様々な企業が Authlete でスムーズな OAuth/OIDC 基盤の刷新を実現しています
現在広く普及している OAuth 2.0 (RFC 6749 および RFC 6750) は 2012 年に、OpenID Connect は 2014 年に策定された仕様です。先進的なサービス事業者では、仕様策定直後から、あるいは策定前のドラフト段階から、自社サービスに OAuth/OIDC を活用しています。その結果、自社だけではなく、パートナーやサプライヤー、そして一般の開発者を巻き込んだ API エコシステムの確立に成功しているケースも少なくありません。
一方、OAuth/OIDC の詳細仕様化(プロファイリング)のノウハウが十分存在していなかった、いわば「黎明期」から存在する環境では、古いままのプロファイルがいまでもそのまま手付かずとなっている状況が生まれています。たとえば、現在は利用が望ましいとされている PKCE が仕様化されたのは 2015 年ですが、それ以前に構築された OAuth/OIDC 基盤ではいまだに対応できていないこともあります。あるいは PKCE に対応している基盤であっても、コンフィデンシャルクライアントについては不要とするなど、現在のベストプラクティスに合わない運用を続けていることもあります。また、OAuth/OIDC のドラフト段階の仕様に準拠しているものの、パラメーター名や許容される書式の差異など、確定後の仕様との整合が取れていない状態も見受けられます。
古い OAuth/OIDC プロファイルを改善するためには、2 つのアプローチが考えられます。ひとつは、最新仕様を実装した OAuth/OIDC ソリューションを導入し、古いプロファイルを一新する、いわばビックバン・アプローチです。しかし通常、このやり方は現実的ではありません。現行の OAuth/OIDC 基盤が支える API エコシステムにはたくさんのクライアントが存在し、それらのクライアントに接続仕様を変更してもらうことは、技術的・ビジネス的に容易ではないからです。もうひとつのやり方は、既存環境と並列して新規 OAuth/OIDC 基盤を用意し、新たに追加されるクライアントをその別環境に収容する方法です。徐々に移行できるという利点はありますが、単純に言えば倍の運用工数がかかることになり、こちらも実際には難しいでしょう。
Authlete が提案するのは第三のアプローチです。これは、既存の OAuth/OIDC プロファイルを生かしたまま、最新の OAuth/OIDC 仕様を実装し、さらには将来の OAuth/OIDC の進化にも追随可能とする、OAuth/OIDC 基盤の「モダナイゼーション」です。
カギとなるのは、Authlete の特徴的なアーキテクチャである “OAuth/OIDC Component as a Service” です。サービス事業者は、OAuth/OIDC API のフロントエンドを自由に実装でき、同時に、プロトコル処理とトークン管理をすべて Authlete に移譲できます。これにより、既存 OAuth/OIDC プロファイルと最新仕様との差異を吸収し、スムーズな移行を実現します。
Authlete は最新の OAuth/OIDC 仕様に追随しているため、常に業界標準に準拠した OAuth/OIDC 基盤を構築可能
Authlete API を既存の基盤に組み込むことにより、現状の独自 OAuth/OIDC 仕様をそのまま許容しつつ、最新 OAuth/OIDC 標準仕様も処理できるように拡張可能
選択可能なアクセストークン形式や、きめ細かいトークン有効期間ポリシー設定などにより、既存 OAuth/OIDC 基盤の固有仕様を最大限に尊重したプロファイリングが可能
Authlete は共用クラウド、専有クラウド、オンプレミスパッケージの 3 通りのサービス体系を提供しており、メディア事業者はサービスの規模や特性に応じて利用形態を選択可能
Authlete は最新の OAuth/OIDC セキュリティプロファイルとベストプラクティスに常に追随。FAPI 1.0、FAPI 2.0、FAPI-CIBA、OID4VCI を含む幅広い仕様をサポートしています。
古い OAuth/OIDC 仕様を維持しつつ、Authlete を既存の環境に統合。既存の OAuth/OIDC API を残したまま、プロトコル処理とトークン管理を Authlete に委任することが可能です。
アクセストークン形式やトークン有効期限ポリシーなどの Authlete の詳細な OAuth/OIDC 設定が、最適化された既存の OAuth/OIDC プロファイルの維持を可能にします。
ニーズに応じて専用・共有マネージドクラウドか、セルフマネージドで Authlete をデプロイ。オンデマンドスケーリングを活用してトラフィックの急増を効果的に管理しましょう。
最新の OAuth/OIDC 仕様への準拠は専門家にお任せください。 Authlete は、進化し続ける OAuth/OIDC 標準とベストプラクティスに追随しています。
認証および認可システムの内製化をご検討中ですか?Authlete を採用して、OAuth/OIDC 機能の更新、追加、運用を簡素化かつ効率化し、開発の自由度と生産性を最大化しましょう。
現行の OAuth/OIDC 基盤が支える API エコシステムに多くのクライアントが存在する場合、それらのクライアントに接続仕様を変更してもらうことは、技術的・ビジネス的に容易ではありません。そのため、最新仕様を実装した OAuth/OIDC ソリューションを導入し、古いプロファイルを一新することは現実的ではないといえます。
既存環境と並列して新たに OAuth/OIDC 基盤を用意し、新たに追加されるクライアントを新環境に収容する場合、徐々に移行できるという利点はあります。しかし、運用工数が倍増することから、既存環境との並行運用は難しいといえます。
OAuth とOIDC のコア機能を API として提供する Authlete を活用することで、既存の OAuth/OIDC プロファイルを生かしながら、最新の OAuth/OIDC 仕様を実装することが可能になります。サービス事業者は、プロトコル処理とトークン管理をAuthlete に移譲しつつ、OAuth/OIDC API のフロントエンドは自由に実装することができます。結果として、既存 OAuth/OIDC プロファイルと最新仕様との差異を吸収して、スムーズな移行を実現することができます。
.png)
