RCSL: 関係継続性ソケット・レイヤ
(Translate to English)Friday Feb 16, 2007
またもや Burton Group ネタ, しかも直近の IdM 商売にはたぶん直接結びつかない話.
Mike Neuenschwander という人が Relational Continuity Sockets Layer (略して RCSL: 「アーシズル」 と読ませたいらしい) という概念を提唱してる.
... a kind of
SSLsessions for relationships - for now I'll call it Relational Continuity Sockets Layer. It would allow multiple participants to interact on a channel that is secure for the duration of the relationship or at least one risk cycle (this means longer-lived sessions than SSL) and allows for relation IDs (similar to session IDs).
Burton Group Identity Blog: Law of Relational Risk
これに対する Mark Wahl のフォローアップもあわせてどうぞ.
This RCSL abstraction has several promising benefits for use in identity relationships.
Identity relationship management and the Relational Continuity Sockets Layer abstraction (2007/2/7) - LDAP.com - Commentary by Mark Wahl, CISA
ユーザを認証したあとどのようなサービスを提供するか (認可するか) については, 事前にユーザに付与しておいたアクセス権限情報やそれらをたばねるロール情報を使って決定することができる. しかし場合によってはあらかじめ設定されていない / 設定できない情報もとにして認可決定したいこともあるはずだ.
たとえば
- 第三者機関の管理する, そのユーザの与信情報
- どこかのネット・オークションでの, そのユーザの取引評価
- あるソーシャル・ネットワーキング・サービスでの, そのユーザの友達リスト
などなど.
これらの情報はいまはアプリケーション・レベルで扱われてる (外部に問い合わせたりするためのロジックを書いてる) けど, それをもっと下の, SSL 的な位置で処理したらどうよ!? というのが, この RCSL というコンセプト (だと思う. 斜め読み). こういう 「信頼関係をミドルウェアで処理するスキーム」 といえば昔あったアイデントラス / エレノアが有名だけど (← 反論は受けつけません), 「ソケット・レイヤ」 という命名や, リピュテーションの活用を考えているあたりがいかにも今風にみえる.
だれか SAML ベースで RCSL 実装しないかなあ. Authentication, Attribute, Authorization Decision に次ぐ第四のステートメントとして Reputation Statement を定義. で, それを含むアサーションの発行主体となるのが Reputation Authority. 「いまアクセスしてきてるユーザと自分とはどういう関係なのか」 という質問をサービス・プロバイダから受けた Reputation Authority は, そのユーザに関するいろいろな評判の収集と, それがサービス・プロバイダに対してどのような意味をもつかを分析し, そして Reputation Statement を含む SAML アサーションをサービス・プロバイダに返却. それをもとに, サービス・プロバイダはサービスの内容を変化させる. なんかかっこよさげだ!
|
|
|
|
Tags: burtongroup identitymanagement saml
