(Translate to English)
Friday May 09, 2008
Federation Manager を説明するためにスタートレックを引き合いに出したり,
Fedlet に関してわざわざティーザー・キャンペーンしたりと,
なんか一部の人の趣味でやってるかのような (まあ, ぼくも人のことは言えないけど...)
Sun のアイデンティティ管理マーケティングが,
今度はアクション・ゲームを公開した.
社内のアイデンティティ・ブロガー向けに流れた告知メールから一部引用:
ゲームの名前は 「アイデンティティ・ヒーロー」.
プレイヤーは IT マネージャとなり,
「アクセス不許可」
「コンプライアンスの苦しみ」
「監査に引っかかる恐れ」
「企業連携の問題」
から会社を救うのだ!
このゲームをやりこむことによって,
アイデンティティ管理に関する理解が深まる...かどうかはさておき,
お昼休みの息抜きにでもどうぞ.
(Translate to English)
Saturday Apr 26, 2008
木曜の晩, ひそかに申し込んでた
OpenID Tech Night vol.1
に行ってきた.
以下, ZIGOROu さんのエントリをパクり引用しつつ,
所感などをつらつらと.
OpenID Authentication 2.0 〜概要とシーケンス・トレース〜
会場について, 席に置いてあったクリアファイルを見たら,
このセッションの配布資料と一緒に,
Final: OpenID Authentication 2.0 - Final
の全文をそのまま 2up 両面で印刷したのが入ってた.
率直に言ってそのときは 「うわ, いきなりこれはきっついなー」 と思ったんだけど,
でもこのセッションが進むにつれて,
「手元に仕様書が紙ベースで用意されていて,
ちょっとわからないところがあったらすぐに仕様の記述を確認できること」
のありがたさをつくづく感じさせられたという, そういう内容でした.
もきちんと話していて素晴らしいーと思った。
ぼくが興味深く思った (というか, まともに仕様読んでないだけなんだけど) のは
のくだり.
キャッシュしてる assoc_handle を更新する方法も仕様化されてたのか.
あと, Yahoo! がいつのまにか localhost な RP
をサポートするようになってたのは知らなかった.
Yahoo! OpenID FAQ
にはまだ
Yahoo! will only support Relying Parties running on
webservers with real hostnames (略) running on standard
ports
と書いてあるけど,
このへんの制限を実際はすこし緩和してきてるみたい.
Realmとreturn_to辺りの話とか、RP Discoveryとかの話は@ITの連載とかでいつか真面目に話そうかなと思います。
ぼくも, この RP Discovery のネタがセッションの中で出てきたときには,
そこまで話すのかーと思ってニヤニヤしてしまった.
ちなみに資料では 「利用している OP は殆ど無い」 となってるけど,
少なくとも一社,
Yahoo! がやってるらしい.
Building Relying Party Best Practice
すごくわかりやすかった.
ただ,
- Claimed Identifier Claimed Identifier をそのままRP 上での“ID”扱いする
- あるいは RP 上での上での“ID”に紐付ける
のどちらがいいのかは,
一概には言えないと思う.
たしかに利便性とか可用性とかの面では後者が有効であることに同意なんだけど
(てか, これって SAML とか Liberty の世界の
「アイデンティティ・フェデレーション」 っすね),
たとえば 「おれはこの Flickr の URL
を使って己のディジタル・アイデンティティを確立していくぞ!」
という,
Eve Maler が名づけるところの
「Me generation」
の人にとっては, そのサービスが,
積極的に自分の Flickr URL をさらけだしてくれることを望むのではないかと.
飲み会とか
=natさんやtkudoさん、mizzyさんなどと帰りにちょっと呑んで来ました。
なんかプチアイデンティティ飲み会の様相を呈してた.
XRI と CanonicalID の事、あとClaimed Identifier の fragment の話
ただ、これは固定IPアドレスみたいな物であると同時に、仮に =zigorou が別のジゴロウさんになったとした場合、異なるCanonicalIDが割り振られる。つまり再利用しないって事みたい。
ドメイン失効とか乗っ取られたりしたらその Identifier は一見他人を表してしまうけど、そうならないように、Canonical IDは個人にユニークな値を割り振る。
ぼくはいまだに XRI 2.0 FAQ
を斜め読みしてるような知識レベルなので,
素人考えなのかもしれないけど,
この 「一人の持つ複数の i-name (e.g. =zigorou) が,
最終的には一つの i-number (e.g. =!545A.6972.43FA.38AD) にひもづく」
というしくみは,
いわゆる 「ペルソナ」 との相性があんまよくないように見える.
