NashTech

大手ハイテク企業が最新のAuthzおよびAuthnプラットフォームを構築

大手フィンテック企業が最新のAuthzおよびAuthnプラットフォームを構築

はじめに

AuthzとAuthnの完全なプラットフォームを構築するために、カスタムプラグインの構築を開始し、ユーザー管理サービスと関連サービスに取り組みました。

タイドについて

タイド(タイド・プラットフォーム・リミテッド)は、中小企業向けにモバイル・ファーストのバンキング・サービスを提供する英国の金融テクノロジー企業である。 これにより、企業は当座預金口座を開設し、さまざまな金融サービス(自動記帳や統合請求書発行など)をすぐに利用できるようになる。

現在、タイドはインド準備銀行(RBI)の規制下にあるRBL銀行が提供する貯蓄銀行口座を提供している。 英国の中小企業経営者の20人に1人以上が当行と取引しており、当行はグローバルに展開し、あなたのような起業家に力を与える準備が整っています。

インパクト

  • 最先端のセキュリティおよびコンプライアンス・インフラストラクチャを顧客に提供。
  • 標準プロトコル(Oauth2.0、OpenId Connect、UMA 2.0、オープンバンキング)の使用により、すべての企業ツールとの相互運用性を確保。

課題

タイドが持っている現在のウェブアクセス管理(WAM)とシングルサインオン(SSO)は初歩的なもので、ウェブアプリだけでなく企業のウェブAPIへのアクセス管理、多要素認証、バイオメトリクス、サードパーティーパートナーとの統合、進化し続ける役割とスコープなど、多くの新しい要件が表面化している企業の増大するニーズには、かなり不十分でした。 この種のアクセスを管理するシステムには、いくつかの課題があった:

  • APIセキュリティを提供するために現在のWAMソリューションを変更したり、有効にしたりすることは、開発者にとって不親切で、複雑で、高価で、独占的である可能性が高かった。 モバイル・クライアントは、XMLベースやSOAPベースのセキュリティ・メカニズムへの対応に苦慮していた。 企業のIT部門は、エージェントやプロキシの導入に苦慮していた。
  • アクセス認可を一元化するのが複雑になりすぎていたため、アプリケーションに認可コードが多すぎることがわかりました。このため、開発者は認可ロジックの再開発を余儀なくされ、サービス提供が遅くなるだけでなく、効果的な監査やポリシー管理も妨げられていました。
  • 多要素認証、バイオメトリクス、動的スコープなど、現在のソリューションでは利用できない機能をサポートする必要がありました。
  • タイドはフィンテック企業なので、現行のシステムでは不可能な最高のセキュリティ・メカニズムを利用できるようにすることが最も重要でした。
  • 現在のソリューションは、ユーザーの認証方法(通常はウェブアプリへのユーザー名とパスワード)について、多くの単純化された仮定をしていた。 しかし、新しいモバイル・アプリケーションが顧客や他の種類のデバイスを使用可能にし、強力な認証のニーズが高まっているため、古い仮定はもはや通用しなくなった。
  • 組織内での役割、ユーザーの分類(内部ユーザーか外部ユーザーか)、さらにマーケットプレイス・ベンダー・アプリケーション、内部ウェブ・アプリケーション、モバイル・アプリケーション、サードパーティー・アプリケーション、パートナー・アプリケーションなど、アプリケーションの種類に応じて、ユーザーに対して異なる認証・認可ジャーニーを提供する必要があった。
  • そして最も重要なのは、エンタープライズ・ツールとの相互運用性を確保するために標準プロトコルに頼るべきだということだった。

当社の取り組み

ナッシュテックはタイドと共同で、レガシーなウェブベースのアクセス管理システムを完全に近代化し、外部および内部システムとのセキュアな通信を実現する最先端のAuthZおよびAuthNプラットフォームを提供しました。 より早く導入したかったので、会社のニーズに応じてカスタマイズできる既製のシステムを使うのが正しい方法でした。 調査を重ねた結果、プラットフォームを構築するのに必要なツールとして、GarviteeのAPIMとアクセス管理ソリューションを採用しました。

