メインコンテンツへスキップ
Diditが750万ドルを調達、本人確認と不正対策のインフラを構築
Didit
ブログ一覧へ
ブログ2026年3月7日

Diditを活用したフェデレーション認証情報と詳細な認可 (JA)

Diditを使ったID検証とCerbosを使ったポリシー適用により、堅牢なフェデレーション認証情報と詳細な認可を実装する方法を探ります。.

By Didit更新日
federated-credentials-fine-grained-authorization-with-didit.png

アイデンティティと認可を分離アイデンティティ検証と認可ポリシーの適用を分離することで、より柔軟でスケーラブルなセキュリティアーキテクチャを構築します。Diditがフェデレーションアイデンティティを処理し、Cerbosが詳細なアクセスポリシーを管理します。

きめ細かな制御でセキュリティを強化ユーザー属性、役割、リソースコンテキストに基づいて正確なアクセスルールを実装し、従来のロールベースアクセス制御(RBAC)を超えた優れたセキュリティとコンプライアンスを実現します。

開発者エクスペリエンスを合理化Diditの開発者優先APIとプログラムによる認証を活用して、ID検証をアプリケーションに簡単に統合し、認証情報管理とユーザーオンボーディングを簡素化します。

Diditがセキュアな基盤を強化Diditは、Free Core KYCを含む不可欠なID検証と認証情報管理を提供し、企業が複雑な認可システムを自信を持って簡単に構築できるようにします。

現代の認可における課題

今日の相互接続されたデジタル環境では、ユーザーが「誰」であるか(認証)を知るだけではもはや不十分です。企業は、そのユーザーが「何」を、「いつ」、「どのような条件」でできるか(認可)を制御する必要があります。これは、ユーザーがさまざまな外部プロバイダーを通じて認証を行う可能性のあるフェデレーションIDを扱う場合、さらに複雑になります。基本的なロールベースアクセス制御(RBAC)などの従来の認可モデルでは、多くの場合不十分であり、過剰な権限付与、セキュリティ脆弱性、複雑なビジネスロジックの管理の困難さにつながります。

一方、きめ細かな認可は、ユーザー属性(例:年齢、国、検証済みステータス)、リソース属性(例:ドキュメントタイプ、データ機密性)、環境コンテキスト(例:時刻、IPアドレス)、さらにはエンティティ間の関係など、多数の要因に基づいて非常に具体的なアクセス決定を可能にします。このレベルの制御を実装するには、堅牢なID検証システムと強力な認可エンジンが連携して機能する必要があります。

フェデレーション認証情報とDiditの役割

フェデレーション認証情報により、ユーザーはIDプロバイダー(IdP)で一度認証するだけで、認証情報を再入力することなく複数のサービスにアクセスできます。これにより、ユーザーエクスペリエンスが向上し、ID管理が一元化されます。しかし、これは認可システムがさまざまなソースからのIDアサーションを取り込み、解釈できる必要があることも意味します。

AIネイティブなIDプラットフォームであるDiditは、ここで重要な役割を果たします。フェデレーションIDを検証および管理するための基盤となるレイヤーを提供します。ユーザーが初めてオンボーディングする場合でも、再認証する場合でも、DiditはIDが正当であることを確認し、検証済みの属性を提供します。たとえば、DiditのID検証(OCR、MRZ、バーコード)はユーザーのIDドキュメントを検証でき、パッシブ&アクティブライブネスはユーザーが本物の人物であり、ディープフェイクではないことを確認します。年齢制限サービスの場合、Diditの年齢推定は、過剰な個人データを収集することなく年齢を確認するプライバシー保護の方法を提供します。これらの検証済みの属性は、きめ細かな認可システムにとって重要な入力となります。

Diditのプログラムによる認証機能は、フェデレーションシナリオで特に強力です。開発者はDiditのAPIを使用してメールアドレスを検証し、/programmatic/verify-email/エンドポイントで示されているように、プログラムで認証情報を取得できます。これにより、既存のIDフローとのシームレスな統合や、フェデレーションモデルに組み込まれるカスタム認証エクスペリエンスの構築が可能になります。

きめ細かな認可のためのCerbosの紹介

Cerbosは、開発者がきめ細かなアクセス制御ポリシーを実装できるようにするオープンソースの分離型認可レイヤーです。リクエスト(誰が、何を、いつ、どこで)を受け取り、人間が読める言語(YAMLまたはCUE)で書かれた一連のポリシーに対して評価することで機能します。Cerbosのポリシー・アズ・コードのアプローチは、バージョン管理、監査可能性、認可ロジックのテストの容易さなど、多くの利点をもたらします。

Diditと統合する場合、CerbosはDiditによって提供される豊富で検証済みのIDデータを活用できます。たとえば、ユーザーがDiditのID検証フローを正常に完了した後、Diditはユーザーの居住国、年齢、検証ステータスなどの属性を提供できます。これらの属性は、認可リクエストの一部としてCerbosに渡すことができます。Cerbosポリシーは、たとえば、「EU諸国の検証済みIDを持つユーザーのみが機密性の高いEUデータとしてマークされたデータにアクセスできる」と規定できます。

