(Translate to English)
Thursday Aug 28, 2008
SDC 連載の記事として先日寄稿した OpenSSO のアイデンティティ・サービス紹介が,
Sun の開発者向けサイトの本家である
Sun Developer Network (SDN)
でも公開された.
SDN への掲載を勧めてくれた
Pat
と
Aravindan,
そしてぼくの英訳草稿をきれいに直してくれた
Marina
に深謝.
This article starts
with a description of the four ways in which you can integrate
Web applications with OpenSSO. You then learn how to secure
the login process with OpenSSO's identity-service interfaces
in a Ruby on Rails (henceforth, Rails) sample application.
Integrating Applications With OpenSSO
そしてこれが, ぼくの Sun での最後の仕事.
8/31 付で Sun を退職し,
9/1 からは別の会社 (なんかいろんな人から 「O 社に行くの!?」 と言われるんだけど,
違いますw) にて,
アイデンティティ関係のなにかしらにからむ予定.
連絡は tatsuo.kudoATgmailDOTcom, もしくは
LinkedIn
経由でどうぞ.
ブログは
http://tkudo.blogspot.com/
をとったけど,
まだなんにも書いてない...
最後に,
お世話になったみなさま,
およびこのブログを読んでくださったみなさまに,
厚く御礼申し上げます.
どうもありがとうございました.
(Translate to English)
Wednesday Jun 18, 2008
再開したと思ったらまた先月落としてしまった
SDC 連載
「アイデンティティ管理の基礎と応用」,
今月は
OpenSSO の 「アイデンティティ・サービス」.
OpenSSOには、 その認証・認可機能やユーザ属性を外部のアプリケーションから利用するための Web サービス・インタフェースが備わっています。今回はこの 「アイデンティティ・サービス」 を用いて、 Ruby on Rails アプリケーションのログイン処理を OpenSSO と連携して行なう例をご紹介します。
アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する
アイデンティティ・サービスの使いかたとして Ruby on Rails
アプリケーションへの組み込み例
(application.rb)
を紹介してるんだけど,
Rails はおろか Ruby もまったくさわったことのなかった筆者 (くどう) が
「A_quick_and_dirty_homemade_authentication_solution in Ruby on Rails」
や Authenticate As Remote User plugin
をみながら半日くらいで書いた全くイケてないコードなので,
だれか添削してもらえたり,
ついでにプラグイン化してくれたりするとうれしいす... (ずうずうしい)
なお, 本気でアイデンティティ・サービスを活用するのであれば
- 認証情報だけでなく認可情報も利用 (/identity/authorize)
- トークンの有効性確認 (/identity/isValidToken) や,
属性を問い合わせた結果 (/identity/attributes) のキャッシング
- ロギング (/identity/log)
- クロスドメインへの対応 (OpenSSO のログイン後の後処理をフックして,
トークンを Cookie ではなくパラメータとしてブラウザからアプリケーションに
POST させる, とか)
- 負荷分散 (/identity/getCookieNameForToken だけでなく
/identity/getCookieNamesToForward も呼び出して,
amlbcookie (ユーザのセッションがどの OpenSSO インスタンスに管理されてるかを示す
Cookie) を得る)
など, 考慮すべきポイントはいろいろあるんだけど,
なにはともあれ,
とりあえず OpenSSO を入れて
(超簡単),
お手元のアプリケーション・フレームワークにてお試しいただければ幸いです.
(Translate to English)
Monday May 19, 2008
先月の Computerworld に寄稿した OpenID の記事が,
Computerworld.jp のほうに今朝転載されたみたい.
ちなみに執筆後から最近にかけての
「OpenID in the Enterprise」
を模索する動きとしては,
myOpenID for Domains
(企業 OpenID プロバイダの外部委託サービス) とか,
ClickTime
(37signals のように, 企業ユーザの OpenID を受け入れる)
とかがあった.
あと国内でも
市販のSaaSサービスを組み合わせ、セットで提供
する際の
サービス間をつなぐSSO機能
で
「OpenIDにも対応していきたい」
という記事が出てたのも, ちょっと気になるところ.
そういや一方,
salesforce.com がいよいよ SAML に対応するそうで.
たしか昔は SAML に否定的なことを言ってたような気もするけど,
なにがきっかけになったんだろうか.
勝手に推測すると, どこかの大型案件の RFP に
「SAML サービス・プロバイダとしての機能を有すること」
と書いてあった, とかかな!?
(Translate to English)
Wednesday Apr 16, 2008
ということで前回予告した通り,
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
では,
IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.
