B2C、B2B向けWebサービスにおける認証基盤のあり方 ～便利と安全を両立させる認証・認可と、その最新技術～ | 運用

B2B・B2CビジネスにおけるWebサービス
のモデルケースと認証基盤の役割
株式会社オージス総研
事業開発本部 テミストラクトソリューション部
金井 敦
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
1
自己紹介
金井 敦
株式会社オージス総研
統合認証ソリューション担当部門 マネジャー
主戦場
金融・保険業界を中心としたB2B/B2C向けの
Identity and Access Management基盤の構築、
プロジェクトマネジメント、ソリューション開発
OpenIDファウンデーション・ジャパン KYC WG
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
2
オージス総研について
名
代
会
社
情
報
表
設
資
本
株式会社オージス総研
者 代表取締役社長 中沢 正和
立
社
1983年6月29日
金 4.４億円 （大阪ガス株式会社100%出資）
事 業 内 容 システム開発、プラットフォームサービス、コンピュータ機器･ソフトウェアの販売、コンサルティング、研修・ト
レーニング
売 上 実 績 402.4億円（単体） 参考 733.2億円（グループ単純合計）(2018年度)
従 業 員 数 1,439名（単体） 参考 3,456名（グループ合計）（2019年3月31日現在）
本
オ
フ
ィ
ス
2019 OGIS-RI Co., Ltd.
大阪府 大阪市西区千代崎3-南2-37 ICCビル
東 京 本 社 東京都 品川区西品川1-1-1
住友不動産大崎ガーデンタワー20階
千 大阪府 豊中市新千里西町1-2-1
里
うつぼ本町 大阪府 大阪市西区靭本町1-10-24 三共本町ビル10階
名 屋 愛知県 名古屋市中区錦1-17-13 名興ビル
田 愛知県 豊田市小阪本町1-5-10 矢作豊田ビル４階
豊
関
連
会
社
社
古
さくら情報システム株式会社、株式会社宇部情報システム、
ダイバーシティ関連認定
株式会社アグニコンサルティング、株式会社システムアンサー、
OGIS International, Inc. 、上海欧計斯軟件有限公司（中国）
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
3
統合認証ソリューションを15年以上やってまいりました
自社オリジナル商品
（主に大規模サービス、
B2B/B2C向け）
ThemiStruct Identity Platform
ThemiStruct-WAM
オープンソース
ベース商品
シングルサインオン
認証基盤ソリューション
ThemiStruct-IDM ID管理ソリューション
ThemiStruct-CM
（主に社内・グループ内
でのエンプラ利用向け）
電子証明書発行・管理
ソリューション
ワンタイムパスワードソリューション
ThemiStruct-OTP
2019 OGIS-RI Co., Ltd.
OAuth 2.0 に対応した
APIエコノミー時代に求められる
統合認証パッケージ
システム監視ソリューション
ThemiStruct-MONITOR
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
4
認証基盤の主要なユースケース
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
オープンAPIを提供するための「API連携認証基盤」を構築する
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
5
本日のテーマ
エンタープライズ向け
企業/企業グループ内の業務向けの「社内統合認証基盤」を構築する
本セッションでの取り扱いテーマ
B2B・B2C 向け
顧客向けサービスサイトの「共通ID基盤」を構築する
オープンAPIを提供するための「API連携認証システム」を構築する
オープンAPIを提供するための「API連携認証基盤」を構築する
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
6
認証基盤が果たすべき役割とは？
認証基盤が果たすべき役割として、本セッションでは下記３つの観点で整理を
行いたいと思います。
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
ユーザが簡単に手間なくスピーディにサービスを利用できる
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
ユーザがサービスを信頼できる、安心して情報を提供できる
サービスの安全性が適切に維持され、安定的に提供できる
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
開発資源をメインとなるサービスの機能拡張、改善に集中できる
システム運用における作業や時間を抑制できる
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
7
B2B・B２Cビジネスにおける
従来型のWebサービスモデルの課題
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
8
従来型のWebサービスモデルケース①
Webアプリケーションサーバ上で提供される各種サービスにユーザ登録を行い、Webブラ
ウザもしくはモバイル上のアプリケーションからログインしてサービスを利用する。
アカウントやアプリケーション上のデータ等は個々のサービス毎に運用管理される。
外部サービス
会員情報
ログイン、
サービス利用
Webブラウザ
サービスA
log
サービスB
log
利用者
モバイルアプリ
サービスC
log
2019 OGIS-RI Co., Ltd.
会員情報
アプリ情報
会員情報
アプリ情報
会員情報
アプリ情報
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
9
従来型のWebサービスモデルケース①における課題
外部サービスとの
アカウント連携や
サービス連携が難しい
外部サービス
サービス個別に認証
機能の実装や認証に
関するセキュリティ
対策が必要
会員情報
ログイン、
サービス利用
Webブラウザ
サービスA
log
サービスB
log
利用者
2019 OGIS-RI Co., Ltd.
モバイルアプリ
サービス個別に
ログインが必要
横断的なサービス
利用が難しい
サービスC
log
会員情報
アプリ情報
会員情報
アプリ情報
サービス個別に
アカウントの
管理が必要
会員情報
アプリ情報
サービスを横断した
履歴管理や利用状況
の分析が大変
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
10
従来型モデルケースの課題整理