解決策

多くの新機能や新サービスが準備されていたため、新プラットフォームの導入が急務であったため、最初からソリューションを導入するのではなく、既製品を優先することが決定された。 適切な製品を特定する際の大きな課題は、ビジネスに関連したカスタム実装をサポートできるレベルまでカスタマイズをサポートすることだった。 Graviteeは、オープンソース版とエンタープライズ版がある新しいソリューションだ。 GraviteeはAPI管理とアクセス管理の両方のソリューションを提供しており、Graviteeのソリューションの素晴らしい点は、カスタム機能を持つ独自のプラグインを作成し、簡単に統合できる拡張性です。 Gravitee API Management ソリューションは以下を提供します。

  • 豊富なオープンソース機能
  • 高い柔軟性と拡張性
  • API、アクセス、アイデンティティ管理を一元管理 直感的かつ迅速に構築、管理、監視が可能

同様に、アクセス管理ソリューションも以下のような豊富な機能を備えています。

  • アクセスセキュリティ:OpenID Connect OAuth 2.0やJWTなどの業界標準プロトコルで企業データを制御し、保護します。
  • 多要素認証 – 認証要素を追加することで、セキュリティと利便性を強化します。
  • パスワードレスとWebAuthn – バイオメトリクス、トークン、さらにパスワードレスの認証メカニズムを使用して、業界ベストプラクティスのセキュリティでアプリとAPIを保護します。

NashTechは、カスタムプラグインの構築を開始し、ユーザー管理サービスと関連サービスに取り組み、Fintech向けの完全な認証・認可プラットフォームを構築しました。

プラットフォームを構成する主要コンポーネントの詳細については、次章で説明する。

建築

この図は、APIMゲートウェイ、AMゲートウェイ、ユーザークライアント、および関連サービス/インフラストラクチャ間のすべての主要な相互作用を示す。

authzn

AMゲートウェイ(アクセス管理サービス)

AMゲートウェイは、タイド・プラットフォームのコア・コンポーネントのひとつである。 AMゲートウェイは、アクセスとID管理のための統合サービスである。 AMゲートウェイの基礎となるコアは、リバース・プロキシ・アーキテクチャに基づいている。 API Gatewayは、HTTPウェブトラフィックを保護されたアプリケーションにルーティングし、各リクエストの綿密な検査、変換、フィルタリングを可能にする。 APIリクエストに対して、AMゲートウェイはAPIゲートウェイに接続するユーザーとサービスを認証し、認可することができ、OAuth2とOpenIDを活用することで保護されたアプリケーションを保証する。

API管理サービス

APIMゲートウェイは、APIゲートウェイとAPI管理の完全な機能を提供し、主要な属性のいくつかは、APIのデプロイとルーティング、必要なプロキシ設定の提供です。 APIゲートウェイは、トークンのイントロスペクションのためにAMゲートウェイを呼び出す。

APIのトークンをリッチ化するカスタムプラグイン

  1. サービスプラグイン – カスタムプラグインは、受信したリクエストを処理し、関連するプロセッサを呼び出して Vertx イベントハンドラを介して処理するために使用されます。
  2. Policy Plugin – フロントエンドのトークンをバックエンドのAPIにアクセスするために使用される関連するバックエンドのトークンに変換するために使用されるカスタムプラグイン。

ユーザー管理サービス

ユーザーの管理とリソースへのアクセスをサポートするSpring Bootサービス。 このサービスはバックエンドのトークンを受け取り、それを検証した後、要求されたAPIにアクセスできるようにする。

    • このサービスは、ユーザーに割り当てられた様々な役割と権限を処理し、それに従って行動する。
    • このサービスは、AMゲートウェイのAPIとも直接やりとりする。