前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)
書き上げてから言うのもなんだけど,
本稿では SAML の説明自体をかなりはしょってるので,
実際に OpenSSO の 「SAML2 サンプル」
をさわってみる際には,
以下を参考にしながら進めるといいと思う.
(Translate to English)
Monday Apr 14, 2008
今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に,
『コンシューマーからエンタープライズへ ──
本格化する OpenID の明日を探る』
という記事を寄稿した.
内容は, 「IT マネージャー」 向けに
- OpenID 仕様の概要
- 最近の動向
- Web サービス・ベンダの目論見
- 「ディレクテッド・アイデンティティ」
- エンタープライズ分野への適用
- 普及への課題
を概観する, 全 6 ページ.
冒頭 2 ページの PDF が
IDG Direct
からダウンロードできるようになっているので,
よろしければご高覧くださいませ.
(Translate to English)
Wednesday Mar 12, 2008
実はまだ続いていた SDC 連載
「アイデンティティ管理の基礎と応用」,
再開一発目は
OpenSSO による
SAML 2.0 (によるフェデレーテッド SSO) の実習.
先日の
OpenID Extension for OpenSSO のときと同様,
今回は設定手順までを紹介.
実行環境の構成が若干ややこしめだけど
(ホスト名とポート名のあたりとか),
設定の内容自体は難しくないので,
あわてずあせらずじっくりどうぞ.
たぶん来月は各 OpenSSO インスタンスの前段に
tcpmon
をかませて,
IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.
ちなみに花木さんが
・1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog
とまとめている通り,
OpenSSO V1 Build 3 には
「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると
Federation モジュールが設定されない」
という, ちょっと恥ずかしいバグがある
(これに気づくまで SAML2 サンプルを動かすことができず,
かなりハマった...).
LANG=ja_JP.UTF-8 の場合
(うまく設定できてない) |
LANG=C の場合
(期待どおりの設定ができてる) |
 |
 |
次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは
env LANG=C ~/glassfish/bin/asadmin start-domain
などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく.
なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.
(Translate to English)
Wednesday Sep 19, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
の第 9 回は,
前回インストール・設定した
OpenID Extension for OpenSSO
の動作確認.
今回は、 OpenID Extension for OpenSSO (以下 OpenID Extension) の動作を確認していきます。
アイデンティティ管理の基礎と応用(9):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (2/2)
本連載では
OpenID Extension の動作に最低限必要な設定の紹介にとどまっているけど,
これを実際の運用にあたってどのように構成していくかは,
Hubert
が
OpenID.sun.com
システムに関してまとめた以下のエントリが参考になると思う.
- OpenID @ Work - Architecture
- OpenID.sun.com の提供するサービスの構成.
ぼくの書いた記事の中ではユーザの登録を OpenSSO 管理者 (amadmin) が手動で行なったり,
OpenID Identifier でポイントされる HTML を静的に置いたりしたところを,
一方の OpenID.sun.com ではユーザ登録を OpenSSO の機能を使ってセルフサービス化し,
また HTML を動的に生成しているところがポイント.
- OpenID @ Work - Infrastructure Description
- OpenID.sun.com の機器構成.
ぼくの書いた記事の中では全部をひとつの GlassFish インスタンスで実行してるところを,
OpenID.sun.com ではユーザ情報をちゃんと Directory Server に格納し,
かつ OpenSSO も含めて冗長化.
さらに前段にファイアウォール / ロード・バランサを配置して,
負荷分散と SSL の終端処理も行なっている.
なお前回と今回の記事をご覧いただくとわかるように,
OpenID Extension は OpenSSO とは独立して動作する
Web アプリケーションとして実装されている
(OpenSSO からみると, OpenID Extension は Policy Agent
インスタンスのひとつとして認識される).
つまり OpenSSO 側には単に OpenID Extension
からの通信を受けつけるための接続情報だけ登録すればよくて,
OpenSSO システムになにか特別なモジュールを組み込む必要はない.
そしてぼく自身はまだ確認できていないんだけど (すみません),
この OpenID Extension は
Sun Java System Access Manager
システムと組み合わせても動作するはず.
もしすでに Sun Java System Access Manager を導入・運用されているサイトで,
さらに OpenID プロバイダの実現可能性を探りたいという野望 (?) をお持ちのかたは,
既存の環境にほとんど影響を与えずに導入することのできる OpenID Extension
for OpenSSO を, ぜひおためしください!
(Translate to English)
Wednesday Aug 22, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
OpenID Extension for OpenSSO について.
はじめは動作確認までまとめようと思ってたんだけど,
設定手順を書くだけでけっこうな分量になってしまったので,
残りはまた来月.
