IDaaSを導入する際に注意すべきポイント
IDaaSの導入で、どんな課題を解決したのか。中村氏が紹介したのは、MS&ADインターリスク総研の導入事例だ。MS&ADインターリスク総研はMS&ADインシュアランスグループが展開するリスク関連サービス事業の中核企業。同社では新規でWebアプリを複数展開するにあたり、後に認証基盤やID管理が問題にならないよう、早期から共通認証基盤の構築を検討したという。
MS&ADインターリスク総研が共通認証基盤を開発するために採用したソリューションが、Okta CICである。Okta CICの認証認可機能とセキュリティ機能は、基本的にAPIベースのサービスとなっている。
また同社の案件では「組織ユーザー」という概念も取り入れた。同社はB2Bビジネスを展開しており、組織としてアプリを使うことが想定されたからだ。Okta CICではOrganizationsというマルチテナント認証認可機能が提供されているが限定的な活用になるため、中村氏は「私たちの方で組織データベースを作成し、実装しました」と語る。
現在は共通認証基盤上で複数のWebアプリが稼働。今後もアプリの数は続々増えていく予定だと言う。
IDaaSを活用する際に気をつけるべきポイントについても中村氏は紹介。第一は、ユーザー管理ポータルの開発だ。IDaaSはユーザー管理ポータルの機能を提供していないため。MS&ADインターリスク総研の案件でも、「属性情報の管理や、利用できるアプリの管理などができるユーザー管理ポータル、業務ユーザー向けの管理ポータルについては、TC3が業務フローを確認しながらスクラッチで開発しました」と中村氏は話す。また画面設計の際には、どんなユーザーにどこまでの情報を見せるのかなどの整理をすることも重要だという。
第二に業務プロセスに合わせたフローの設計。Okta CICはID・パスワードというような基本的なサインアップは実装可能だ。だが企業の中には、ユーザー登録の際に反社チェックを入れるなど、業務プロセス上、特定のステップを組み込みたいというケースもある。「こういう場合は、作り込みが必要になります」(中村氏)
第三は、組織としてユーザー管理。MS&ADインターリスク総研のようにB2Bサービスだけではなく、昨今ではB2Cサービスでも、家族間でIDの使い回しによるセキュリティリスクを削減するよう、ファミリープランなど家族単位で認証認可できる仕組みを提供するケースも増えている。組織に対して利用を許可するような構造を実現するには、IDaaSの技術だけでは足りないため、「組織ごとの管理、組織ごとに使えるアプリケーションを制御する設計・開発が必要になる」と中村氏は言う。
こうしたベストプラクティスに関してOktaなどから、ユーザーアイソレーションモデルに関するドキュメントが用意されているという。それらを参考にして開発するのも一つの手だが、TC3ではこれらの解決策として、カスタマー・エンゲージメント・ハブ「TACTNA」を用意している。「TACTNAを活用することで、自社業務に合わせたユーザー向けの管理サイトを簡単に準備。また、課金管理や契約管理などのカスタマイズUIの追加やさまざまなユーザーの状態変化に応じた他システムへのワークフローの定義も可能です。開発者向けの管理ナビも提供しており、スピーディーにアプリも追加できる。企業の業務に合わせた形で実装できます」(中村氏)
認証認可機能はIDaaSに、IDaaSが提供していない非機能系の要素やポータル関連の顧客向けユーザーインターフェイスはTACTNAに任せる。顧客体験、セキュリティ、データ活用の3つが両立する認証基盤開発のベストプラクティスと言えそうだ。最後に池田氏は、「ぜひ、気軽に相談してほしい」と参加者に呼びかけ、セッションを締めた。
顧客向け認証基盤プラットフォーム「Okta Customer Identity Cloud(CIC)」とは?
統合管理/セキュリティ強化/開発人材不足の課題をIDaaSで解決。Okta CICの活用場面や機能をご紹介します。
