(Translate to English)
Tuesday May 13, 2008
今月末に弊社用賀本社にて開催される表記のセミナーで,
ふたコマあるセッションのうちひとつを担当することになった.
お題は
システム上の ID 情報と実際の人事情報、きちんとリンクしてますか?
- Sun アイデンティティ管理ソリューションによる確実なアクセス権限管理の実現 -
ということで,
LiveCycle Rights Management ES
にきちんとドキュメント・コントロール
(ご参考)
を行なわせるためには,
その認証・認可のよりどころとなるユーザ情報
/ グループ情報のライフサイクル管理もきちんとできてないとダメですよー,
そのためには Sun の
Identity Manager
や
Role Manager が役立ちますよー,
というお話をさせていただく予定.
お申し込みは以下のイベント告知ページからどうぞ.
ところで余談だけど,
Rights Management ES と
Acrobat
との間でのユーザ認証状態のやりとりって,
SAML アサーションを使ってやってるみたい.
なんか, 気づかないところで地味に普及してるんだなあ...
Rights Management ES で Acrobat ユーザーが認証されるときに、
サーバーから Acrobat に SAML 認証のアサーションが返されます。
Acrobat を使用してログインした後に、Web アプリケーションにアクセスするための
SSO が SAML アサーションによって実現されます。
Acrobat で Web アプリケーションを開く場合、
ユーザーはアサーションで認証され、
ユーザー名とパスワードを入力するように求められません。
LiveCycleTM ES サービス, 54 ページ
(Translate to English)
Friday May 09, 2008
Federation Manager を説明するためにスタートレックを引き合いに出したり,
Fedlet に関してわざわざティーザー・キャンペーンしたりと,
なんか一部の人の趣味でやってるかのような (まあ, ぼくも人のことは言えないけど...)
Sun のアイデンティティ管理マーケティングが,
今度はアクション・ゲームを公開した.
社内のアイデンティティ・ブロガー向けに流れた告知メールから一部引用:
ゲームの名前は 「アイデンティティ・ヒーロー」.
プレイヤーは IT マネージャとなり,
「アクセス不許可」
「コンプライアンスの苦しみ」
「監査に引っかかる恐れ」
「企業連携の問題」
から会社を救うのだ!
このゲームをやりこむことによって,
アイデンティティ管理に関する理解が深まる...かどうかはさておき,
お昼休みの息抜きにでもどうぞ.
(Translate to English)
Thursday Apr 24, 2008
前に言及した Fedlet
が,
いよいよ最近の OpenSSO で使える状態になってる.
試してみた感じでは,
- OpenSSO の Common Tasks から
Create Hosted Identity Provider を実行し,
Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
- その流れで Create Fedlet を実行し,
Fedlet の配備先となるサービス・プロバイダ (SP) の情報
(URL とか) を指定して, その SP 特有の設定情報が詰まった
Fedlet.zip を生成
- 産みおとされた Fedlet.zip から fedlet.war を抽出し,
SP 側のアプリケーション・サーバに配備
- IdP と SP との間での疎通テスト
という具合に, 簡単に SP 側の 「SAML の受け口」
を設定することができて, ちょっと感動.
Fedlet 入り OpenSSO
のダウンロードは以下からどうぞ.
(Translate to English)
Monday Apr 14, 2008
今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に,
『コンシューマーからエンタープライズへ ──
本格化する OpenID の明日を探る』
という記事を寄稿した.
内容は, 「IT マネージャー」 向けに
- OpenID 仕様の概要
- 最近の動向
- Web サービス・ベンダの目論見
- 「ディレクテッド・アイデンティティ」
- エンタープライズ分野への適用
- 普及への課題
を概観する, 全 6 ページ.
冒頭 2 ページの PDF が
IDG Direct
からダウンロードできるようになっているので,
よろしければご高覧くださいませ.
(Translate to English)
Friday Apr 11, 2008
来週水曜日の夕方に Sun の用賀本社にて行なわれる
「2 時間で学ぶ今月の Java ホットトピック (4 月号)」
で,
岩片さんが
OpenSSO の紹介をするとのこと.
お申し込みは以下からどうぞ.
ぼくも行こうと思ってたんだけど,
当日はどうも別件が入りそう. 残念...