OpenSSO に OpenID Extension for OpenSSO を組み合わせることによって、
OpenSSO のアクセス管理 / シングル・サインオン (SSO) アーキテクチャを最大限に活用した、
高機能な OpenID プロバイダを構築することができます。
今回は、この OpenID Extension for OpenSSO のインストールから設定までをご紹介します。
アイデンティティ管理の基礎と応用(8):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (1/2)
「365 Main が停電したせいで LiveJournal の OpenID サービスがいっとき死んだ ※」
例をひくまでもなく,
アイデンティティ・プロバイダは可用性が命
(実際にはそれだけじゃないけど).
だからこそ,
WAN 越しでマルチマスタ・レプリケーションできる LDAP ディレクトリと各コンポーネントを冗長化できるアクセス管理システムを最大限活かすことのできる,
OpenID Extension for OpenSSO をぜひどうぞ.
ちなみにいまチェックしてみたところ,
GlassFish v2 は執筆時点の RC1 から現在は
RC3 に,
OpenSSO も 20070821 版が出ているので,
これから OpenSSO を試すにはこれらの最新版を使ったほうがいいと思う.
あと OpenID Extension
も先週末までひとつバグがあったので,
もしこのフィックスが入る前のソースを使ってる場合にはアップデートをよろしくおねがいします.
※ 公平を期すために書いておくと,
弊社の外向けサイトも 365 Main にホストされてた (そして同じくダウンした)
んだよね...
(Translate to English)
Wednesday Jul 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
も,
なんだかんだいって, はや
7 回目.
前回まではどちらかというと established な技術や製品を取り扱ってきたけど,
今回からはちょっと毛色を変えて emerging な方向にいこうかと.
まずは OpenSSO
と OpenDS
のインストールから入って,
この先
OpenID Extension for OpenSSO や
OpenDS Atom Server
に手を出していくつもり.
Sun は Solaris や Java をはじめとする自社のソフトウェアのオープンソース化を推進していますが、 それはアイデンティティ管理の分野も例外ではありません。 今回はアクセス管理 / シングル・サインオン (SSO) 機能を提供する OpenSSO と、 ディレクトリ・サービスである OpenDS をご紹介します。
アイデンティティ管理の基礎と応用(7):OpenSSO と OpenDS: オープンソースの次世代 SSO / ディレクトリ
それにしても,
最近の Sun のインフラストラクチャ系のソフトウェアの導入のしやすさは驚異的だと思う.
たとえば GlassFish v2 のインストールは基本的に
- java -Xmx256m -jar glassfish-installer-v2-b50g.jar -console
- chmod -R +x lib/ant/bin
- ./lib/ant/bin/ant -f setup.xml
の 3 ステップで完了しちゃって, その昔 NetDynamics とか
Netscape Application Server (EUC-JP でどうぞ)
のプリセールス・エンジニアをやってたころの感覚からすると, まさに極楽 (おおげさでなく).
さらに OpenSSO は
- GlassFish の autodeploy ディレクトリに opensso.war をコピー
- http://host.example.com:8080/opensso にアクセス
- パスワードを指定
するだけで動作するし,
OpenDS にいたっては, その気になればインストール時にレプリケーション設定までできてしまう!
どんだけ〜 (← 使いかた合ってる?)
まー,
こういうことは 「百聞は一見にしかず」 なので,
この機会にぜひおためしくださいませ.
(Translate to English)
Thursday Jun 21, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
アイデンティティ Web サービス.
IdM の基本的なところは,
これでひととおりおさえた, かな...
相互に連携する Web サービスを、
最終的にサービスを受ける 「利用者」 を中心に置いて実行させるには、
すべての Web サービスが 「そのサービスをリクエストしている大元は誰か」
を認識することが必要です。
そのためには、
Web サービス間で 「ユーザのアイデンティティ」
を相互に流通させることが必要です。
これを実現するためのアーキテクチャが、
「アイデンティティ Web サービス」 です。
アイデンティティ管理の基礎と応用(6):アイデンティティ Web サービス:エンド・ツー・エンドのアイデンティティ連携
(Translate to English)
Friday May 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」,
第 5 回の今月はアイデンティティ・フェデレーション.
アイデンティティの文脈での 「フェデレーション」 の定義についてはいろいろあると思うけど,
ここでは以下のようにしてみた.
