株式会社 Authlete(オースリート、本社:東京都千代田区、代表取締役:川﨑貴彦、以下 Authlete)は、セイコーエプソン株式会社(本社:長野県諏訪市、代表取締役社長:𠮷田潤吉、以下 セイコーエプソン)さまに弊社の OAuth・OpenID Connect(OIDC)バックエンドサービス「Authlete」をご導入いただいたことをお知らせします。
セイコーエプソンは、スマートデバイスや PC とエプソンのプリンター・複合機をインターネットを介してつなぐことで、遠隔プリントやスキャンデータのクラウドストレージへのアップロードを可能にするクラウドサービス「Epson Connect」を展開しています。また、開発者登録をしたパートナーが自社のアプリケーションにスキャンや印刷機能を組み込むことができる Web API「Epson Connect API」を無償で提供しています。
今回、セイコーエプソンは、Epson Connect API の新バージョン「Epson Connect API Ver. 2.0」のリリースにあたり、その認証・認可基盤に OAuth を実装するため、Authlete を採用しました。
Epson Connect は2011年の提供開始以来、継続的に機能を追加し、その利用規模も当初の想定に近い水準まで拡大しました。そこで、セイコーエプソンは2024年から2025年にかけて、大量印刷にも耐えうるアーキテクチャへの抜本的な更新に着手。このアーキテクチャの刷新に合わせて、セキュリティを強化した新たな Epson Connect API Ver. 2.0 (API v2)をリリースすることにしました。 また、API v2 の認証・認可の仕組みについても、再設計することにしました。
API v2 新基盤の認証・認可に求められた要件は以下の2点です。
これらの要件を満たす OAuth サーバーを自社でフルスクラッチ実装することを当初は検討しました。しかし、開発に膨大な時間がかかる上に、リリース後のセキュリティアップデートや新たな脆弱性への迅速な対応を自社リソースだけで担い続けることは現実的ではないと判断しました。
そこで、次の選択肢として、マネージドサービスである Auth0 などの IDaaS(Identity as a Service)の導入を検討しました。しかし、IDaaS によって自社開発・運用に伴う課題は解決されるものの、サービス特有の要件である「機器単位での制御を行うためのアクセストークンの発行」に対応可能かどうかが懸念となりました。
最終的にセイコーエプソンは、Authlete を用いた認可サーバーの内製化を選択しました。認可サーバーの機能のうち、ユーザー認証は Epson Global ID に外部化し、機器情報 DB に基づくアクセストークン発行の認可ロジックは新たに実装。一方、OAuth のプロトコル処理とトークンライフサイクル管理は、Authlete の API を呼び出して委譲するという構成を採用しました。
これにより、ユーザーが Epson Global ID でログインし、プリンター・スキャナーの選択画面で機器を指定すると、その機器に対する処理のみがパートナー製アプリケーションに許可されるという、要件どおりの認可フローを実現しました。
セイコーエプソンは、Authlete の採用により、下記の効果を得ました。
「自社独自の認証基盤と組み合わせて認可サーバーを構築する上で、Authlete のサービスは最適でした。フルスクラッチ開発は現実的ではなく、Authlete を導入せずに期限内に認証・認可基盤を刷新することはかなり厳しかったと思います。標準仕様のセキュリティアップデートや最新仕様に Authlete が追従してくれるため、セキュリティを確保しながらビジネスロジックの開発に集中できるのは、非常に助かります。」
各社さまのユースケースについては、当社ウェブサイトのお客さま事例をご覧ください。
.png)
