(Translate to English)
Wednesday Apr 16, 2008
ということで前回予告した通り,
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
では,
IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.
前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)
書き上げてから言うのもなんだけど,
本稿では SAML の説明自体をかなりはしょってるので,
実際に OpenSSO の 「SAML2 サンプル」
をさわってみる際には,
以下を参考にしながら進めるといいと思う.
(Translate to English)
Monday Apr 14, 2008
今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に,
『コンシューマーからエンタープライズへ ──
本格化する OpenID の明日を探る』
という記事を寄稿した.
内容は, 「IT マネージャー」 向けに
- OpenID 仕様の概要
- 最近の動向
- Web サービス・ベンダの目論見
- 「ディレクテッド・アイデンティティ」
- エンタープライズ分野への適用
- 普及への課題
を概観する, 全 6 ページ.
冒頭 2 ページの PDF が
IDG Direct
からダウンロードできるようになっているので,
よろしければご高覧くださいませ.
(Translate to English)
Wednesday Mar 12, 2008
実はまだ続いていた SDC 連載
「アイデンティティ管理の基礎と応用」,
再開一発目は
OpenSSO による
SAML 2.0 (によるフェデレーテッド SSO) の実習.
先日の
OpenID Extension for OpenSSO のときと同様,
今回は設定手順までを紹介.
実行環境の構成が若干ややこしめだけど
(ホスト名とポート名のあたりとか),
設定の内容自体は難しくないので,
あわてずあせらずじっくりどうぞ.
たぶん来月は各 OpenSSO インスタンスの前段に
tcpmon
をかませて,
IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.
ちなみに花木さんが
・1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog
とまとめている通り,
OpenSSO V1 Build 3 には
「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると
Federation モジュールが設定されない」
という, ちょっと恥ずかしいバグがある
(これに気づくまで SAML2 サンプルを動かすことができず,
かなりハマった...).
LANG=ja_JP.UTF-8 の場合
(うまく設定できてない) |
LANG=C の場合
(期待どおりの設定ができてる) |
 |
 |
次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは
env LANG=C ~/glassfish/bin/asadmin start-domain
などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく.
なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.
(Translate to English)
Wednesday Sep 19, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
の第 9 回は,
前回インストール・設定した
OpenID Extension for OpenSSO
の動作確認.
今回は、 OpenID Extension for OpenSSO (以下 OpenID Extension) の動作を確認していきます。
アイデンティティ管理の基礎と応用(9):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (2/2)
本連載では
OpenID Extension の動作に最低限必要な設定の紹介にとどまっているけど,
これを実際の運用にあたってどのように構成していくかは,
Hubert
が
OpenID.sun.com
システムに関してまとめた以下のエントリが参考になると思う.
- OpenID @ Work - Architecture
- OpenID.sun.com の提供するサービスの構成.
ぼくの書いた記事の中ではユーザの登録を OpenSSO 管理者 (amadmin) が手動で行なったり,
OpenID Identifier でポイントされる HTML を静的に置いたりしたところを,
一方の OpenID.sun.com ではユーザ登録を OpenSSO の機能を使ってセルフサービス化し,
また HTML を動的に生成しているところがポイント.
- OpenID @ Work - Infrastructure Description
- OpenID.sun.com の機器構成.
ぼくの書いた記事の中では全部をひとつの GlassFish インスタンスで実行してるところを,
OpenID.sun.com ではユーザ情報をちゃんと Directory Server に格納し,
かつ OpenSSO も含めて冗長化.
さらに前段にファイアウォール / ロード・バランサを配置して,
負荷分散と SSL の終端処理も行なっている.
なお前回と今回の記事をご覧いただくとわかるように,
OpenID Extension は OpenSSO とは独立して動作する
Web アプリケーションとして実装されている
(OpenSSO からみると, OpenID Extension は Policy Agent
インスタンスのひとつとして認識される).