インテグレーション (統合) やシンクロナイゼーション (同期) ではなくフェデレーション (連携) という言葉を用いていることからもわかるように、 アイデンティティ・フェデレーションとは、 個々のアクセス管理 / SSO システムに存在するアイデンティティ情報を、 ユーザを軸として互いにひもづけることです。
アイデンティティ管理の基礎と応用(5): アイデンティティ・フェデレーション: 別々に管理されたアイデンティティ情報の連携
あくまでもひもづけの対象は 「アイデンティティ情報」 であって,
「認証の状態」 を結びつけているんじゃないんだよー, 「にんしょーれんけー」 じゃないんだよー,
ということを表現したつもりなんだけど, どんなもんだろうか.
あと Sun と Hewitt (人事アウトソーシング・サービス) との間で
Sun Java System Access Manager と
Sun Java System Federation Manager
を使ったフェデレーションが実際に運用されている事例 (もしかしたら世界初公表なのかも) は,
Sun IT の担当アーキテクトの
Yvonne Wilson
に確認したところ, 現時点では
「アーキテクチャ図とかはまだ描かないで」 とのことだった.
ということで残念ながら今回はここまでの内容にとどめざるをえなかったんだけど,
そのうちちゃんとした事例紹介として公開されるみたいなので, 乞うご期待あれ.
(Translate to English)
Thursday Apr 12, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
アクセス管理 / SSO システムについて.
不十分なアクセス制御は利便性とセキュリティの両方を低下させてしまいます。 そこで、 各システムごとに行なっていたアクセス制御を集中的に運用・管理するための基盤が、 今回ご紹介するアクセス管理 / SSO (シングル・サインオン) システムです。
アイデンティティ管理の基礎と応用(4): アクセス管理 / SSO (シングル・サインオン) システム: ユーザの利便性とセキュリティの両立
そういや, 渋谷に
sso
という居酒屋があるらしい.
これは IdM 関係者としては行かざるをえないな...
(Translate to English)
Wednesday Apr 04, 2007
月刊 Computerworld 2007 年 3 月号の拙稿
「SOA における IdM」
が,
いつのまにか
Web のほうにも転載されていた.
よろしければご一読くださいませ.
複数のアーキテクチャが混在するSOA(サービス指向アーキテクチャ)システム上で、利用者の職務や権限に応じて適切なサービスを提供するためには、利用者とサービスとの関係の変化に合わせてアイデンティティ情報を継続的に追加・変更・削除する必要がある。そこで、注目されることになるのが、SOA環境におけるアイデンティティ情報を一元的かつ統合的に管理するアイデンティティ管理である。本稿では、SOA対応のアイデンティティ管理基盤の技術概要を紹介するとともに、その導入を検討するにあたってITマネジャーが知っておくべきポイントを明らかにしたい。
SOAを技術面から支える「アイデンティティ管理」の重要性 : 本誌人気記事 - Computerworld.jp
(以下私信: だいぶ間があいてしまいましたが,
コメントどーもです > 関谷さん)
(Translate to English)
Wednesday Feb 07, 2007
「アイデンティティ管理の基礎と応用」
の第三回目は, いよいよアイデンティティ・プロビジョニングについて.
以下のポイントを理解する一助となれば光栄です.
- ユーザのアカウントとアクセス権限は、 そのユーザが置かれている立場によって決定されます。
- ユーザの立場が変化するたびにアカウントとアクセス権限を適切に付与・剥奪することが必要です。
- それを効率化するのがアイデンティティ・プロビジョニング・システムです。
- 最新の IDM 7.0
では従来バージョンのアイデンティティ・プロビジョニング機能に加え、
監査機能とサービス・プロバイダ対応機能を統合し、
統合的なアイデンティティ管理ソリューションとしてさらに進化しています。
アイデンティティ管理の基礎と応用 (3): プロビジョニング・システム: アイデンティティ・ライフサイクルの統合管理
今月の SDC SQUARE
にはぼくの IdM 連載以外にも下道さんのインタビュー記事が載ってるので,
こちらもあわせてどうぞ.
(Translate to English)
Friday Jan 26, 2007
昨年の日経ソリューションビジネスの記事が
内部統制.jp に転載されてる.
当該号を見逃したソリューション・プロバイダの方にはぜひご一読いただき,
そして
「Sun アイデンティティ・マネージメント ビジネスパートナー プログラム」
への参加をご検討いただければと存じます.
ところでいろんな意味で象徴的なのは,
本記事が出た時点で IdM 製品をリリースしていたベンダのうち,
取材されてるのが Sun
(正確には弊部の克哉さん) だけということ.
Sun 以外の他のベンダはどうしたんだろ!?
取材されたけど記事からは削られたのか,
そもそも取材対象に入ってなかったのか,
それとも...
Main
|
Next page »
|
|
|
|
英訳よかった&#...