きみまさブログ - kimimasa's blog

用賀で働く平社員のブログ。


月曜日 1 07, 2008

【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 2: Advanced Authorization

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)


こんにちは。
明けましておめでとうございます。旧年中は大変お世話になりました。今年もよろしくお願い致します。

今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 2: Advanced Authorizationってことで、例によって続きもので、今回は Part2 : Advanced Authorization です。Part1:Basic Authorization は以下で紹介しています。

ここにも引用しておきます。
今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorizationってことで、企業内のJavaアプリケーションに対してどのようにアクセスレベルに応じたfine-grained authorization model(きめ細かい認証モデル)を作っていくかを架空の企業を想定して解説しています。

Indigo ConsultingというSun Java Enterprise Systems (JES) のインテグレーションをやってくれている会社のRobertさんが寄稿してくれたみたいです。

概要をざっくり訳すと、

Over the past few years, demand has been steadily rising for robust solutions for securing Web applications. To ensure adequate security, most enterprises that offer online Web services implement security on two service levels:

最近、堅牢なウェブアプリケーションセキュリティの需要は確実にましています。適切なセキュリティレベルを保証するために、オンラインのウェブサービスを提供する企業は次の2つのフェーズで、ウェブでのサービスのセキュリティを実装しています。

  • Authentication — To verify that you are who you claim to be.
  • Authorization — To confirm that you have the privileges to the resources you would like to access.
  • 認証 - あなたが本当にあなた自身であるかか検証すること。
  • 認可 - アクセスしたいリソースにアクセスする権限をもっているか確認すること。

Meeting the service-level requirements calls for a detailed, meticulous design of the architecture and painstaking implementation.

要求されるサービスレベルを満たすには、詳細で細部まで行き届いたアーキテクチャデザインと念入りな実装が求められます。

This article, Part 1 of a series, describes how to use Sun Java System Access Manager (henceforth, Access Manager) to fulfill the authorization requirements for a fictitious health-care insurance company, EB Health. Access Manager, an enterprise platform, secures Web applications and services with authentication, single sign-on, and authorization capabilities. The entire implementation for EB Health's needs is based on the standard, out-of- the box capabilities and custom extensions of Access Manager 6.3 (Sun Java Enterprise System 2005Q2) and ported to Access Manager 7.1 (Sun Java Enterprise System 5)—with no modifications to the source code or configurations.

この記事では、続きものの Part1 として、Sun Java System Access Managerをどのように使って架空の企業医療保険会社 EB Healthのウェブアプリの認証に関する要求・要望を満たすのかを記述しています。Access Manager、エンタープライズプラットフォーム、セキュアなウェブアプリケーション、認証サービス、シングルサインオン、認可の機能。EB Health の要望の実装は、Access Managerの製品そのものの機能とAccess Manager 6.3 のカスタム拡張機能を Access Manager 7.1 に実装したもの(7.1へ実装するためのソースコードの変更と設定変更は必要ありませんでした。)をベースとしています。

な感じです。 設定方法の画面のキャプチャや、Java のソースコードもありますので、Access Managerを使ってシングルサインオン環境を構築される開発者の方にはとても参考になるかと思います。10分くらいで読める軽めのドキュメントですのでよろしければ、是非ご覧下さい。
【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorization: kimimasa's blog

で、Part2: Advanced Authorization では以下のような要望、要件を実現していく方法を解説しています。
Requirements
要望、要件

As a result of acquisitions, EB Health now owns many multiplatform applications written in the Java or .NET programming language and must build a Single Sign-On (SSO) strategy that caters to the platforms EB Health supports. Here are the requirements:

企業買収によって、EB Healthでは、Java あるいは.NET で書かれた複数のプラットフォームで稼働する様々なアプ���ケーションを所有(利用)することに」なった。そして、EB Health が使用する(サポートする)プラットフォームにおけるシ�����グルサインオン環境の構築が必須要件となっている。要望、要件は以下。

