認証アーキテクチャ

システム API の認証アーキテクチャは、以下のもので構成されています。

  • InsuranceSuite アプリケーション(ClaimCenter など)
  • Guidewire Identity Federation Hub
  • 保険会社の ID プロバイダ(IDP)
  • 1 つ以上の呼び出し元アプリケーションからなるセット

アーキテクチャのいくつかの部分は、呼び出し元の種類に関係なく、すべてのシステム API 呼び出しに関連することに注意してください。アーキテクチャのその他の部分は、特定の種類の呼び出し元のみに関連します。

Guidewire Hub

Guidewire Identity Federation Hub(Guidewire Hub)は、すべての Guidewire クラウドアプリケーション(Guidewire クラウドリソースにアクセスするために保険会社が作成する呼び出し元アプリケーションを含む)に対する信頼できる認証サーバーです。Guidewire Hub では、ID 管理サービスに OAuth 2.0 および SAML を使用します。

Guidewire Hub の主な役割は、以下のとおりです。

  • 内部ユーザーおよび外部ユーザーの場合:
    • InsuranceSuite アプリケーションおよび呼び出し元アプリケーションからの認証要求を受信すること
    • それらの認証要求を適切な IDP に連携すること
    • ユーザーの確認と権限の特定を行う JWT を生成すること
  • サービスの場合:
    • サービスを認証すること
    • サービスの確認と権限の特定を行う JWT を生成すること

保険会社の ID プロバイダ

ID プロバイダ(IDP)は、内部ユーザーと外部ユーザーの ID 情報を作成、維持、および管理するアプリケーションまたはサービスです。Guidewire クラウドアプリケーションを使用するすべての保険会社は、ID プロバイダ(IDP)を提供する必要があります。

IDP の主な役割は、以下のとおりです。

  • 内部ユーザーおよび外部ユーザーの場合:
    • ユーザー名とパスワードを管理すること
    • 各ユーザーの権限を特定する情報を管理すること
    • Guidewire Hub から要求を受信したときに、ユーザーを認証して権限情報を提供すること

IDP は、サービス認証または承認では役割を果たしません。

呼び出し元アプリケーション

システム API を使用するすべての呼び出し元アプリケーションは、すべての API 呼び出し(未認証呼び出しを除く)で認証情報を提供する必要があります。

認証の視点から見た各呼び出し元アプリケーションの主な役割は以下のとおりです。

  • 内部ユーザーおよび外部ユーザーの場合:
    • Guidewire Hub に認証要求を送信すること(その後、それらの要求は適切な IDP に連携されます)
  • サービスの場合:
    • 認証要求を Guidewire Hub に送信すること(IDP が関与することなく Guidewire Hub によって実行されます)
  • すべての呼び出し元の場合:
    • Guidewire Hub によって作成される JWT を一時的に保存し、関連する呼び出し元で行われるシステム API 呼び出しに含めることができるようにすること

InsuranceSuite システム API

認証の視点から見たシステム APIの主な役割は以下のとおりです。

  • 認証済み呼び出し元の場合:
    • 各 API 呼び出しに有効な認証が含まれていることを確認すること
    • ユーザーに使用が許可されているエンドポイント、フィールド、および特定リソースのみに各 API 呼び出しのアクセスを制限すること
  • 未認証呼び出し元の場合:
    • 各 API 呼び出しのアクセスを、適切なエンドポイント、操作、フィールド、およびリソースのみに制限すること
      • 通常、このアクセスは、API メタデータのみに制限されます