ユーザのアカウントを統合してサービス間で共通化したい
ユーザのログインを統合して横断的にサービス利用できるようにしたい
外部サービスのアカウントを利用してサービス利用できるようにしたい
外部サービスのアカウントと連携して会員登録できるようにしたい
サービス個別に認証機能の実装やセキュリティ対策を行いたくない
サービスの利用状況を横断的に把握・分析できるようにしたい
共通ID基盤
2019 OGIS-RI Co., Ltd.
共通のユーザレポジトリによるアカウント一元管理
共通の認証画面を通じたシングルサインオン機能
外部サービスとの認証連携機能
最新の標準技術仕様に適合した認証機能
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
11
従来型のWebサービスモデルケース②
利用者向けに提供される各サービス上の機能やデータの利用はWebアプリケーションサーバ
へのログインを経てのみ利用することができる。（もしくはシステム間連携で行われるシス
テムの認証を経て）
外部サービスとの連携を行うには、システム間連携のための機能を双方のアプリケーション
に実装するか、ユーザの認証情報を外部サービスに提供して、外部サービスからログインさ
せる必要がある。
Webブラウザ
公開サービス
（Webアプリケーション）
ログイン
認証・認可機能
自社
アプリ
処理機能群
スクレイピング
会員情報
利用者
2019 OGIS-RI Co., Ltd.
他社
アプリ
ログイン
他社アプリ
バックエンド
システム間連携
アプリ情報
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
12
従来型のWebサービスモデルケース②における課題
Webアプリケーション
だけでなくネイティブ
アプリやJSアプリでも
サービス利用したい
許可されたクライアントの
アプリケーションのみに
サービス公開を行いたい
Webブラウザ
様々なプラットフォームや
他社アプリからサービスの
機能やデータを利用できる
よう裾野を広げたい
公開サービス
（Webアプリケーション）
ログイン
認証・認可機能
自社
アプリ
処理機能群
スクレイピング
会員情報
利用者
他社
アプリ
ログイン
他社アプリ
バックエンド
システム間連携
ユーザの認証情報を
3rd Partyに預けるの
は好ましくない
2019 OGIS-RI Co., Ltd.
専用の連携IFを個別に
設けて管理したくない
アプリ情報
提供可能な機能やデータ
をユーザが同意した最低
限のものに限定したい
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
13
従来型モデルケースの課題整理