(Translate to English)
Thursday Apr 03, 2008
ついさきほど,
OpenSSO V1 Build 4 が download.java.net に置かれた模様.
今回の変更点は, リリース・ノートによれば以下の通り:
- OpenSSO コンフィグレータ (初期設定ウィザード) が新しくなった
- STS サービスが GlassFish, Sun Java System Application Server,
Sun Java System Web Server,
Geronimo, Tomcat, そして WebSphere で利用可能になった
- シンプルな STS クライアントのサンプルが付属するようになった
- OpenDS を内蔵設定ストアとして使用している場合に,
その OpenDS を複数の OpenSSO インスタンス間でレプリケーションさせることが可能になった
- セキュリティ / SSL 関連の修正が行なわれた
- そのほかいろいろなバグが修正された
(こないだの恥ずかしい I18N バグも直ってる.
わーい)
(Translate to English)
Tuesday Apr 01, 2008
I have very little knowledge on both
Shibboleth
specification and implementation however, It seems easy to
integrate
Sun Java System Access Manager /
OpenSSO
with it to
centralize user authentication into single access management
infrastructure and provide some other strong authentication methods such as client certificate,
finger vein etc.
The integration
point is REMOTE_USER variable between the Shibboleth IdP and
Application Server with Policy Agent, just like what
Paul did for
Sun Secure Global Desktop / Access Manager integration.
Sets the principal name in the IdP to REMOTE_USER as
determined by the web server or container's authentication,
similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki
The user ID value is used by the agent to set the value of the
REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)
The key step here (doco)
in order to get it working is to modify the Tomcat server.xml
to look like the following, this ensures that Apache forwards
the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat
Here's a simple diagram. Let me know if I missed something.
(Translate to English)
Tuesday Mar 25, 2008
メタディレクトリはもう死んでるのかどうかをめぐって,
Dave Kearns 氏と
Kim Cameron 氏が妙にアツい論争をくりひろげてる.
斜め読みしただけなのでもしかしたら外してるかもしれないけど,
どうも両者ともちょっとズレてるようにみえる.
まず Dave の
「バーチャル・ディレクトリがあればメタディレクトリなんて要らないんじゃね?」
という主張にムリがある.
Application developers like to use databases and tables
だし,
いくら社員情報の最新版が人事システムに入ってるからといって,
バーチャル・ディレクトリ経由で毎回毎回問い合わせたりはしない
(ふつうは offload information from the HR system to other systems
する).
かといって Kim の言う通り,
メタディレクトリがいまでも必要とされているのかというと,
それも違う.
たしかに昔は 「システム間でのアイデンティティ情報の変換・同期
(= メタディレクトリ)」
だけで良かったけど,
最近は同期そのものよりも,
その処理を 「どのような立場の誰がどのように承認するか」 とか
「いつ実行するか」 とかいった,
いわゆるワークフロー的な機能が重要になってきてて,
だからこそ
Sun Java System Identity Manager
のようなアイデンティティ・プロビジョニング製品の市場が盛り上がってきてるわけで.
まあ Microsoft はちゃんとしたアイデンティティ・プロビジョニング製品を持ってないので,
中の人である Kim はメタディレクトリを推さざるを得ないのかもしれないけど.
結局のところ, 両者の話がこじれてるのは,
「メタディレクトリは死んだ」
の主犯に
「バーチャル・ディレクトリ」 を挙げてしまったせいだと思う.
最初に
「アイデンティティ・プロビジョニングがメタディレクトリに引導を渡した」
と書いてれば良かったのに...
(Translate to English)
Monday Mar 24, 2008
ソースは脳内 (すみません). こないだ出てた
という調査結果をみて,
なんかこれって数年前のフィード・リーダーの普及状況と似てるなあと思っただけ.
ちょっと検索してみたら, 3 年半前はこんな感じ↓だったらしい.
RSSリーダーの利用者は全体の4.7%で、あまり利用されていないことが明らかになった。
CNET Japan, 2004 年 8 月 11 日
で, 昨年の調査結果は以下. こちらは 「使っている」 ではなくて 「使ったことがある」 だけど.
