(Translate to English)
Tuesday May 29, 2007
来月のイベント告知をもう一本.
Interop Tokyo 2007
のコンファレンスにて, パネルに参加することになった.
お題はアイデンティティ管理.
- 6月15日 14:00~15:30
- C25 アイデンティティ管理の最新トレンド ~Lightweight Open認証技術群~
- ■ 講師 Chair /Speaker
- Chair
- 高橋 健司 NTT情報流通プラットフォーム研究所
- Speakers
- 工藤 達雄 サン・マイクロシステムズ株式会社
- 小野田 哲也 マイクロソフト株式会社
- 崎村 夏彦 株式会社野村総合研究所
セッション名とスピーカーのバックグラウンドを見た感じ,
内容的には SAML/Liberty, CardSpace, OpenID ネタがいろいろ出そう.
そしてぼくには SAML/Liberty の帽子をかぶることを期待されているっぽいなんだけど,
そうするべきなのかどうか, ちょっと悩み中.
モデレータ役の高橋さんに 「『アイデンティティ管理』 って言いながら 『にんしょー』
しか話題にしないのって, なんか不十分じゃないですか?
アクセス権限のライフサイクル管理の話もしないと意味無いんじゃないですか?
あとたぶん他のお二方は B2C
の世界のアイデンティティしか対象にしないんじゃないかと思いますが,
エンタープライズでのアイデンティティ管理 (つうかプロビジョニング / 監査)
には言及しなくてもいいんですか?」
的な質問をしたところ
「そのあたりも語ってもらって結構ですよ」
という回答を一応もらってるんだけど,
副題の 「Lightweight Open 認証技術群」 からは,
かなり外れてるかも.
社会人らしく 「SAML/Liberty 大好きっ子」 をまっとうするか,
「にんしょーにんしょー言う前に,
アクセス権限の付与・剥奪をどうやって管理するか考えないと意味ないじゃん」
と, 空気を読まずに主張するか,
うーん, どうしようかな.
とりあえず考え中...
(Translate to English)
Friday May 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」,
第 5 回の今月はアイデンティティ・フェデレーション.
アイデンティティの文脈での 「フェデレーション」 の定義についてはいろいろあると思うけど,
ここでは以下のようにしてみた.
インテグレーション (統合) やシンクロナイゼーション (同期) ではなくフェデレーション (連携) という言葉を用いていることからもわかるように、 アイデンティティ・フェデレーションとは、 個々のアクセス管理 / SSO システムに存在するアイデンティティ情報を、 ユーザを軸として互いにひもづけることです。
アイデンティティ管理の基礎と応用(5): アイデンティティ・フェデレーション: 別々に管理されたアイデンティティ情報の連携
あくまでもひもづけの対象は 「アイデンティティ情報」 であって,
「認証の状態」 を結びつけているんじゃないんだよー, 「にんしょーれんけー」 じゃないんだよー,
ということを表現したつもりなんだけど, どんなもんだろうか.
あと Sun と Hewitt (人事アウトソーシング・サービス) との間で
Sun Java System Access Manager と
Sun Java System Federation Manager
を使ったフェデレーションが実際に運用されている事例 (もしかしたら世界初公表なのかも) は,
Sun IT の担当アーキテクトの
Yvonne Wilson
に確認したところ, 現時点では
「アーキテクチャ図とかはまだ描かないで」 とのことだった.
ということで残念ながら今回はここまでの内容にとどめざるをえなかったんだけど,
そのうちちゃんとした事例紹介として公開されるみたいなので, 乞うご期待あれ.
(Translate to English)
Wednesday Jan 24, 2007
今週月曜に開催された Liberty 2.0 Workshop
のスライドが公開されている.
そういえば,
openLiberty に関する
CNET Japan の翻訳記事にはちょっと誤訳が入ってる.
実際に仕様を採用したい場合は、Liberty Alliance に加入する必要がある
と書かれてるけど,
原文は
Anyone who wants to work on the actual specifications still has to join the alliance
だから, これは 「(Liberty の) 仕様の策定作業に関わる場合には,
Liberty Allianceに加入する必要がある」 とすべきだ.
実際
FAQ
でも,
This community will include some members from the Liberty Alliance, but membership in the Liberty Alliance is not required to participate in openLiberty
(Liberty Alliance のメンバーシップがなくても openLiberty に参加できます)
と表明してる.
(Translate to English)
Tuesday Nov 28, 2006
jp.sun.com のホーム・ページにも掲示されている通り,
来週末 (12 月 8 日 金曜日), 用賀にて
Sun ソフトウェアてんこもりのイベントを開催する.