ネイティブアプリやJSアプリでもサービス利用できるようにしたい
3rd Partyアプリに認証情報を保存させずにサービス利用したい
外部サービスにWebAPIを公開して安全に利用できるようにしたい
WebAPIを公開したいが利用できるアプリケーションは制限したい
WebAPIを通じて提供する機能やデータについてユーザの同意に基づき制限したい
外部サービスとの連携のために個別の連携仕様をサービスに実装したくない
WebAPIに対するトークンを利用した認証・認可機能
認可権限設定、権限委譲への同意確認機能
API連携認証基盤
発行されたトークンの検証・失効などの管理機能
最新の標準技術仕様に適合した安全なトークン連携機能
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
14
顧客向けサービスサイトの
「共通ID基盤」の構築を考える
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
15
「共通ID基盤」の役割
自社サービスの会員IDを共通化
認
証 自社サービスのログインを共通化
統 サービス横断での利用状況の把握･
合
分析
標準技術仕様に適合したシステム
認
間連携の実現
証
連 外部IDと連携した会員登録の実現
携 外部IDと連携したログインの実現
安 変わりゆく認証方式への対応
全 多要素認証による認証強化
策
2019 OGIS-RI Co., Ltd.
外部ID
サービスA
サービスB
共通ID
基盤
分
析
サービスC
会員管理
サービスD
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
16
「共通ID基盤」のモデルケース
ブラウザ
モバイルアプリ
認証
会員登録
www.example.jp
共通ID UI
外部サービス
OpenID Connect
やSAMLでID連携
サービスA
認証
会
員
管
理
機
能
ユーザの
共通属性利用
認証状態確認
認証機能
ID連携機能
2019 OGIS-RI Co., Ltd.
shop.example.jp
サービスC
機能 C-a
特定属性
の利用
会員情報
データベース
id.example.jp
サービスB
共通ID基盤
log
会
員
利
用
状
況
分
析
機能 C-b
another-domain.jp
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
17
外部IDを利用した会員登録やログインの実現
外部IDとの認証連携によるメリット
外部サービスのIDを使ってログインができ、サービス利用時にサービス毎のID/パスワードを思い出
す必要がなく、アカウントロックやパスワード忘れの発生頻度も削減される
外部サービスが提供する多要素認証の仕組みをユーザが利用できる
新規会員登録の際に外部サービスから取得できる氏名やメールアドレスなどの情報を入力フォームに
自動補完できる
外部IDとの認証連携時の注意点
外部IDを利用したログインを行うためには、事前に自社サービス上のIDと外部サービスのIDを紐付
け登録する必要がありそのための機能が必要
利用登録だけでなく、ユーザが任意のタイミングで外部IDの利用を解除できる機能も必要
標準的なID連携技術に対応していても、外部サービスによって実際のAPIの仕様やセキュリティ対策
の状況、利用可能な認証方式、取得可能な情報などはそれぞれ異なる、また外部サービス側の仕様変
更が突然発生する可能性も
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
18
認証方式の強化
多段階認証 生体認証
認証強度の問題 ユーザの心理的抵抗感
多段階だが多要素ではない ユーザへの展開負担
ワンタイムパスワード認証 リスクベース認証
カバレッジや手間の問題 精度や環境制約の問題
123456
ユーザへの展開負担 誤認証の可能性
クライアント証明書認証 ICカード認証
証明書発行管理の負担 ICカード発行管理の負担
クライアントへの展開負担 ユーザへの展開負担
負担増やコスト増の懸念から特定業種以外では積極的には採用が進んでこなかった
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
19
変わりゆく認証方式
FIDO2の登場
公開鍵認証方式を応用してオンライン経由で認証を行う仕組み（≠生体認証、パスワードレス）
サービス
FIDO クライアント
①ログイン要求
②認証要求
認証器
ブラウザ
Web認証
API
③チャレンジコードを
生成し署名要求
⑧認証結果
認証サーバ
（FIDOサーバ）
ユーザ識別
署名検証
会員情報
ユーザ検証
④所定の手段で
ユーザを検証
認証用秘密鍵
⑤秘密鍵で署名
2019 OGIS-RI Co., Ltd.
クレデンシャル情報
検証結果の証明
チャレンジの署名
⑥署名付きデータ
を返信
⑦公開鍵で署名検証
