ID管理のクラウドサービス「Okta」で DevOpsによるデジタルトランス フォーメーション(DX)を加速する
開発するソフトウェアが社内向けか、顧客向けかによらず、IDによる利用者認証の機能を持たせることはきわめて重要な作業となりつつある。その作業を効率化し、さらに利用者の認証セキュリティや利便性を向上させるクラウド型のプラットフォームとして広く用いられているのが「Okta(オクタ)」だ。同製品は、デジタルトランスフォーメーション(DX)戦略に沿ったソフトウェアをDevOpsのアプローチでスピーディにリリースしていくうえでも有益であるとされている。日本におけるOktaの一次代理店として同製品の普及に力を注ぐマクニカのキーパーソンに、Oktaが開発者にもたらすベネフィットを聞いた。
ID管理システムの開発負担から
開発者を解き放つ
株式会社マクニカが販売する「Okta」は「CIAM(Customer Identity and Access Management)」ソリューションに類する製品だ。ソフトウェア(アプリケーション、サービス)の利用者ID管理とアクセス管理のプラットフォームをクラウドサービスとして提供している。開発元は2009年創業の米国Okta社で、すでに世界15,000社以上に導入され、「ID管理のクラウドサービスとして、グローバルスタンダードの位置づけにあります」と、マクニカ ネットワークス カンパニー、原昂汰氏は話す。
同氏によれば、Oktaは今日もなお着実にユーザー企業の裾野を広げているという。その理由の1つは、企業内・組織内で利用する業務用ソフトウェアのみならず、顧客向けのソフトウェアについてもID/パスワードや多要素認証による利用者認証をしっかりと行う必要性が高まっていることにある。というのも、DXの潮流の中で、ソフトウェアによって顧客IDを取得・収集して、そのIDに紐づけるかたちで、さまざまな顧客データを統合・分析し、自社の製品・サービスに対する顧客体験(CX)やロイヤリティを高めようとする企業の動きが活発化しているからだ。
もちろん、Oktaのような製品を使わずとも、自社で提供するソフトウェアのID管理システムを自ら開発することはできる。ただし、それは簡単な作業ではないと原氏は指摘する。
「例えば、顧客向けソフトウェアのID管理システムを開発する場合、利用者登録の設計において離脱防止の工夫をさまざまに凝らす必要がありますし、多要素認証やソーシャルログイン(SNSのアカウントでソフトウェアにログインできる仕組み)の実装をはじめ、PCやスマートデバイスといったマルチプラットフォームへの対応やOpenID Connect(*1)/SAML(*2)への準拠、外部Idp接続(*3)の実現など成すべき事項が数多くあります。加えて、システムのメンテナンスにも手間がかかるのです」
Oktaは、このような開発者の負担を大きく低減することが可能だ。具体的には、ソフトウェアのID管理をすべてOktaに集約(委任)することで認証を一元化し、利用者の利便性向上やID/パスワード管理の簡素化が実現できる。また、多要素認証やソーシャルログイン、OpenID Connect/SAMLなどによる認証機能を簡単に適用/実装することができ、かつ、ログイン画面のカスタマイズも容易に行える。
「こうした機能により、開発者は利用者認証の仕組みづくりとメンテナンスを行う負担から解放されます。結果として、DevOpsによるDXの推進に集中することが可能になります」(原氏)
*1 OpenID Connect:ユーザー認証用のプロトコル
*2 SAML:Security Assertion Markup Languageの略称。インターネット上のドメイン間で利用者認証を行うための標準プロトコル
*3 Idp:Identity Providerの略称。利用者認証の情報を管理するサービスを指す
利用者のセグメント化で
マーケティング施策の強化もバックアップ
OktaはID管理の自由度も高く、管理対象の利用者数を柔軟にスケールできるほか、既存アカウントのID/パスワードを変更することなくOktaに移管することもできる。また、ソフトウェアの利用者を、その属性情報に応じて動的にグルーピングする機能も備えている。この機能は、Webサイト来訪者の行動パターンや属性に基づいてコンテンツを出し分けるといったマーケティング施策に生かすことが可能だ。
「Oktaを通じたソフトウェアのアクセスは、その利用動向がすべて可視化できます。マーケティングにおけるその応用の幅はアイデア次第でさまざまに広がっていくはずです」(原氏)
