可基盤を構築可能
Authlete は完全にバックエンドで動作するため、B2B SaaS 事業者はユーザー認証や同意取得などの UI/UX を完全に制御可能
Authlete API は特定の環境に依存しないため、B2B SaaS 事業者は自社標準の言語やフレームワークを用いて OAuth/OIDC サーバーを実装可能
Authlete は共用クラウド、専有クラウド、オンプレミスパッケージの 3 通りのサービス体系を提供しており、B2B SaaS 事業者は自社の成長ステージやサービス特性に応じて利用形態を選択可能
面倒な OAuth/OIDC プロトコル処理やトークン管理を Authlete に任せることで、OAuth/OIDC 標準への準拠を効率化することができます。
Authlete を既存のアーキテクチャにシームレスに統合。ユーザー認証・アクセス認可フローの制御と UI/UX の一貫性維持が可能になります。
Authlete はスケーラブルで柔軟なデプロイが可能。既にお使いの言語とフレームワークを用いて効率的に導入することができます。
Authlete と任意の言語・フレームワークで OAuth/OIDC サーバーを迅速に構築、または、既存の API ゲートウェイに Authlete を統合。セキュリティ強化を効率的に実現します。
最新の OAuth 2.0/OIDC 仕様の実装により、セキュリティと相互運用性を強化。Authlete の導入により、既存のアクセス制御とユーザー認証を維持しながら、OAuth 認可サーバーを最適化することができます。
業界標準のセキュリティプロトコルとベストプラクティスの実装により、オープン API を保護。Authlete を既存のAPI ゲートウェイに統合、または Authlete を活用してカスタム認可サーバーを迅速に構築することができます。
OpenID 認定済みの Authlete が、FAPI 1.0、FAPI 2.0、FAPI-CIBA などの高度なセキュリティプロファイルへの準拠をサポート。進化し続ける OAuth/OIDC 仕様に常に追随することが可能です。
企業向けのサービスをマルチテナント型で提供する B2B SaaS では、個人単位でのユーザー認証と企業単位でのアクセス許可を両立するアクセス権限管理が必要です。ユーザー情報をどう管理し、データ・機能へのアクセス可否を実施するかは、セキュリティの確保のみならず、サービスの利便性にも影響を与えます。
アクセス権限管理の延長として API 認可基盤を内製化することは可能ですが、API 認可の業界標準仕様である OAuth 2.0 および OIDC の実装・運用には高い専門性が必要で、容易ではありません。また、進化し続ける OAuth と OIDC に準拠し続けるために社内のリソースを割り当てねばならず、完全な内製化は効率的ではありません。
多くの IDaaS や IAM ソフトウェアのアクセス権限管理システムはコンシューマー向けや従業員向けであるため、B2B SaaS のアクセス権限管理をこれらのソリューションに移行するのは容易ではありません。また、これらのツールが提供するユーザー認証や API クライアント管理のログイン画面や認証フローなどが、既存環境に適合しない場合があります。
OAuth/OIDC のコア機能を提供する Authlete の API を既存のアクセス権限管理機能と組み合わせて自由に OAuth/OIDC サーバーを構築することができるため、Authlete の導入により、アクセス権限管理を内製化する一方、OAuth/OIDC 実装・運用を外部化することができます。また、Authlete は完全にバックエンドで動作するため、ユーザー認証や同意取得、クライアント管理などのフロントエンドを自由に開発することができます。さらに、既に導入済みの言語やフレームワークを用いて OAuth/OIDC サーバーを構築できるため、開発の迅速化と効率化につながります。
.png)