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
紐付け
認証用公開鍵
20
変わりゆく認証方式
FIDO2のメリット
認証サーバにパスワード情報や生体情報を保持する必要がない
パスワード情報や生体情報がネットワーク上を流れない
上記情報がないため、認証サーバが狙われない、不正ログインできない
FIDO対応のブラウザと認証器を持つデバイスがあれば多要素認証が簡単
に実現できる
パスワードを使わず認証することもでき、パスワード管理から解放される
FIDO2対応のUSBやBluetooth、NFCの外部認証器を利用することもでき
る
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
21
変わりゆく認証方式
FIDO2における注意点
利用するには事前にアカウントに対する認証器の登録作業が必要
認証器を内蔵するデバイスを複数利用しているなど、複数の認証器をサー
ビスで併用したいときは、認証器毎に事前登録が必要（１つの外部認証器
を複数のデバイスで利用することは可能）
（現時点では） Safariは利用できない
一部ブラウザやバージョンが古いブラウザでは利用できない
認証器を紛失した場合のアカウント復旧方法は別途考慮が必要
（当たり前だが）認証器が手元に無いとログインできない
B2CにおいてFIDO認証を全ユーザ必須にするのは現時点で現実的でない
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
22
「共通ID基盤」構築による効果
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
会員IDやログイン処理の統合によるユーザ負担の軽減、UXの向上
外部IDとの連携による集客効果、心理的ハードルの抑制、パスワード管理負担の軽減
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
認証方式の強化や新たな技術仕様への追従が容易
高い安全性が認められている標準技術仕様に適合したサービス提供が可能
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
開発要員やコストを認証部分に割くことなく、サービス自体の機能開発に注力
ユーザ管理、システム監査、サービス利用分析などの運用業務の負担軽減や効率化
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
23
オープンAPIを提供するための
「API連携認証基盤」の構築を考える
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
24
Web API を公開する際の課題
クローズドAPI
組織内での Web API の利用
組織の境界内からのみアクセス可能
オープンAPI
組織の境界の外側の第三者へ積極的に公開する Web API
Web API 利用者の認証、機能やデータへのアクセス権管理が
不可欠
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
25
Web API 利用の形態
2者間でのAPI利用
サービスA が サービスB の機能を利用するために
API にアクセスする。
サービスB は サービスA 向けの機能・データを提供
する。
サービスA
サービスB
API
3者間でのAPI利用
ユーザC は サービスA、サービスB の利用者である。
サービスA は、ユーザCの意図により、ユーザC に代
わり サービスB の API にアクセスする。
サービスB は ユーザC 向けの機能・データを提供する。
サービスA
サービスB
API
ユーザC
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
26
3者間でのAPI利用時の認証
ユーザC は サービスA に、アクセスできるデータや操作を限定し
て、サービスB の API へアクセスさせたい
ユーザIDとパスワードなど、クレデンシャル情報を渡す方式では、全権
限をサービスAに与えてしまう。
現時点では OAuth 2.0 の利用が唯一の選択肢
利用者C の同意に基づき、利用者C が意図
した範囲の限定された権限で API への
アクセスを許可する方式。
サービスA
サービスB
API
OAuth 2.0 Authorization Code Grant
OAuth 2.0 Implicit Grant
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
ユーザC
27
オープンAPIの提供には「API連携認証基盤」が不可欠
OAuth 2.0を利用するには「認可サーバ」の機能が必要
認可（アクセス権の委譲）の前提としてユーザが適切な方法で認
証されている必要がある
