IDaaS (Identity as a Service) や IAM ソフトウェアパッケージなど、市場には多くの Customer Identity and Access Management (CIAM) ソリューションが存在します。その豊富な選択肢から、サービス事業者は最適なソリューションを見つけられるように思えます。
しかし注意すべきは、一般的な CIAM ソリューションが、すべての機能を統合して提供する、いわばオールインワン型のアプローチをとっていることです。このような形態のソリューションの導入効果を最大限に発揮するためには、ユーザー認証から同意管理、アクセス権限管理など、CIAM を構成する各機能をすべてを、そのソリューションで賄う必要があります。
このことは、まったくの新規導入として CIAM を構築できる場合や、既存の CIAM から容易に移行できる場合には、問題とならないかもしれません。一方、すでに CIAM 機能の一部を構築・運用している場合や、パスワードに代表される認証情報を IDaaS のようなサードパーティ事業者に移管したくない場合には、CIAM ソリューションの提供する豊富な機能を活用しきれない、言い換えればコストに見合ったベネフィットが得られない、といった状況に陥ります。
さらに、ビジネスの拡大に応じて CIAM 基盤を強化する必要が出てきたとしても、ソリューションの仕様を超える拡張は難しいでしょう。典型的な例が、OAuth/OIDC の高度化への対応です。FAPI や mTLS、DPoP、PAR、RAR といった拡張仕様、また OAuth 2.0 Security Best Current Practice のような仕様適用のプラクティスなど、 この分野では現在も活発な仕様策定が進んでいます。しかし、これらに追随できている CIAM ソリューションは多くありません。
なにより、CIAM ソリューションにすべてを委ねることは、ユーザーとの最初の有意なインタラクションである「ユーザー認証・同意確認」を、自社の管理範囲外に追いやることを意味します。これは、継続的なユーザー体験の改善・向上に対しては、良いやり方であるとは言えません。サービス事業者がビジネス要件の変化に応じて CIAM を進化させ、顧客満足度を高めていくためには、自社で CIAM 基盤をコントロールし、顧客とのタッチポイントを把握することが重要です。
サービス事業者は Authlete を活用し、CIAM の自社開発・運用に際しての難所である「OAuth/OIDC プロトコル処理」と「トークンライフサイクル管理」の内製化を省略できます。Authlete は完全にバックエンドサービスとして動作するように設計されているため、サービス事業者は、ログイン画面やプロファイル管理などのユーザー向けのフロントエンドを、Authlete の API を用いて自由に構築できます。
また Authlete は CIAM のその他の機能、たとえばユーザー認証・同意管理・アクセス権限管理のしくみにはまったく影響を与えず、逆に依存もしません。これによりサービス事業者は CIAM を、基盤全体ではなく機能単位で、内製化するか外部化するかを選択できるようになります。
Authlete は最新の OAuth/OIDC 仕様に追随しているため、サービス事業者は自ら実装・運用することなく、常に業界標準仕様に準拠した API 認可基盤を構築可能
Authlete は完全にバックエンドで動作するため、サービス事業者はユーザー認証や同意取得などの UI/UX を完全に制御可能
Authlete API は特定の環境に依存しないため、サービス事業者は CIAM を構成する機能を自由に構築可能
Authlete は共用クラウド、専有クラウド、オンプレミスパッケージの 3 通りのサービス体系を提供しており、CIAM の規模や特性に応じて利用形態を選択可能