イベントの全体はきっと徹さんや大渕さんが紹介すると思うので,
ここではアイデンティティ管理関連のセッションをピックアップ:
ぼくは今回ビジネス・ガバナンス・プロジェクトの帽子をかぶって,
Sun の内部統制ソリューション全般をご紹介する予定.
ということで,
実はこの日はほかにもいろいろイベントが重なってたりしますが,
こちらにもぜひご来場いただければありがたいです...
(Translate to English)
Thursday Nov 16, 2006
b.s.c. に
Web 2.0 Summit
のまとめがあがってた.
分量は多いけど, トピックの一つひとつが簡潔にまとめられてて非常に読みやすい.
個人的に興味をひいたのはやっぱりアイデンティティねた.
Yahoo! の BBAuth について
API をインターネットに公開し, みんなの好きなように使わせてみよう
だとか
まず連携機能を提供して, それから商売につなげよう
だとかっていう考え方はもちろん理解できる.
けど, それが成り立つのは Yahoo! が圧倒的な数のユーザ・アカウント
(登録ユーザが 5 億人
) をもってるからだよなー.
サービス・プロバイダからしてみれば,
そのユーザのごく一部 (0.01% だったとしても 5 万人)
でも自分のサービスに引きこむことで,
じゅうぶん商売としてイケると見込むところもあるだろう.
ただそうすると,
その Yahoo! の 1/100, 1/1000 くらいのユーザ・ベースしかなくて,
しかし Yahoo! と同様にユーザ構成に特徴のないところが提供する独自認証
API には, はたしてどういう価値があるのだろうか?
たとえばはてな認証API や
JugemKey
を使って引き合いを増やしたいと思うサービス提供者って, どういうとこだろう?
ぼくにはちょっと思いつかないんだけど...
結局アイデンティティ情報の大元となる主体 (アイデンティティ・プロバイダ) は,
抱えているアイデンティティの量か質のどちらかが突き抜けていないと,
(ユーザを引き込もうと画策してる) サービス提供者に対して訴求することは難しい.
Yahoo! はまぎれもなく前者の典型だし,
あとは銀行や通信事業者, 行政機関とかも候補に挙がるだろう.
後者は顧客のセグメンテーションがはっきりしてることが条件.
たとえばプライベート・バンキングだとかサービス・アパートメントをやってるところがアイデンティティ・プロバイダ業務をはじめたら,
そことつながりたいと思うサービス提供者はきっと山のようにいるはずだ.
ただそういうところがゼロから認証 API を設計するのはきっと難しい
(というか, 割に合わない).
そうするとやっぱりすでにある標準仕様やベスト・プラクティスに乗るのが手っ取り早いわけで,
Liberty Alliance
はもしかしたらこういうところにもウケるのかもなー, と想像してみたり.
(Translate to English)
Wednesday Nov 01, 2006
今朝方 java.net から来てた
CVS Digest メールがやけにサイズ大きいなーと思ったら,
ついに
OpenSSO
へアイデンティティ・フェデレーションのコードがチェックインされたようだ.
この他にも最近の OpenSSO は,
Lightbulb (PHP ベースの SAML 2.0 対応サービス・プロバイダ)
や
J2EE ポリシー・エージェントが公開されたりと,
かなりいい感じ.
そういえば昨日 Liberty Alliance Day 2006 の展示会場で
Pat 本人に Lightbulb のデモを見せてもらったんだけど,
an initial version
のくせに,
ちゃんと真面目にアサーションのディジタル署名の検証を実装してるあたりが個人的には超ウケた.
さすがその昔,
某 Identrus 対応 XML メッセージング製品のプロダクト・マネージャをつとめてただけのことはある...
(Translate to English)
Monday Oct 16, 2006
8 月に開催し, 多くの方のご参加をいただいた
「アイデンティティ管理ソリューション活用セミナー」 を,
来月の 9 日にもう一度行なうことになった.
実際の適用例として,
今回は岩片さんがパスワード管理について説明する予定.
一方, ぼくの担当するセッションは前回と同じく, IdM の基本と将来の動向について.
つまりまとめると
- 『アイデンティティ管理・監査の基礎と応用』 では
「認証基盤」 から 「内部統制」 まで, IdM にまつわるいろいろを概観し,
- 『異機種混在環境でのパスワード管理と同期手法』 では典型的な IdM 適用パターンのひとつを紹介して,
- 『アイデンティティ管理に関する標準化動向』 では SAML 2.0 や SPML 2.0 を見据える
という感じの 2 時間半,
どうぞよろしくお願いします.
(Translate to English)
Thursday Oct 12, 2006
リバティ・アライアンスが今年も国内でカンファレンスを開催する.
日時は 10 月 30 日 (月) の 13:00 から, 場所は青山ダイヤモンドホール,
参加費用は無料. 事前登録は Web から.