つまり OpenSSO 側には単に OpenID Extension
からの通信を受けつけるための接続情報だけ登録すればよくて,
OpenSSO システムになにか特別なモジュールを組み込む必要はない.
そしてぼく自身はまだ確認できていないんだけど (すみません),
この OpenID Extension は
Sun Java System Access Manager
システムと組み合わせても動作するはず.
もしすでに Sun Java System Access Manager を導入・運用されているサイトで,
さらに OpenID プロバイダの実現可能性を探りたいという野望 (?) をお持ちのかたは,
既存の環境にほとんど影響を与えずに導入することのできる OpenID Extension
for OpenSSO を, ぜひおためしください!
(Translate to English)
Wednesday Aug 22, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
OpenID Extension for OpenSSO について.
はじめは動作確認までまとめようと思ってたんだけど,
設定手順を書くだけでけっこうな分量になってしまったので,
残りはまた来月.
OpenSSO に OpenID Extension for OpenSSO を組み合わせることによって、
OpenSSO のアクセス管理 / シングル・サインオン (SSO) アーキテクチャを最大限に活用した、
高機能な OpenID プロバイダを構築することができます。
今回は、この OpenID Extension for OpenSSO のインストールから設定までをご紹介します。
アイデンティティ管理の基礎と応用(8):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (1/2)
「365 Main が停電したせいで LiveJournal の OpenID サービスがいっとき死んだ ※」
例をひくまでもなく,
アイデンティティ・プロバイダは可用性が命
(実際にはそれだけじゃないけど).
だからこそ,
WAN 越しでマルチマスタ・レプリケーションできる LDAP ディレクトリと各コンポーネントを冗長化できるアクセス管理システムを最大限活かすことのできる,
OpenID Extension for OpenSSO をぜひどうぞ.
ちなみにいまチェックしてみたところ,
GlassFish v2 は執筆時点の RC1 から現在は
RC3 に,
OpenSSO も 20070821 版が出ているので,
これから OpenSSO を試すにはこれらの最新版を使ったほうがいいと思う.
あと OpenID Extension
も先週末までひとつバグがあったので,
もしこのフィックスが入る前のソースを使ってる場合にはアップデートをよろしくおねがいします.
※ 公平を期すために書いておくと,
弊社の外向けサイトも 365 Main にホストされてた (そして同じくダウンした)
んだよね...
(Translate to English)
Wednesday Jul 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
も,
なんだかんだいって, はや
7 回目.
前回まではどちらかというと established な技術や製品を取り扱ってきたけど,
今回からはちょっと毛色を変えて emerging な方向にいこうかと.
まずは OpenSSO
と OpenDS
のインストールから入って,
この先
OpenID Extension for OpenSSO や
OpenDS Atom Server
に手を出していくつもり.
Sun は Solaris や Java をはじめとする自社のソフトウェアのオープンソース化を推進していますが、 それはアイデンティティ管理の分野も例外ではありません。 今回はアクセス管理 / シングル・サインオン (SSO) 機能を提供する OpenSSO と、 ディレクトリ・サービスである OpenDS をご紹介します。
アイデンティティ管理の基礎と応用(7):OpenSSO と OpenDS: オープンソースの次世代 SSO / ディレクトリ
それにしても,
最近の Sun のインフラストラクチャ系のソフトウェアの導入のしやすさは驚異的だと思う.
たとえば GlassFish v2 のインストールは基本的に
- java -Xmx256m -jar glassfish-installer-v2-b50g.jar -console
- chmod -R +x lib/ant/bin
- ./lib/ant/bin/ant -f setup.xml
の 3 ステップで完了しちゃって, その昔 NetDynamics とか
Netscape Application Server (EUC-JP でどうぞ)
のプリセールス・エンジニアをやってたころの感覚からすると, まさに極楽 (おおげさでなく).
さらに OpenSSO は
- GlassFish の autodeploy ディレクトリに opensso.war をコピー
- http://host.example.com:8080/opensso にアクセス
- パスワードを指定
するだけで動作するし,
OpenDS にいたっては, その気になればインストール時にレプリケーション設定までできてしまう!