つまり性質の異なる RP ごとに, それぞれ違う i-name を用いても,
結局は一人の個人に結びついてしまうんじゃないかと.
まあそのへんは,
OpenID の場合には URL ベースであれば 「ディレクテッド・アイデンティティ」
(どの RP にどの OpenID URL を渡すか,
たとえば暗号化された値にするか Flickr URL にするかを,
ユーザが自分の意志をもって 「指図する (direct)」)
ができるから, 別にいいのかな.
関係ないけど, ぼくのような XRI 素人にとっては,
そもそもの XRI のなりたちを解説する以下のエントリが非常に参考になった.
それと今度
XRI 2.0 の webinar
があるらしくて, ちょっと興味あるんだけど,
日時が日本時間の 5/7 未明なんだよなあ...
=nat さんは次回の Identity Conference で基調講演として XRI/XRDS と Reputation について基調講演して下さる予定です。
YAPCとかIIW(?)とかあるんで5月24日以降だといい感じみたい>id:mizuno_takaaki
ついでに, その
Internet Identity Workshop
のお話とかも聴きたいなー. ぜひぜひ. > =nat さん
Reputation の話
セキュリティレベルの監査とか、OP, RP, Userの3者の間で各々の評価を行う仕組みが出来て、評価する枠組みが "公平" だとしても、Reputation で高い得点となったとしても、実際にユーザーに使われてて、広く認知されてなかったりなんて事もありそうとtkudoさんが言ってたんだけど、僕もそれに同意。
表現がうまくなくてすみません...
ぼくが思ったのは, たとえば
Yahoo! OpenID のリピュテーション・スコアは低くなるだろう, とぼくは勝手に想像してる
(みんなにタダでアカウントを配ってるから) んだけど,
だからといって, RP がそれをもって Yahoo! の OpenID
の受け入れを拒否するようなことはないのではないか,
でもそしたら 「リピュテーション・スコア」 って何のためにあるのかわからないなー,
ってことです.
でもしらふの状態でもう一度考えてみると,
Yahoo! のようなメガ OpenID プロバイダは,
海千山千ある中でも例外的な存在として扱ったほうがいいのかもという気がしてきた.
うーん.
今度改めて。
同じく.
しょこたん
しょこたん似の人に写真を撮られるなどした。
名前聞かなかったけど idcon 来て下さい。
あまりのアイデンティティ・セレブっぷりに軽く嫉妬しましたw
=katsu さん
ブログ書いてたら教えて下さい。あと書いてなかったら書いて下さい(ぇ
=katsu さんのブログだから,
やっぱ =katsu/(+blog) ですかね... と思ったら,
ホントにあった!
そのほか
OIDF の裏話とか,
某 OP はギャグでやってんのかとか,
ZIGOROu さんと帰りの電車でずーっとアイデンティティ・トークし続けたりとか,
いろいろ楽しかった!
関係者のみなさまありがとうございました & 次回もよろしくお願いします.
(Translate to English)
Thursday Apr 24, 2008
前に言及した Fedlet
が,
いよいよ最近の OpenSSO で使える状態になってる.
試してみた感じでは,
- OpenSSO の Common Tasks から
Create Hosted Identity Provider を実行し,
Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
- その流れで Create Fedlet を実行し,
Fedlet の配備先となるサービス・プロバイダ (SP) の情報
(URL とか) を指定して, その SP 特有の設定情報が詰まった
Fedlet.zip を生成
- 産みおとされた Fedlet.zip から fedlet.war を抽出し,
SP 側のアプリケーション・サーバに配備
- IdP と SP との間での疎通テスト
という具合に, 簡単に SP 側の 「SAML の受け口」
を設定することができて, ちょっと感動.
Fedlet 入り OpenSSO
のダウンロードは以下からどうぞ.
(Translate to English)
Wednesday Apr 16, 2008
昨晩下北沢でカレーを食べたあと,
その近所をぶらぶらしてたら,
たまたまなにかの撮影現場に出くわした.
スタッフの着てるジャンパーをよく見てみると...
DMC
だー!!!
このあとしばらく野次馬してたら,
生クラウザーさんを見ることができた!
(写真無し)
(Translate to English)
Monday Apr 14, 2008
今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に,
『コンシューマーからエンタープライズへ ──
本格化する OpenID の明日を探る』
という記事を寄稿した.
内容は, 「IT マネージャー」 向けに
- OpenID 仕様の概要
- 最近の動向
- Web サービス・ベンダの目論見
- 「ディレクテッド・アイデンティティ」
- エンタープライズ分野への適用
- 普及への課題
を概観する, 全 6 ページ.