統合の設計:Didit + Cerbos

DiditとCerbosの統合は、通常、以下の手順に従います。

  1. ユーザー認証と検証(Didit):ユーザーが認証を開始します。Diditは、ID検証、パッシブ&アクティブライブネス、あるいは電話&メール検証などの製品を使用して検証プロセスを処理します。検証が成功すると、Diditはセキュアなトークン(例:アクセストークン)と、場合によっては検証済みの属性セット(例:is_verified: trueage_group: '18-24'country: 'DE')を提供します。

  2. IDと属性の伝播:アプリケーションバックエンドは、認証されたユーザーのIDとDiditからの関連属性を受け取ります。これらの属性は、ユーザーのセッションまたはプロファイルストアに含められることがよくあります。

  3. 認可リクエスト(Cerbos):ユーザーがアクション(例:「ドキュメントXを読む」、「プロファイルYを更新する」)を試みると、アプリケーションバックエンドはCerbosに認可リクエストを構築します。このリクエストには以下が含まれます。

    • プリンシパル(ユーザー)とその属性(例:{ id: 'user123', roles: ['editor'], country: 'DE', is_verified: true })。これらの属性はDiditの検証プロセスによって強化されます。
    • アクセスされるリソース(例:{ kind: 'document', id: 'doc456', owner: 'user123', sensitivity: 'sensitive_eu' })。
    • 実行されるアクション(例:「read」、「update」)。

  4. ポリシー評価(Cerbos):Cerbosは、事前に定義されたポリシーに対してリクエストを評価します。たとえば、ポリシーは次のように記述されている場合があります。

    - principal.attr.is_verified == true
- principal.attr.country == resource.attr.country
- resource.attr.sensitivity == 'sensitive_eu' -> allow

  5. 決定の実行:Cerbosの決定(許可/拒否)に基づいて、アプリケーションは要求されたリソースまたはアクションへのアクセスを許可または拒否します。

この分離されたアーキテクチャにより、認可ロジックがアプリケーションコードから外部化され、アプリケーション全体を再デプロイすることなく、管理、監査、進化が容易になります。DiditのID検証に対するモジュラーアプローチはこれを完璧に補完し、企業は不要なオーバーヘッドなしに、認可ポリシーに必要な正確な検証チェックを組み込むことができます。

Diditがどのように役立つか

Diditは、洗練されたフェデレーション認証情報と詳細な認可システムを実装するために必要な、堅牢で柔軟なID検証基盤を提供します。当社のAIネイティブで開発者優先のプラットフォームは、Cerbosのような認可エンジンとシームレスに統合できるように設計されており、以下を提供します。

  • モジュラーID構成要素:Diditの構成可能なIDプリミティブにより、必要に応じて検証方法を選択および組み合わせることができます。ID検証からパッシブ&アクティブライブネス、1:1顔照合、AMLスクリーニング&モニタリングまで、認可ポリシーに必要な正確なIDデータを入手できます。
  • 豊富で検証済みの属性:Diditは単に認証するだけでなく、検証します。これは、高信頼性のID属性(例:年齢、国、検証ステータス)を受け取ることができることを意味し、これらはきめ細かな認可決定のための不可欠な入力であり、「特定の地域の21歳以上の検証済みユーザーのみがアクセスできる」といったポリシーを可能にします。
  • 開発者優先のエクスペリエンス:クリーンなAPI、インスタントサンドボックス、包括的なドキュメントにより、DiditのID検証をアプリケーションに統合するのは簡単です。当社のプログラムによる認証エンドポイントは、認証情報取得プロセスを合理化し、フェデレーションID管理をこれまでになく容易にします。
  • 無料のCore KYC:Diditは無料のCore KYCティアを提供しており、初期費用なしでIDと認可のフローの構築とテストを開始できます。これにより、迅速なプロトタイプ作成が可能になり、初日から安全な基盤を実装できます。
  • グローバル設計:Diditのプラットフォームはグローバル規模に対応するように構築されており、さまざまなドキュメントタイプとコンプライアンス要件をサポートしています。これにより、企業アカウントの国内データレジデンシーオプションを備え、多様なユーザーベース全体で一貫してきめ細かな認可ポリシーを適用できます。
  • オーケストレーションされたワークフロー:Diditのノーコードビジネスコンソールを使用して複雑なKYCワークフローをオーケストレーションし、それを認可レイヤーに供給できます。これにより、リスクプロファイルに基づいて検証要件を動的に調整でき、Cerbosポリシーで利用可能なデータをさらに強化できます。

DiditをID検証に活用することで、企業はユーザーIDとその関連属性を確実にアサートでき、Cerbosに正確で安全なきめ細かな認可決定を行うために必要な重要なコンテキストを提供できます。この組み合わせにより、強力でスケーラブルかつ監査可能なセキュリティアーキテクチャが実現します。

始める準備はできましたか?

Diditの動作を確認する準備はできましたか?今すぐ無料デモを予約してください。

Diditの無料ティアで無料でID検証を開始してください。

本人確認と不正対策のインフラ。

KYC、KYB、取引監視、ウォレットスクリーニングを一つのAPIで。5分で統合できます。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する
Diditによるフェデレーション認証と詳細な認可.