どんだけ〜 (← 使いかた合ってる?)
まー,
こういうことは 「百聞は一見にしかず」 なので,
この機会にぜひおためしくださいませ.
(Translate to English)
Thursday Jun 21, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
アイデンティティ Web サービス.
IdM の基本的なところは,
これでひととおりおさえた, かな...
相互に連携する Web サービスを、
最終的にサービスを受ける 「利用者」 を中心に置いて実行させるには、
すべての Web サービスが 「そのサービスをリクエストしている大元は誰か」
を認識することが必要です。
そのためには、
Web サービス間で 「ユーザのアイデンティティ」
を相互に流通させることが必要です。
これを実現するためのアーキテクチャが、
「アイデンティティ Web サービス」 です。
アイデンティティ管理の基礎と応用(6):アイデンティティ Web サービス:エンド・ツー・エンドのアイデンティティ連携
(Translate to English)
Friday May 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」,
第 5 回の今月はアイデンティティ・フェデレーション.
アイデンティティの文脈での 「フェデレーション」 の定義についてはいろいろあると思うけど,
ここでは以下のようにしてみた.
インテグレーション (統合) やシンクロナイゼーション (同期) ではなくフェデレーション (連携) という言葉を用いていることからもわかるように、 アイデンティティ・フェデレーションとは、 個々のアクセス管理 / SSO システムに存在するアイデンティティ情報を、 ユーザを軸として互いにひもづけることです。
アイデンティティ管理の基礎と応用(5): アイデンティティ・フェデレーション: 別々に管理されたアイデンティティ情報の連携
あくまでもひもづけの対象は 「アイデンティティ情報」 であって,
「認証の状態」 を結びつけているんじゃないんだよー, 「にんしょーれんけー」 じゃないんだよー,
ということを表現したつもりなんだけど, どんなもんだろうか.
あと Sun と Hewitt (人事アウトソーシング・サービス) との間で
Sun Java System Access Manager と
Sun Java System Federation Manager
を使ったフェデレーションが実際に運用されている事例 (もしかしたら世界初公表なのかも) は,
Sun IT の担当アーキテクトの
Yvonne Wilson
に確認したところ, 現時点では
「アーキテクチャ図とかはまだ描かないで」 とのことだった.
ということで残念ながら今回はここまでの内容にとどめざるをえなかったんだけど,
そのうちちゃんとした事例紹介として公開されるみたいなので, 乞うご期待あれ.
(Translate to English)
Thursday Apr 12, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
アクセス管理 / SSO システムについて.
不十分なアクセス制御は利便性とセキュリティの両方を低下させてしまいます。 そこで、 各システムごとに行なっていたアクセス制御を集中的に運用・管理するための基盤が、 今回ご紹介するアクセス管理 / SSO (シングル・サインオン) システムです。
アイデンティティ管理の基礎と応用(4): アクセス管理 / SSO (シングル・サインオン) システム: ユーザの利便性とセキュリティの両立
そういや, 渋谷に
sso
という居酒屋があるらしい.
これは IdM 関係者としては行かざるをえないな...
(Translate to English)
Wednesday Apr 04, 2007
月刊 Computerworld 2007 年 3 月号の拙稿
「SOA における IdM」
が,
いつのまにか
Web のほうにも転載されていた.
よろしければご一読くださいませ.
複数のアーキテクチャが混在するSOA(サービス指向アーキテクチャ)システム上で、利用者の職務や権限に応じて適切なサービスを提供するためには、利用者とサービスとの関係の変化に合わせてアイデンティティ情報を継続的に追加・変更・削除する必要がある。そこで、注目されることになるのが、SOA環境におけるアイデンティティ情報を一元的かつ統合的に管理するアイデンティティ管理である。本稿では、SOA対応のアイデンティティ管理基盤の技術概要を紹介するとともに、その導入を検討するにあたってITマネジャーが知っておくべきポイントを明らかにしたい。
SOAを技術面から支える「アイデンティティ管理」の重要性 : 本誌人気記事 - Computerworld.jp
(以下私信: だいぶ間があいてしまいましたが,
コメントどーもです > 関谷さん)
(Translate to English)
Wednesday Feb 07, 2007
「アイデンティティ管理の基礎と応用」
の第三回目は, いよいよアイデンティティ・プロビジョニングについて.