冒頭 2 ページの PDF が
IDG Direct
からダウンロードできるようになっているので,
よろしければご高覧くださいませ.
(Translate to English)
Tuesday Apr 01, 2008
I have very little knowledge on both
Shibboleth
specification and implementation however, It seems easy to
integrate
Sun Java System Access Manager /
OpenSSO
with it to
centralize user authentication into single access management
infrastructure and provide some other strong authentication methods such as client certificate,
finger vein etc.
The integration
point is REMOTE_USER variable between the Shibboleth IdP and
Application Server with Policy Agent, just like what
Paul did for
Sun Secure Global Desktop / Access Manager integration.
Sets the principal name in the IdP to REMOTE_USER as
determined by the web server or container's authentication,
similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki
The user ID value is used by the agent to set the value of the
REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)
The key step here (doco)
in order to get it working is to modify the Tomcat server.xml
to look like the following, this ensures that Apache forwards
the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat
Here's a simple diagram. Let me know if I missed something.
(Translate to English)
Thursday Mar 27, 2008
花木さんや徹さんがすでに書いている通り,
再来週, 4/9 (水) に恵比寿にて 「春の MySQL 祭り 2008」
が開催される.
申し込みはお早めにどーぞ.
- 開催日時: 2008 年 4 月 9 日 (水) 13:30〜
- 開催場所: ウェスティンホテル東京
- 参加費用: 無料 (事前登録制)
- 主催: サン・マイクロシステムズ (株) MySQL (株)
ウワサでは, こんな giveaway があるとかないとか...
(手前の物体は関係ありません)
(Translate to English)
Tuesday Mar 25, 2008
メタディレクトリはもう死んでるのかどうかをめぐって,
Dave Kearns 氏と
Kim Cameron 氏が妙にアツい論争をくりひろげてる.
斜め読みしただけなのでもしかしたら外してるかもしれないけど,
どうも両者ともちょっとズレてるようにみえる.
まず Dave の
「バーチャル・ディレクトリがあればメタディレクトリなんて要らないんじゃね?」
という主張にムリがある.
Application developers like to use databases and tables
だし,
いくら社員情報の最新版が人事システムに入ってるからといって,
バーチャル・ディレクトリ経由で毎回毎回問い合わせたりはしない
(ふつうは offload information from the HR system to other systems
する).
かといって Kim の言う通り,
メタディレクトリがいまでも必要とされているのかというと,
それも違う.
たしかに昔は 「システム間でのアイデンティティ情報の変換・同期
(= メタディレクトリ)」
だけで良かったけど,
最近は同期そのものよりも,
その処理を 「どのような立場の誰がどのように承認するか」 とか
「いつ実行するか」 とかいった,
いわゆるワークフロー的な機能が重要になってきてて,
だからこそ
Sun Java System Identity Manager
のようなアイデンティティ・プロビジョニング製品の市場が盛り上がってきてるわけで.
まあ Microsoft はちゃんとしたアイデンティティ・プロビジョニング製品を持ってないので,
中の人である Kim はメタディレクトリを推さざるを得ないのかもしれないけど.
結局のところ, 両者の話がこじれてるのは,
「メタディレクトリは死んだ」
の主犯に
「バーチャル・ディレクトリ」 を挙げてしまったせいだと思う.
最初に
「アイデンティティ・プロビジョニングがメタディレクトリに引導を渡した」
と書いてれば良かったのに...
(Translate to English)
Monday Mar 24, 2008
ソースは脳内 (すみません). こないだ出てた
という調査結果をみて,
なんかこれって数年前のフィード・リーダーの普及状況と似てるなあと思っただけ.
ちょっと検索してみたら, 3 年半前はこんな感じ↓だったらしい.
RSSリーダーの利用者は全体の4.7%で、あまり利用されていないことが明らかになった。
CNET Japan, 2004 年 8 月 11 日
で, 昨年の調査結果は以下. こちらは 「使っている」 ではなくて 「使ったことがある」 だけど.
RSS リーダーの「利用経験がある」人も、過去調査では16〜18%程度であった値が、今回はついに2割を越えている。
japan.internet.com, 2007 年 4 月 6 日
いま多くのサイトにフィードがついてるのと同じように,
もしかしたら OpenID もこの先 2, 3 年たったら,
いろんな Web サイトが受け入れるようになる
(リライング・パーティになる) かも.
けど一方 OpenID を自覚的に使うユーザは,
その段階でも全体の 2 割くらいに留まるんじゃないだろうか.
|
|
|
|