RSS リーダーの「利用経験がある」人も、過去調査では16〜18%程度であった値が、今回はついに2割を越えている。
japan.internet.com, 2007 年 4 月 6 日
いま多くのサイトにフィードがついてるのと同じように,
もしかしたら OpenID もこの先 2, 3 年たったら,
いろんな Web サイトが受け入れるようになる
(リライング・パーティになる) かも.
けど一方 OpenID を自覚的に使うユーザは,
その段階でも全体の 2 割くらいに留まるんじゃないだろうか.
(Translate to English)
Monday Mar 24, 2008
って, なぜに The Matrix 風味?
(Via: Daniel)
(Translate to English)
Tuesday Mar 18, 2008
昨日、サイボウズ・ラボにてIdentity Conference #01を開催しました。
Identity Conference #01を開催しました - Yet Another Hackadelic
ということで,
おととい (日曜日) 会社の近くで開催された
Identity Conference #01 + 第 2 回アイデンティティ飲み会に行ってきた.
勉強会のほうでひとコマ 30 分ほど
「技術比較: OpenID と SAML」
の紹介をさせていただいたんだけど,
なんかグダグダですみませんでした...
ZIGOROu さん,
きれいにまとめてくださってありがとうございます...
そういや,
ぼくが言った 「OpenID Provider と Relying Party の総当たりテスト」 って,
OSIS のやつです.
ご参考まで.
あと,
自分の保有する複数のディジタル・アイデンティティを束ねるという意味では
CardSpace とか
Clickpass
とか,
もっと単純に OpenID Authentication 2.0 の
Directed Identity
なんじゃないかなと思ったけど,
Relying Party の特徴とか, いま現在のコンテクストをみて
「このような場ではこのようなアイデンティティが適切でしょう」
と教えてくれるアイデンティティ・プロバイダ
(あえて OpenID Provider と限定しない)
は, たしかにおもしろそう.
勝手に名づけるなら, Suggested Identity
ってとこかな.
(Translate to English)
Friday Mar 07, 2008
詳細は知らないけど,
近々 OpenSSO プロジェクトに Fedlet
というものが登場するらしい.
これは気になる...
Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?
来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します.
この Fedlet は基本的には軽量版の SAML2 SDK であり,
Post プロファイルに対応し (訳注: Artifact には対応しないってことかな),
既存のアプリケーションをフェデレーション対応にするためのものです.
加えて, コンソールから設定タスクが実行できます.
この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む,
設定済みの zip ファイルを作成することができるようになります.
今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.
Subject: Ready made SP? - opensso: Mail reader
(Translate to English)
Tuesday Mar 04, 2008
過去に何回か言及してきた
(2004 年 12 月,
2005 年 1 月,
2005 年 12 月)
HP のアイデンティティ管理ビジネスだけど,
Burton Group 曰く
HP のソフトウェア部門は,
アイデンティティ管理製品への投資をもっぱら既存顧客のために行なうこととし,
新規顧客や市場シェアの獲得に対する投資は行なわないことに決定した
そうで.
HP Software has decided to focus its investment in identity management products exclusively on existing customers and not on pursuing additional customers or market share.
Burton Group Identity Blog: HP's Identity Retrenchment
実は少し前に別の人の
HP choose to not sell it’s Identity Management products any more.
Martin Kuppinger » HP - will they ever understand Software Business?
というエントリを読んで,
「これネタにしたいなー. でも確証がないからちょっとやめとこう」
ということになってたんだけど (脳内で),
Burton Group のエントリに
spoke to HP Software Vice President of Products Eric Vishria
とあるのをみると,
どうもホントっぽい.
んー, どうすんだろ.
(Translate to English)
Friday Feb 22, 2008
I've just found that the bits showed up on opensso/stable directory.
Release Notes also available.
(Translate to English)
Thursday Feb 21, 2008
For the record - you have to modify domain.xml as follows before
configuring the latest nightly build, 20080219.1
of OpenSSO (aka Federated Access Manager 8.0)
on
GlassFish V2 UR1:
Edit domain.xml and change the
following options to
<jvm-options>-server</jvm-options>
from
originally it was
<jvm-options>-client</jvm-options>
Install of opensso on glassfish - opensso: Mail reader
Thanks Sujatha for
the follow-up post
on users at opensso.dev.java.net.
Main
|
Next page »
|
|
|
|
ほー、しらな&#...