Estudo de caso: NRI SecureTechnologies

nrisecure_usecase_1

NRI SecureTechnologies adotou Authlete como o mecanismo de autorização para Uni-ID Libra. Uni-libra é o produto fim a fim da NRI SecureTechnologies. Ele prove Autenticação, Autorização, ID Management e Detecção de ameaças que são funcionalidades essenciais para Controle de acesso de Serviços Web para clientes finais.

Incluir as funcionalidades de autorização no Uni-ID, tendo como base a Authlete, reduziu o tempo de desenvolvimento e custo para o lançamento. A adoção da plataforma da Authlete garantiu um desenvolvimento rápido e de alta qualidade de serviços que estão de acordo com as ultimas versões das especificações OAuth 2.0 and OpenID.

Visão geral

  • Objetivos e Desafios
    • Desenvolvimento do mecanismo de autorização da Uni-ID Libra
    • Adotar as tecnologias mais recentes para autorização
    • Reduzir o tempo de desenvolvimento necessário para implementar as API, incluindo OpenID Connect
  • Por que Authlete?
    • Excelência técnica para elaborar especificações e implementar API’s tal com OAuth 2.0 and OpenID Connect
    • Disponibilidade de todas as funções para autorizar com serviços
  • Beneficios
    • Reduzir o custo de desenvolvimento e operação para a autorização do Uni-ID Libra
    • Permitir que a empresa mantenha os recursos alocados no desenvolvimento das funcionalidades fundamentais
    • Manter-se atualizado com as ultimas atualizações, tal como Financial API

Objetivo: Desenvolver Uni-ID Libra, o sucessor da Uni-ID

Devido ao crescimento da tecnologia de compartilhamento, incluindo OAuth e OpenID Connect, os serviços da web voltados para o consumidor precisam cada vez mais colaborar com outros serviços como uma função padrão.

Em resposta a essas mudanças ambientais, a NRI SecureTechnologies (“NRI Secure”) lançou o Uni-ID em 2008, uma solução para integração, colaboração e gerenciamento de IDs de clientes. O Uni-ID foi um grande sucesso, implementado por muitas empresas para vários aplicativos, como para uma plataforma de autenticação integrada por uma grande empresa jornalística e uma plataforma de colaboração de ID por uma grande operadora de celular.

Apesar das vendas constantes do Uni-ID desde seu lançamento, como o número de crimes de segurança cibernética continuou a aumentar ano a ano, as empresas usuárias exigiram que o NRI Secure reforçasse suas medidas de segurança. Para atender a essas necessidades, a NRI Secure começou a planejar o desenvolvimento do Uni-ID Libra, um novo modelo de Uni-ID com recursos adicionais de segurança avançados.

Desafios: Dificuldade para encontrar um parceiro para desenvolvimento do mecanismo de autenticação pela falta de empresas com excelencia tecnica em OAuth 2.0 e OIDC

No entanto, simplesmente fortalecer os recursos de segurança pode ter diminuído a conveniência do usuário. Takehisa Shibata, responsável pelo desenvolvimento do Uni-ID Libra, lembrou o seguinte:

nrisecure_usecase_2

“Podemos fortalecer facilmente a segurança simplesmente aumentando o número de solicitações de autenticação do usuário, por exemplo. As solicitações extras poderiam diminuir a experiência do usuário para os usuários e eles poderiam parar de usar o serviço. Portanto, tivemos que equilibrar cuidadosamente a segurança e a conveniência do usuário ao planejar o Uni-ID Libra. “

No final, o NRI Secure decidiu adicionar recursos de segurança ao Uni-ID Libra, como a solicitação automática de autenticação adicional apenas ao detectar a possibilidade de acesso ilegal com base no comportamento durante a autenticação. No entanto, o verdadeiro desafio era implementar esses recursos avançados não apenas para medidas de segurança, mas outras funções do produto, como gerenciamento / colaboração de ID e autorização / autenticação.

“No campo de serviços da web orientados para o consumidor, há uma necessidade de aprimorar a função de colaboração de API e a função de análise de marketing, além de medidas de segurança. Em resposta, decidimos que deveríamos desenvolver produtos em cooperação com outras empresas que possuem tecnologias e habilidades avançadas em campos diferentes, em vez de desenvolver tudo por nós mesmos. “

É por isso que a NRI Secure começou a pesquisar parceiros, cada um com tecnologia avançada em um campo funcional específico. No entanto, não foi fácil encontrar um parceiro para desenvolver o mecanismo de autorização, que é a função central do produto. Descobriu-se que a maioria das empresas não entendia totalmente o OpenID Connect e como implementar o padrão corretamente.  

Por que Authlete?: pela excelencia técnica em autenticação e autorização

O Sr. Shibata comentou o seguinte:

“O NRI (Nomura Research Institute), empresa controladora do NRI Secure, é uma das empresas fundadoras da OpenID Foundation Japan, que promove a tecnologia OpenID Connect. Tendo nos envolvido em pesquisas sobre OpenID desde sua invenção, estávamos confiantes de que possuímos vantagens tecnológicas sobre outras empresas. Embora haja alguns indivíduos qualificados, infelizmente, não encontramos organizações ou fornecedores que possam implementar OpenID adequadamente com um conhecimento profundo de suas especificações. “

Embora a NRI Secure ainda não conseguisse encontrar um parceiro para desenvolver a função de autenticação, o Sr. 柴 田 encontrou por acaso uma pessoa que postou muitos documentos OpenID Connect bem escritos online enquanto navegava nas informações relacionadas. Essa pessoa é Takahiko Kawasaki, cofundador da Authlete.