ドキュメントDB

Amazon DocumentDBは、ミッションクリティカルなMongoDBワークロードを運用するための、スケーラブルで耐久性が高く、完全に管理されたデータベースサービスです。

レガシーユーザーの移行

レガシー・ユーザーの移行にはJIT(ジャスト・イン・タイム)アプローチが使われた。 したがって、この実装では、ユーザーがアプリケーションにログインしようとすると、新しいプラットフォームでユーザーが検索され、見つかった場合は、新しいユーザー管理システムに対してユーザー認証を試みます。 認証に成功したら、中に入れる。 そうでない場合は、無効な認証情報であるとしてログインを拒否する。 ユーザが存在しない場合は、ユーザがレガシーマッピングデータにあるかどうかをチェックし、そこに存在する場合は、レガシーIDPプロバイダを使用してユーザを検証し、認証された場合は、新しいプラットフォームでユーザを委託します。

その結果

最終的な結果は、高いセキュリティ、パフォーマンス、拡張性、スケーラビリティを備えた新しいAuthプラットフォームであり、これによりTide社はグローバルに事業を展開し、AuthNとAuthZの労力をゼロまたは最小限に抑えながら、複数の市場に合わせた多くの新製品を発売することができるようになりました。 このプロジェクトは2020年春に開始され、COVID-19の影響で新規登録が加速していた時期に、わずか2ヶ月で100%の本番トラフィックで稼動した。 最初のプロジェクト開始から1年も経たない2021年初頭には、リッチなマルチユーザーアクセスを加速して提供することができた。

上記以外の主なメリットのいくつかを以下に示す。

  • 機能アップグレードによる顧客体験の向上。
  • 最先端のセキュリティ・インフラを顧客に提供
  • ユーザー数200%増。
  • バイオメトリクスと多要素認証に完全対応。
  • 様々なアプリケーションに合わせた複数のユーザージャーニーフロー。
  • ダウンタイムの最小化、回復力の向上、サービス品質の向上
  • プライマリアカウント所有者が招待したユーザのクレデンシャル設定
  • 認証情報を持っているデバイスのユーザーのログイン(同意に基づく追加データ取得を含む)
  • 新しいデバイスを使用しているユーザーのログイン
  • トークンのイントロスペクションによるAPI GWでのトークンの強化
  • プライマリアカウントホルダーを含む、Tideプラットフォームの全ユーザーの認証。
  • 役割/許可の豊富なモデル
  • アカウントレベルのアクセス制御
  • セルフサービス・クレデンシャル管理とユーザー・プロファイル管理
  • 新規ユーザーをゼロから設定する
  • マーケットプレイスのベンダーやパートナー組織など、新しいタイプのユーザー。

「チームによって設計された柔軟なソリューションによって、さまざまなコンポーネント間の安全な通信が可能になり、時間とコストが大幅に削減されました。このプロセスのおかげで、将来に備えることができました”

ケーススタディをもっと読む

THE OUTがプレミアムレンタカー業界をどのように破壊するか

ベトナムのナッシュテック開発チームと緊密に協力し合うことで、高品質でデジタルファーストの高級レンタカーサービスを構築することができた。 将来を見据えて、THE OUTは製品ロードマップに注力し、旅行代理店やコンシェルジュ・パートナーを含むB2B顧客へのサービスを拡大し、そのための新しいポータルを構築している。

特注のデスク予約システムでハイブリッド勤務を実現:内部の視点

ナッシュテックの社内デスク予約ソフトウェアがどのように職場の効率化を促進し、高い精度で稼働率を測定したかをご覧ください。

オーストラリアで設立された広告・メディア費ビジネスは、ナッシュテックの支援により、いかにして駆け出しのビジネスから世界的な大企業へと成長したのか?

オーストラリアで設立された広告・メディア支出企業は、現在世界的な事業展開をしており、ナッシュテックがその成長を支えていることを知っている。

私たちのパートナーシップ

上部へスクロール