オープンソースによるアイデンティティオーケストレーション

今日のデジタル環境において、アイデンティティ検証の管理は複雑な課題です。企業は、基本的な身元確認から完全なKYC/AMLコンプライアンスまで、多様な検証ニーズに対応するために、柔軟性、スケーラビリティ、セキュリティを備えたシステムを必要としています。モノリシックなベンダーソリューションに依存するのではなく、多くの組織はアイデンティティオーケストレーション、つまり複数のアイデンティティサービスを統合されたワークフローに調整するプロセスに目を向けています。この記事では、強力なオープンソースツールを使用してアイデンティティオーケストレーションエンジンを構築する方法について説明します。

重要なポイント1: アイデンティティオーケストレーションは柔軟性を提供し、システム全体を中断することなく、個々の検証コンポーネントを交換できます。

重要なポイント2: オープンソースツールはコスト削減とアイデンティティインフラストラクチャのより優れた制御を提供しますが、社内での専門知識が必要です。

重要なポイント3: マイクロサービスアーキテクチャは、アイデンティティオーケストレーションにおけるスケーラビリティと回復力にとって非常に重要です。

重要なポイント4: Kafkaなどのツールによるデータストリーミングは、リアルタイム処理とイベントドリブンワークフローを可能にします。

アイデンティティオーケストレーションエンジンを構築する理由

従来のアイデンティティ検証ソリューションは、多くの場合、制限されたワークフロー、ベンダーロックイン、カスタマイズの欠如などの制限があります。アイデンティティオーケストレーションエンジンは、アイデンティティサービスをデカップリングし、中央のコントロールプレーンを通じて接続することで、これらの問題に対処します。このアプローチには、いくつかの利点があります:

• 柔軟性: 必要に応じて、新しい検証方法（生体認証チェック、ドキュメント検証など）を簡単に統合できます。
• スケーラビリティ: パフォーマンスボトルネックなしに、検証量の増加を処理できます。
• 回復力: 個々のサービスに問題が発生した場合でも、システム稼働時間を維持し、障害を分離できます。
• コスト最適化: 最高のサービスを選択し、ベンダーロックインを回避できます。
• カスタマイズ: 特定のビジネス要件とリスクプロファイルに合わせた検証ワークフローを調整できます。

オープンソーススタック: 主要コンポーネント

アイデンティティオーケストレーションエンジンを構築するには、いくつかの主要コンポーネントが必要です。一般的なオープンソーススタックは次のとおりです:

• Apache NiFi: データの移動と変換を自動化するための強力なデータフローシステム。NiFiは、検証ワークフローを定義および実行する中央オーケストレーションエンジンとして機能します。
• Apache Kafka: リアルタイムのデータパイプラインとストリーミング分析を構築するための分散ストリーミングプラットフォーム。Kafkaは、マイクロサービス間の非同期通信を促進します。
• Kubernetes: コンテナ化されたアプリケーションのデプロイ、スケーリング、管理を自動化するためのコンテナオーケストレーションプラットフォーム。Kubernetesは、マイクロサービスを実行するためのインフラストラクチャを提供します。
• マイクロサービス: 特定の検証タスク（ドキュメント検証、AMLスクリーニングなど）を担当する、個別にデプロイ可能なサービス。
• APIゲートウェイ: 外部アプリケーションがアイデンティティオーケストレーションエンジンにアクセスするための中心的なエントリポイント。

アーキテクチャ: マイクロサービスアプローチ

スケーラブルなアイデンティティオーケストレーションエンジンの基盤は、マイクロサービスアーキテクチャです。各検証タスクは、APIまたはメッセージキュー（Kafka）を介して他のサービスと通信する独自のサービスにカプセル化されます。以下に、簡略化された例を示します:

1. 外部アプリケーションがAPIゲートウェイを介して検証リクエストを開始します。

2. APIゲートウェイは、リクエストをApache NiFiにルーティングします。

3. NiFiは、ワークフローをオーケストレートし、適切なマイクロサービス（ドキュメント検証サービス、AMLスクリーニングサービスなど）を呼び出します。

4. マイクロサービスは、Kafkaを介して互いに通信します（ドキュメント検証サービスはイベントを発行し、AMLスクリーニングサービスはそのイベントをサブスクライブします）。

5. NiFiは、各マイクロサービスからの結果を集約し、最終的な検証決定をAPIゲートウェイに返します。

Apache NiFiによるワークフローの実装

Apache NiFiは、複雑なデータフローを定義および実行することに優れています。NiFiのドラッグアンドドロップインターフェイスを使用して、ワークフローを視覚的に設計できます。アイデンティティオーケストレーションのための主要なNiFiプロセッサには、次のものがあります:

• InvokeHTTP: 外部APIを呼び出します（ドキュメント検証サービスなど）。
• ExecuteStreamCommand: シェルコマンドまたはスクリプトを実行します。
• PublishKafka: Kafkaトピックにメッセージを発行します。
• ConsumeKafka: Kafkaトピックをサブスクライブします。
• RouteOnAttribute: 属性値（国コード、ドキュメントタイプなど）に基づいてデータをルーティングします。
• MergeContent: 複数のソースからのデータを結合します。

たとえば、NiFiフローは次のようになります:

1. 検証リクエストを受信します。
2. リクエストからデータを抽出します。
3. InvokeHTTPを介してドキュメント検証サービスを呼び出します。
4. ドキュメントが有効な場合は、“DocumentVerified”イベントをKafkaに発行します。
5. “DocumentVerified”イベントをサブスクライブし、AMLスクリーニングサービスを呼び出します。
6. 両方のサービスからの結果を集約し、最終的な結果を返します。

Kafkaによるデータストリーミング

Kafkaは、アイデンティティオーケストレーションエンジンの中心的な神経系として機能し、非同期通信とイベントドリブンワークフローを可能にします。各検証ステップは、イベントをKafkaに発行して、他のサービスがリアルタイムで反応できるようにすることができます。たとえば:

• ドキュメント検証サービスは、“DocumentVerificationCompleted”イベントを発行します。
• AMLスクリーニングサービスはこのイベントをサブスクライブし、AMLチェックを開始します。
• 不正検出サービスは両方のイベントをサブスクライブし、不審なパターンについてデータを分析します。

Diditがお手伝いできること

Diditは、オープンソースのアイデンティティオーケストレーションエンジンとシームレスに統合される、堅牢なAPIとSDKを提供します。ID検証、生存検知、AMLスクリーニングなどのコアアイデンティティプリミティブは、NiFiのInvokeHTTPプロセッサまたはマイクロサービスを介して直接呼び出すことができます。Diditのデベロッパーファーストのアプローチ、透明性の高い価格設定、高いパフォーマンスにより、アイデンティティインフラストラクチャのための理想的なビルディングブロックとなります。Diditを使用すると、アイデンティティ検証の複雑さを処理しながら、ワークフローのオーケストレーションに集中できます。また、すぐに開始できるように無料のティアも提供しています!

すぐに始めましょうか？

オープンソースツールでアイデンティティオーケストレーションエンジンを構築することは複雑な作業になる可能性がありますが、柔軟性、スケーラビリティ、コスト削減というメリットは重要です。この記事で紹介されているツールを調べてみてください。また、開発を加速するためにDiditのAPIを活用することも検討してください。

リソース:

• Didit APIドキュメント
• Apache NiFi
• Apache Kafka
• Kubernetes