  • An SSO architecture for both Java and non-Java applications with Access Manager.
    Java と Java以外のアプリケーションの為のSSOアーキテクチャ。(Java だけではなく、.NETやPHP にも対応してねってことですね。現実にも良くある要件です。)
  • Enhancement of the fine-grained model for faster performance. Applications with many secure widgets on a page require multiple invocations to the Access Manager for policy evaluation; hence, performance deteriorates.
    fine-gainedモデルによるアクセス管理の拡張(よりよいパフォーマンスを実現するため。)たくさんのセキュリティが確保されたウィジェットを1つのページに持つようなアプリケーションでは、Access Manager に対するポリシーチェックの呼び出しが複数必要になる一方、ポリシーチェックの回数が増えることはパフォーマンスの低下を招きます。(つまり、fine-grainde モデルのアクセス権限チェック(ポリシーチェック)を拡張していくことで、より少ない問い合わせで、細かいポリシーチェックが行えるように実装、拡張していこうってことですね。)
  • Extension of the Role-Based Access Control (RBAC) authorization to support non-Java applications in the fine-grained authorization model.
    Java以外のアプリケーションのサポートと、fine-grained 認可モデル(fine-grained なアクセス権限チェックモデル)を実現するために必要となる ロールベースのアクセス権限チェック(認可)の拡張。

Access Managerは Javaで作られたアプリケーションですが、WebServiceやPolicyAgent(IISや各種WebServer application server上にインストールするAccess Manager用のAgentモジュール)を使用することで、Java以外のアプリケーケーションと連携することも可能となります。
一般的に企業においては、1つの言語や1つのプラットフォームですべてのアプリケーションが稼働しているということはまずありません。(標準化という意味では1つの言語や1つのプラットフォームに統一することは理想ではありますが、現実としてはあまりないのかな?と思います。)したがって、企業内には異なる言語や異なるプラットフォームを使用することを前提として考えておくことが必要です。
今日、紹介させてもらった、JavaとJava以外のアプリケーションを WebServiceの層で連携させて、アクセス権限管理、アクセス権限チェックに関しては一元的に実施するということは、今後内部統制をより確実にそしてより容易に実現していく上では非常に参考になるかと思います。
20分くらいで読んで頂けるので、是非ご一読下さい。Part1 の内容をベースに書かれていますので、まずは Part1から目を通して頂いた方が理解が早いかと思います。
ではまた。
_kimimasa

Tagged with   |  Posted at 12:35午後 1 07, 2008 by kimimasa sato in Identity Management  |  はてなブックマークに追加はてなブックマークに追加 / del.icio.us に登録del.icio.us に登録  |  投稿されたコメント[1]

水曜日 12 05, 2007

【SDN記事の紹介】Securing Applications With Identity Services, Part 2: Authorization

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。
いやー、インフルエンザはやり出したみたいですね。皆様、うがい手洗いマスク着用をお忘れなく。。
さて、ちょっとご紹介がおくれてしまいましたが、SDN(Sun Developer Network)の記事を紹介します。
Securing Applications With Identity Services, Part 2: Authorizationということで、以前紹介した(【SDN記事の紹介】Securing Applications With Identity Services, Part 1: Authentication: kimimasa's blog)Securing Applications With Identity Services, Part 1: Authentication の続きです。 第1段では認証サービスでしたが、

OpenSSOに実装されている、WSDLを使ったSOAPでのIdentity WebService と RESTベースの Identity WebService をためしに使ってみよう!!っていうコンテンツです。第1弾の今回は認証(Authentication)サービスです。OpenSSOのインストール、設定、WebServiceクライアントの実装(ってほどでもないけど。。)、簡単な動作確認までが紹介されています。
【SDN記事の紹介】Securing Applications With Identity Services, Part 1: Authentication: kimimasa's blog
第2騨の今回は認可(Authorization)サービスです。OpenSSO でのポリシーの作成(認可サービスで参照する為の情報)、WebServiceクライアントの実装(サンプルがのっています)と、簡単な動作確認が紹介されています。
Overviewとしては、以下の引用分のようになっています。
Part 1 of this series describes how to configure OpenSSO for user authentication through identity services. Here in Part 2, again with IdSvcsClient, an example client application built with the NetBeans IDE, you learn how to further configure OpenSSO so as to allow authenticated users to perform tasks for which they have been authorized. Toward the end of this article is a troubleshooting section.