Oktaではさらに、外部のサービスとAPI経由で連携することができ、CRMやMAのクラウドサービスとの間で「Okta Workflows」と呼ばれるフローをGUIで簡単に設定できる。これにより、例えば、Oktaへの利用者登録をトリガーにして、その利用者が新規ユーザーであった場合には情報をCRMやMA(のメール送付リスト)に自動で登録するといったフローを形成することができる。
「認証統合」の基礎を成す
圧倒的な高可用性
Oktaにはもう一つ重要な特長がある。それは可用性が非常に高いことだ。これは他製品に比べたOktaの大きなアドバンテージでもあると原氏は言う。
「Oktaのような認証基盤は高可用であることが不可欠です。認証基盤が停止することで、企業のソフトウェアは使えなくなり、業務ソフトウェアであれば業務が止まり、顧客向けのソフトウェアであれば顧客の離脱につながります。その点でOktaは稼働率『99.99%』を提供しており、2019年度には年間ダウンタイムが約15秒の『99.99995%』という驚異的な稼働率を達成しています。その圧倒的な信頼性はまさに比類なきものといえます」(原氏)
こうしたサービスの高可用性は、Oktaによる「認証統合」の基礎を成すものでもある。
ここで言う認証統合とは、社員向けのソフトウェアと社外の取引先や顧客に向けたソフトウェアのID管理をOktaに集約し、自社のソフトウェアを使うすべての利用者が、さまざまなデバイスから目的のソフトウェアに単一のIDでログインできるようにすることを意味している。
原氏によると、こうした認証統合をOktaで実現している企業は多いという。例えば、ある日本の製造企業では、DX推進部が中心となり、社員や社外の取引先(協業先/代理店)、さらには一般消費者(顧客)に向けたソフトウェアのID管理をOktaに集約し、それぞれが単一のIDで複数のソフトウェアにログインできる環境を整えた。そのうえで、利用者の属性に応じたアクセス制御をかけている(図参照)。
Oktaでは社内外向けソフトウェアの利用者IDを一元化し、ユーザーの利便性向上や顧客の行動データの把握などに役立てられる
この認証統合によって同社ではソフトウェアごとにバラバラだった一般消費者(顧客)のIDの統合化と一元管理も実現している。これにより、同社のソフトウェアを使う顧客の利便性を高めると同時に、個々の行動データを、IDを軸にまとめ上げ、BIツールによる行動の分析・可視化やCRMを使ったマーケティング施策の展開へとつなげている。
「顧客向けソフトウェアのID管理が、ソフトウェアごとに分断されているケースは珍しくありません。ただし、それでは自社の製品・サービスに対する顧客の行動が包括的にとらえられず、顧客理解が深まりません。Oktaによる認証統合、あるいは顧客ID統合は、その課題解決に向けたきわめて有効な一手といえます」(原氏)
一方、先に示した図のような環境では、不正アクセスの防止に万全を期す必要もあるが、Oktaではそのための仕組みとして、頻繁にログインに失敗した利用者をロックアウトする機能や、全認証プロセスを事前に評価し、ID侵害の脅威を未然に検知する「Okta ThreatInsight」の機能を提供している。
「このようにOktaは非常に優れたCIAMですが、それに加えて当社では、ID管理のソリューションを10年近く扱い、ID管理の実践ノウハウ/スキルを数多く蓄えてきました。また、Oktaやクラウド全般に精通したエンジニアも多く在籍しています。当社とOktaのシナジーによって、お客さまのDXの取り組みを強力に後押しできると確信しています」(原氏)
https://www.macnica.co.jp/business/security/manufacturers/okta/
Email:Okta-sales@macnica.co.jp
TEL:045-476-2010
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- 注目のWebAuthnと公式より早いKeycloak最新動向を紹介!OSSセキュリティ技術の会 第5回勉強会
- 恒例となったOSSセキュリティ技術の勉強会、今回はSSOソフトウェア「Keycloak」に注目!
- オージス総研、統合認証パッケージ「ThemiStruct Identity Platform」のLinux対応版リリースを発表
- クラウドとの認証連携
- シングルサインオン認証とは ー その種類と仕組み、メリット・デメリットを解説
- 高まるOSSセキュリティへの関心に応え、認証に関する最新技術&情報を徹底紹介!
- モジュールでOpenIDを簡単に実現!
- インフラエンジニアの視点で見る、DevOpsを実現するためのツールとは
- Keycloakの最前線を体感できるイベント「Keyconf 23」レポート
- OSSTechとパスロジ、ワンタイムパスワード「PassLogic」とシングルサインオン「OpenAM」との連携モジュールを提供開始