オープンAPIを提供するためには、API利用者の認証・認可ができ
る仕組みを構築しないといけない
ユーザを認証する機能（OpenID Connectなどが別途必要）
OAuth2.0 認可サーバの機能
2019 OGIS-RI Co., Ltd.
API連携認証基盤
を構築することに
他ならない
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
28
「API連携認証基盤」（OAuth認可サーバ）の役割
外部サービスへのAPI提供､そのた
A
めの安全な認証機能の実現
P
I 再ログインを伴わない安全なサー
ビス利用継続の実現
認
証 サービス利用可能なプラット
フォームの拡充
権 利用者の同意に基づくAPI提供･
アクセス許可の実現
限
管 APIアクセス可能なクライアント
理
の制限、アクセス権の適用
+ 共通ID基盤の特性
2019 OGIS-RI Co., Ltd.
外部サービス
①
③
④
権限
権限
権限要求
認証
認可同意
②
API認証
API
⑤
権限検証
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
29
OAuth 2.0 仕様の概略
（最小限）
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
30
OAuth 2.0の構成要素
Resource Owner（RO）
リソースの所有者でありアプリケーションに
権限を委譲する人やモノ、主にID/パスワード
などでユーザ認証する
OAuth Client（CL）
CL
外部サービス
RO
ROからリソースへのアクセス権限委譲を受け
るアプリケーション、ClientID/Secretでクラ
イアント認証することが望ましい
Authorization Server（AS）
①
④
権限
権限
権限要求
認証
ROがアプリに対して行う権限委譲の仲介をす
るシステム、認証サーバを兼任してユーザ認
証機能を提供することもできる
③
認可同意
AS
②
RS
API認証
API
⑤
Resource Server（RS）
権限検証
ROが所有するリソースを管理するシステム
（オープンAPI）
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
31
APIの提供者、APIの利用者において必要な対応
オープンAPIの提供者
API利用者
CL
API連携認証システム（AS）の実装
オープンAPI（RS）のOAuth利用に
必要な実装
外部サービス
RO
①
③
④
権限
権限
権限要求
オープンAPIの利用者
アプリケーション（CL）のOAuth利
用に必要な実装
フロントエンドアプリケーション
バックエンドアプリケーション
2019 OGIS-RI Co., Ltd.
認証
認可同意
②
API認証
API
RS
AS
⑤
権限検証
API提供者
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
32
対応が必要となる OAuth の具体的仕様類
# 仕様
AS
RS
CL
① The OAuth 2.0 Authorization Framework [RFC 6749] ○ ― ○
ASがCLの認可を行いトークン発行するための仕様
② The OAuth 2.0 Authorization Framework: Bearer Token Usage[RFC 6750] ― ○ ○
CLがトークンを利用してRSにアクセスするための仕様
③ OAuth 2.0 Token Revocation [RFC 7009] ○ △ ○
CLに発行したトークンを失効させるための仕様
④ Proof Key for Code Exchange by OAuth Public Clients [RFC 7636] ○ ― △
CLがトークンをASから安全に取得するための対策
⑤ OAuth 2.0 Token Introspection [RFC 7662] ○ ○ ―
RSがトークンを検証するために必要な情報をASに要求するための仕様
⑥ OAuth 2.0 for Native Apps [RFC 8252] ― ― △
CLをネイティブアプリで実装する際のベストプラクティス
※ 上記以外にも実装にあたりセキュリティ面で考慮すべき事項についてOAuth 2.0 Threat Model and Security Considerations [RFC 6819]として公開されている。
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
33
API利用時の構成パターン
バックエンドあり（Confidential Client）
アプリ
アプリ
バックエンド
(API, Web)
オープンAPI
（RS）
バックエンドなし（Public Client）
アプリ
(NApp, JS)