We assume you have done the following:

The authorization service includes two interfaces. One is built with Simple Object Access Protocol (SOAP)—that is, it is a Web-service interface. The other interface is built with Representational State Transfer (REST). The authorization service authorizes users according to three parameters: resource, action, and subject. You can also extend the authorization mechanism for other approaches. That topic is beyond the scope of this article, however.

今回も画面の絵や、JSPのサンプルなどがついていて説明もとても丁寧です。
ざっと目を通すのに15分くらい。実際にやってみるのだと、1時間くらいですかね。 (前回のを含めると30分と2時間ってところでしょうか。)
お試しいただければと思います。
認証、認可までは紹介されましたので次は属性取得かと思います。
_kimimasa

Tagged with   |  Posted at 12:02午後 12 05, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加はてなブックマークに追加 / del.icio.us に登録del.icio.us に登録  |  投稿されたコメント[0]

火曜日 6 26, 2007

【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorization

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

こんにちは。
じめじめした暑い日が続きますねー。梅雨なのか、夏なのかはっきりしてほしい感じです。

今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorizationってことで、企業内のJavaアプリケーションに対してどのようにアクセスレベルに応じたfine-grained authorization model(きめ細かい認証モデル)を作っていくかを架空の企業を想定して解説しています。

Indigo ConsultingというSun Java Enterprise Systems (JES) のインテグレーションをやってくれている会社のRobertさんが寄稿してくれたみたいです。

概要をざっくり訳すと、

Over the past few years, demand has been steadily rising for robust solutions for securing Web applications. To ensure adequate security, most enterprises that offer online Web services implement security on two service levels:

最近、堅牢なウェブアプリケーションセキュリティの需要は確実にましています。適切なセキュリティレベルを保証するために、オンラインのウェブサービスを提供する企業は次の2つのフェーズで、ウェブでのサービスのセキュリティを実装しています。

  • Authentication — To verify that you are who you claim to be.
  • Authorization — To confirm that you have the privileges to the resources you would like to access.
  • 認証 - あなたが本当にあなた自身であるかか検証すること。
  • 認可 - アクセスしたいリソースにアクセスする権限をもっているか確認すること。

Meeting the service-level requirements calls for a detailed, meticulous design of the architecture and painstaking implementation.

要求されるサービスレベルを満たすには、詳細で細部まで行き届いたアーキテクチャデザインと念入りな実装が求められます。

This article, Part 1 of a series, describes how to use Sun Java System Access Manager (henceforth, Access Manager) to fulfill the authorization requirements for a fictitious health-care insurance company, EB Health. Access Manager, an enterprise platform, secures Web applications and services with authentication, single sign-on, and authorization capabilities. The entire implementation for EB Health's needs is based on the standard, out-of- the box capabilities and custom extensions of Access Manager 6.3 (Sun Java Enterprise System 2005Q2) and ported to Access Manager 7.1 (Sun Java Enterprise System 5)—with no modifications to the source code or configurations.

この記事では、続きものの Part1 として、Sun Java System Access Managerをどのように使って架空の企業医療保険会社 EB Healthのウェブアプリの認証に関する要求・要望を満たすのかを記述しています。Access Manager、エンタープライズプラットフォーム、セキュアなウェブアプリケーション、認証サービス、シングルサインオン、認可の機能。EB Health の要望の実装は、Access Managerの製品そのものの機能とAccess Manager 6.3 のカスタム拡張機能を Access Manager 7.1 に実装したもの(7.1へ実装するためのソースコードの変更と設定変更は必要ありませんでした。)をベースとしています。

な感じです。 設定方法の画面のキャプチャや、Java のソースコードもありますので、Access Managerを使ってシングルサインオン環境を構築される開発者の方にはとても参考になるかと思います。10分くらいで読める軽めのドキュメントですのでよろしければ、是非ご覧下さい。
_kimimasa

Tagged with   |  Posted at 11:59午前 6 26, 2007 by kimimasa sato in Identity Management  |  はてなブックマークに追加はてなブックマークに追加 / del.icio.us に登録del.icio.us に登録  |  投稿されたコメント[0]

Today's Page Hits: 4203