Dynamic Context-Driven Federated Identity Provisioning
(Translate to English)Monday Mar 14, 2005
すこし前に公開されたユビキタスネットワークシンポジウム 2004 の講演資料のなかでも, 以下のプレゼンテーションはアイデンティティ・プロビジョニングの将来を考える上で非常に興味深い.
いまのところ一般的なアイデンティティ・プロビジョニング・ソリューションは
「組織内における利用者のアイデンティティ情報ライフサイクル管理」
を対象としている.
ここでアイデンティティ情報のマスタ, すなわち authoritative source
となるのは人事システムや情報システム, あるいはセルフサービスである.
図にするとこんな感じ:
一方上述のスライドで示唆されているのは, 利用者のコンテキストを authoritative source として活用するモデルである. たとえば
- 入力 (Requesting Authority): オフィスの入退館システム
- 出力 (Provisioning Service Target): ポータル・システム
とすることで,
社員が出社しているときだけ社内ポータルへのログインを許可するような仕組みが実現できる
(余談だけど, Sun Java System Portal Server だったら
inetUserStatus とか role とか使うことになるかな) .
この裏では, 利用者がいまどこにいてどのような手段で認証されてといった,
時々刻々変化するコンテキストに応じて適切なサービスが提供されるように,
利用者のアイデンティティ情報 (認証・認可・属性)
を動的に再設定していくことになる.
さらに考えを進めて, authoritative source とアイデンティティ・プロビジョニング・システムが, それぞれ別の事業体にある状況ではどうなるだろうか. ここからはまったくの空想だが, 入退館システムからのステータスとともに, もうひとつ入力として
- 小田急電鉄の提供しているグーパス
を加えることで,
「新宿駅の改札を出て
10 分以内にオフィスのドアを開鍵したときだけ, オフィスのメール・クライアントで
IMAP のメールボックスを開くことができる」
といったシステムを作ることも不可能ではないかもしれない.
このようなドメイン間でのアイデンティティ・プロビジョニングは,
お互いのアイデンティティ情報を連携させた上で,
プライバシーを配慮しながら行なう必要があるだろう.
Dynamic Context-Driven Federated Identity Provisioning. この言葉はいまさっきでっちあげたばかりの buzz word だけど,
- 利用者のコンテキストの変化をもとに, 必要に応じてドメイン間のアイデンティティを動的に連携し, その上でアイデンティティ・プロビジョニングを実現する
ような仕組みは今後注目されるようになるのだろうか!?
個人的にはそうあってほしいんだけどなあ. Liberty / SAML や SPML
などの各要素の技術標準も,
それらを実装する Sun Java System Access Manager や Sun Java System Identity Manager などの製品もそろってきているし...
|
|
|
|
Tags: identitymanagement libertyalliance provisioning saml spml