“Já sabíamos que havia um especialista em OpenID Connect na Internet. O Sr. Kawasaki é essa pessoa, então decidimos nos encontrar e conversar com ele.”

Valorizando muito sua experiência técnica em OpenID Connect, NRI Secure pediu a Authlete para participar do projeto Uni-ID Libra como parceiro de desenvolvimento.

Explicando esta oferta, o Sr. Shibata disse: “Isso também aconteceu porque a arquitetura do Authlete, que separa a autenticação da autorização, parecia se adequar bem ao conceito de design do Uni-ID Libra.”  

Relacionamento com a Authlete: “O processo de mudança foi tão simples que o desenvolvimento foi muito rápido”

O projeto de desenvolvimento Uni-ID Libra foi lançado em setembro de 2016. NRI Secure e Authlete trabalharam juntos para desenvolver funções de autorização. O Sr. Shibata comentou sobre o desenvolvimento da seguinte forma:

“Não tínhamos nada com que nos preocupar com as funções de Authlete porque já havíamos conversado muito com o Sr. Kawasaki desde o estágio de planejamento. Fizemos algumas solicitações de funções adicionais e o Sr. Kawasaki aprovou rapidamente o desenvolvimento de tudo o que pudesse melhorar o Authlete. Ele tomou decisões assim rapidamente que o desenvolvimento ocorreu sem problemas.

Os engenheiros da NRI Secure e da Authlete se encarregaram do trabalho de desenvolvimento enquanto gerenciavam as tarefas no Redmine. Primeiro, eles realizaram o desenvolvimento e os testes para incorporar o Authlete em um ambiente de avaliação na nuvem e, em março de 2017, cerca de seis meses depois, migraram o Authlete para o ambiente Uni-ID Libra local.

Então, após a depuração, o projeto Uni-ID Libra foi oficialmente concluído em junho de 2017.

nrisecure_usecase_3

Beneficios

“Podemos nos concentrar no desenvolvimento de novos produtos enquanto Authlete se mantém atualizado com as últimas tendências de API “ Imediatamente após seu lançamento, o Uni-ID Libra foi adotado por várias empresas como uma solução de integração / colaboração / gerenciamento de ID. As funções de autorização desenvolvidas pela Authlete fornecem aos clientes uma operação altamente estável, e o Sr. Shibata elogia a qualidade como “exatamente o que ele esperava”.

“A Authlete trouxe benefícios comerciais estratégicos, bem como benefícios operacionais, para a Uni-ID Libra”, acrescentou.

“O Authlete não apenas garante a qualidade estável das funções de autorização, mas também se mantém atualizado com as especificações OAuth e OpenID mais recentes, às quais são feitas adições e alterações com frequência. Isso nos permite focar no desenvolvimento de outras funções do Uni-ID Libra, incluindo a detecção de ameaças e análise de marketing. “

Como próxima tarefa, o Sr. Shibata gostaria que Authlete cumprisse a API Financeira. Financial API é um padrão de API projetado para ser usado principalmente em instituições financeiras. Suas especificações estão atualmente em desenvolvimento por grupos incluindo o Financial API Working Group na OpenID Foundation nos Estados Unidos. Espera-se que essa API se torne em breve o padrão API de fato na indústria financeira, e até mesmo o roteiro de desenvolvimento para Authlete implica compatibilidade com API Financeira .

“A Authlete monitora constantemente as últimas notícias sobre autenticação e autorização, incluindo API Financeira e as atualiza para nós. Esta relação de confiança nos permite nos concentrar no desenvolvimento de outras funções inovadoras.”

Sobre a Authlete: “Authlete é muito boa para empresas que querem implementar rapidamente autenticao e autorização segundo OAuth 2.0 e OpenID Connect”

A última pergunta do Sr. Shibata foi sobre os benefícios do Authlete:

“Bem, primeiro, o Authlete fornece todas as funções necessárias para autenticação e autorização como serviços. Isso é bom para empresas que desejam reduzir a carga - e fazem isso rapidamente - na implementação ou operação de autenticação e autorização de acordo com OAuth 2.0 ou OpenID Connect. “

Ele acrescentou: “Além disso, você não precisa gastar todos os seus preciosos recursos para cumprir as mudanças de especificações no OAuth 2.0 e OpenID Connect e se manter atualizado com as tendências de tecnologia mais recentes, como API de nível financeiro.” A NRI Secure valoriza muito a forte tecnologia, know-how e parceria que a Authlete estabeleceu como um fornecedor de serviços especializado em autorização desde sua fundação em 2015.

Para contribuir com a difusão do Uni-ID Libra, a Authlete continua comprometida em melhorar as funções e serviços.

nrisecure_usecase_4

Sobre a NRI SecureTechnologies

Head office
Otemachi, Chiyoda-ku, Tokyo
Business
Fornece serviços fim a fim para segurança da informação
Employees
408
Capital
450 million yen
Wensite
https://www.nri-secure.co.jp

(As of January 1, 2018)