企業向けのサービスをマルチテナント型で提供する B2B SaaS において、アクセス権限管理はサービスの根幹です。B2B SaaS を利用する顧客企業の組織構造や、従業員の職責・役職、そしてその顧客企業とやりとりする社外の関係者(パートナー企業や、サプライヤー、特定業務の委託先など)の情報をどう管理し、データ・機能へのアクセス可否を実施するかは、セキュリティの確保のみならず、サービスの利便性にも影響を与えます。さらに、API を外部公開してサービスの活用シーンを広げる「API エコシステム」の実現にあたっては、API クライアントを開発・提供するサードパーティ事業者の権限管理を含めた「API 認可基盤」が必要となります。
自社サービスの強みを最大限に活かした API 認可基盤を構築するには、どのような方法が考えられるでしょうか。ひとつは、アクセス権限管理の延長として基盤を内製化することです。もしこれがうまくいけば、自社サービスに最適化された、将来の拡張・刷新においても柔軟に対応可能な API 認可基盤が構築できるでしょう。しかし、API 認可の業界標準仕様である OAuth 2.0 および OpenID Connect (OIDC) の実装・運用には高い専門性が必要であり、完全な内製化は容易ではありません。
もうひとつの手段は、OAuth/OIDC 機能を有する IDaaS や IAM ソフトウェアの導入です。実装・運用の外部化により、構築工数の低減や、更新された標準仕様への追随については、ある程度期待できます。しかしこれらのソリューションに備わっているアクセス権限管理機構は、コンシューマー向け (B2C) や社内従業員向け (B2E) であることがほとんどです。B2B SaaS のアクセス権限管理を IDaaS / IAM ソフトウェアに移行するには、半ば強引に B2C/B2E のモデルを適用するなど、相当の工夫を要するでしょう。
IDaaS や IAM ソフトウェアについては、さらに注意すべきことがあります。それは、API 認可以外の機能、たとえばユーザー認証や API クライアント管理についても、オールインワンパッケージとして提供している点です。これは一見有用に思えます。しかし実際には、ログイン画面や認証フローがサービス全体の使い心地とまったく異なっていたり、サードパーティ管理のコンセプトが異なっていたりするなど、SaaS との調和の点で難しい要素をはらんでいます。
Authlete が提案するのは、「アクセス権限管理の内製化」と「OAuth/OIDC 実装・運用の外部化」の両立です。Authlete は OAuth/OIDC を実装するためのコア機能を API として提供します。B2B SaaS 事業者はこの API を既存のアクセス権限管理機能と組み合わせて、自由に OAuth/OIDC サーバーを構築できます。さらに Authlete は完全にバックエンドで動作するため、ユーザー認証や同意取得、クライアント管理などのフロントエンド開発の妨げになりません。
また Authlete の API は特定の環境に依存しません。これにより B2B SaaS 事業者は、自社の他のサービスと同じ言語、フレームワーク、そして実行基盤を用いて OAuth/OIDC サーバーを構築でき、開発・導入期間の短縮と機能追加・改修の効率化につながります。
Authlete は最新の OAuth/OIDC 仕様に追随しているため、B2B SaaS 事業者は自ら実装・運用することなく、常に業界標準仕様に準拠した API 認可基盤を構築可能
Authlete は完全にバックエンドで動作するため、B2B SaaS 事業者はユーザー認証や同意取得などの UI/UX を完全に制御可能
Authlete API は特定の環境に依存しないため、B2B SaaS 事業者は自社標準の言語やフレームワークを用いて OAuth/OIDC サーバーを実装可能
Authlete は共用クラウド、専有クラウド、オンプレミスパッケージの 3 通りのサービス体系を提供しており、B2B SaaS 事業者は自社の成長ステージやサービス特性に応じて利用形態を選択可能