以下のポイントを理解する一助となれば光栄です.
- ユーザのアカウントとアクセス権限は、 そのユーザが置かれている立場によって決定されます。
- ユーザの立場が変化するたびにアカウントとアクセス権限を適切に付与・剥奪することが必要です。
- それを効率化するのがアイデンティティ・プロビジョニング・システムです。
- 最新の IDM 7.0
では従来バージョンのアイデンティティ・プロビジョニング機能に加え、
監査機能とサービス・プロバイダ対応機能を統合し、
統合的なアイデンティティ管理ソリューションとしてさらに進化しています。
アイデンティティ管理の基礎と応用 (3): プロビジョニング・システム: アイデンティティ・ライフサイクルの統合管理
今月の SDC SQUARE
にはぼくの IdM 連載以外にも下道さんのインタビュー記事が載ってるので,
こちらもあわせてどうぞ.
(Translate to English)
Friday Jan 26, 2007
昨年の日経ソリューションビジネスの記事が
内部統制.jp に転載されてる.
当該号を見逃したソリューション・プロバイダの方にはぜひご一読いただき,
そして
「Sun アイデンティティ・マネージメント ビジネスパートナー プログラム」
への参加をご検討いただければと存じます.
ところでいろんな意味で象徴的なのは,
本記事が出た時点で IdM 製品をリリースしていたベンダのうち,
取材されてるのが Sun
(正確には弊部の克哉さん) だけということ.
Sun 以外の他のベンダはどうしたんだろ!?
取材されたけど記事からは削られたのか,
そもそも取材対象に入ってなかったのか,
それとも...
(Translate to English)
Thursday Jan 18, 2007
月刊 COMPUTERWORLD の今月号の特集
「SOA[はじめの一歩]」
に,
「SOA を技術面から支える 『アイデンティティ管理』 の重要性」
という記事を寄稿した.
アイデンティティ・プロビジョニングとアイデンティティ・フェデレーションを紹介し,
IdM システムの構築ポイントを解説する, 全 8 ページ.
「認証基盤」 や 「メタディレクトリ」 のイケてなさを揶揄したり,
アイデンティティ監査機能にからめて
Sun Java System Identity Manager
の職務分掌リポートのスクリーンショットを公開したり,
Liberty ID-WSF のユースケース例をこと細かに説明したりと,
かなり自由に書かせていただいた
(河原さん, 大川さん, お世話になりました).
ぜひご一読いただければ幸いです.
(Translate to English)
Friday Dec 22, 2006
先月から
SDC
で始めた
アイデンティティ管理の月いち連載,
第二回目はディレクトリ・システム.
それにしても, Ludo が紹介してる
Sun Java System Directory Server の事例 @ sina.com
はすごいなー.
それまで Linux を動かしてた 30 台の Dell 製 Xeon サーバを
12 台の Solaris 10 on Sun Fire T1000 でリプレースして, その上で
1 億 2,000 万エントリの入った LDAP サービスを運用してるらしい.
しかも,
将来的には 6 億エントリに拡張することを計画してるそうだ.
(Translate to English)
Wednesday Nov 08, 2006
今日更新された
Sun Enterprise News
のほうでも紹介されてたけど,
今月から
Java System Developer Connection
(Sun Java System 製品の技術情報を提供するページ)
にて
IdM に関する月いち連載を担当することになった.
第一回は
「アイデンティティ管理システムとはなんぞや」
というお話.
|
|
|
|
(hatena?) star++;