2019 OGIS-RI Co., Ltd.
オープンAPI
（RS）
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
34
アプリ形態別、対応すべき OAuth の方式（RFC 6749）
#
①
②
利用者への提供形態
バック
エンド
ブラウザで動作する あり
JavaScriptアプリ
（モバイルウェブ、SPA など） なし
Authz Code Grant
Implicit Grant
Authz Code Grant
w/ PKCE に向かう
ポイント
バックエンドがオープンAPIへアクセス。
バックグラウンドでのAPIアクセスのため、
トークン自動更新が必要な場合も。
JSアプリがオープンAPIへアクセス。
トークン更新が必要な場合はブラウザを
介して行なえる。
あり Authz Code Grant （ ① と同じ ）
なし
③
Authz Code Grant ネイティブアプリがオープンAPIへアクセ
w/ PKCE ス。バックグラウンドでのAPIアクセスの
ため、トークン自動更新が必要な場合も。
Authz Code Grant Webアプリケーションサーバがオープン
APIへアクセス。バックグラウンドでの
APIアクセスのため、トークン自動更新が
必要な場合も。
ネイティブアプリ
④
⑤
OAuthの方式
Webアプリ
2019 OGIS-RI Co., Ltd.
あり
（Webアプリ
サーバ）
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
35
「API連携認証基盤」のモデルケース
API連携認証基盤を導入したオープンAPIの提供モデル
Authorization Server
API連携
認証基盤
認証・認可
Web
ブラウザ
1st Party
アプリ
Webアプリ
JSアプリ
1st Partyアプリ
バックエンド
認可検証
WebView
API #1
ネイティブ
API #2
利用者
Resource Owner
3rd Party
アプリ
ネイティブ
WebView
3rd Partyアプリ
バックエンド
API #3
Resource Server
OAuth Client
認可利用
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
36
API管理のソリューションの導入も効果的
策定される新しい仕様への追従を個々の API で進めるのは困難
API管理ソリューションを使った集中管理が必要になっていく
Authorization Server
認証・認可
API連携認証基盤
Web
ブラウザ
1st Party
アプリ
利用者
Resource Owner
2019 OGIS-RI Co., Ltd.
3rd Party
アプリ
Webアプリ
JSアプリ
認可検証
1st Partyアプリ
バックエンド
WebView
ネイティブ
ネイティブ
WebView
API #1
認可利用
3rd Partyアプリ
バックエンド
API管理
（RS）
OAuth Client
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
API #2
API #3
Resource Server
37
「API連携認証基盤」構築による効果
サービス利用時のUX向上に寄与できる基盤
サービス利用時のUX向上に寄与できる基盤
再認証を伴わないサービス利用継続による利便性向上
様々なプラットフォーム上で同じサービスをユーザの状況に応じて利用できる
安全にサービスを利用・提供できる基盤
安全にサービスを利用・提供できる基盤
公開APIに対する認証や範囲を限定した認可、権限設定が可能
認証情報自体をクライアント側に保持させることなく期限を限定し公開APIを利用許可
公開APIを通じたサービス連携に対して利用者自身による同意や失効手続きが可能
サービスの開発や運営に貢献できる基盤
サービスの開発や運営に貢献できる基盤
外部サービスへの連携により新たな価値、新しいサービス領域を創造できる可能性
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
38
まとめ
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
39
まとめ
認証基盤のユースケースは、社内統合認証にとどまらず、顧客向けサービス
向け、オープンAPI向けへと広がり、重要性がより高まっています。
認証基盤を導入することでUX向上や安全かつ効率的なサービス提供に貢献
することができます。
API 公 開 や 外 部 ア プ リ ケ ー シ ョ ン と の 安 全 な 連 携 の た め に は OAuth や
OpenID Connectといった最新の認証連携に関する標準技術仕様群の追加更
新に継続的に対応していく必要があります。
セッション②【認証標準技術の必要性と最新動向】において最新の技術動向をご紹介致します。
当社では統合認証ソリューションを提供。それらを組み合わせて共通ID認証
基盤、API連携認証基盤の構築ニーズに対応できます。
セッション③【「共通ID基盤のスピード導入」と「ソーシャルサイトを対象としたアイデンティ
ティ連携」の実現方法】において当社認証ソリューションをご紹介致します。
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
40
ご清聴ありがとうございました
【お問い合わせ先】
株式会社オージス総研
TEL: 03-6712-1201 / 06-6871-8054
mail: info@ogis-ri.co.jp
2019 OGIS-RI Co., Ltd.
2019/9/3 「B2C、B2B向けWebサービスにおける認証基盤のあり方」セミナー
41