プログラムをざっとながめた感じでは,
個人的には
あたりが気になるんだけど,
ぼく自身はきっと昨年と同様,
Sun Java System Identity Manager のデモにかかりっきりの予感...
いずれにしても,
タダ酒タダ飯カクテルレセプションの時間が
18:10-20:00 と長めにとってあるのは実はなにげにポイント高いと思うので,
みなさま奮ってお申し込み下さい.
(Translate to English)
Tuesday Oct 03, 2006
午後はブレイクアウト・セッション 5 コマ.
時差ボケの頭にはつらい...
- 13:15: A Tale of Two Identity Management Projects
- オーストラリアの人による, ふたつの IdM 導入記.
あるプロジェクトでは Sun Java System Identity Manager を,
もうひとつ別のプロジェクトでは他社
ID プロビジョニング製品を入れた (遅刻していったので理由は不明) けど,
やっぱ前者 (Sun) の方が導入楽だったよ,
後者 (他社) はパッチやサービスパックあてる作業だけでもううんざりだったよ, という話.
- 14:25: The role of compliance and privacy in driving security
architecture development
- コンプライアンス / ガバナンスを支援するシステムには
Security, Confidentiality, Identity Management, Data Stewardship,
Information Life Management の 5 つの要件があって, それを満たすための
Sun のアプローチの話.
- 15:40: The road ahead in Identity Managemnt with SOA
- Sun Java Identity Management Suite と CAPS との連携の話.
- 16:50: Liberty Alliance After Federation, SSO and Web
Services What's Next?
- Liberty Alliance 仕様の現況と,
Sun の実装である Sun Java System Access Manager,
それに今後の OpenSSO の話.
ちなみにスピーカーの一人は Pat. 会ったのは一年ぶりくらい.
- 18:00: Applying Identity Management to the End-User Experience
- 既存のアプリケーションをプロビジョニングのソースにするときに,
そのアプリケーションの提供しているユーザ体験を変えずにどうやって Identity Manager
と統合するか (Identity Manager
にプロビジョニング・リクエストを渡すロジックを,
どのように既存アプリケーションに追加するか),
しかもその改修作業をいかに簡単に行なうかの話.
今日聴講した中では, 最後のセッションが一番おもしろかった.
明日のブレイクアウトの午後いちにもう一度同じ内容をやるはずなので,
Identity Manager にかかわっている人は参加してみることをオススメしたい.
(Translate to English)
Friday Mar 24, 2006
リバティ・アライアンスが新しいホワイトペーパーを公開した.
表向きの主題は
「ユーザセントリック・アイデンティティとは利用者本人がアイデンティティ情報をコントロールすることであり,
それはリバティ・アライアンスの仕様にすでに盛り込まれています」
だけど, その裏は
「Dick Hardt が俺らを指して Identity 1.5 とか言ってるけど,
そんなことないよ!」
てことなんじゃないかと勝手に推測してみたり.
User-centric identity involves users in the management of
their personal information and how that information is used,
rather than to presume that an enterprise or commercial entity
holds all the power. The open identity protocols of the
Liberty Alliance have built-in user consent and privacy
features, which are designed to work with a wide variety of
network devices.
Liberty Alliance Project Whitepaper: Personal Identity, March 23, 2006
いわゆる某 2.0 やその類似品たちとリバティ・アライアンスとの根本的な違いのひとつは,
信頼関係をどう位置づけているかだろう.
前者は loosely-coupled な信頼関係,
あるいは信頼関係の無い状態がディフォルトで,
必要になったら信頼関係を築いていく
(あるいは既存の信頼関係を取り込む) というアプローチ.
これに対し後者は, 確立された信頼関係に基づく運用が大前提.
その結果できた仕様をみると, 前者は軽量で後者はヘビーになってる.
しかし信頼関係を活用しようとすればするほど,
いまは軽量を謳ってる前者も,
同じように複雑なものとなっていくはずだ.
どちらが正しいのかはわからない.
いずれにせよ, もし
「リバティ・アライアンスはユーザセントリック・アイデンティティじゃないからイケてないよねー」
という人がいたらそれは全くの誤解
(protocol-rigidity と user-centricity は無関係)
なので,
ぜひこのホワイトペーパーを読んでほしいなあと思う.
(Translate to English)
Tuesday Dec 06, 2005
リバティ・アライアンスがピープル・サービスの草稿をリリースした.
Paul Madsen 氏曰く, A bit like a SOAP API into a FOAF repository.
People Service allows consumers and enterprise users to manage
social applications such as bookmarks, blogging, calendars,
photo sharing and instant messaging from a common layer within
the ID-WSF 2.0 framework.
Liberty
Alliance Releases People Service in Latest Version of Liberty
Web Services
これはもう,
Federated Social Identity
連携ソーシャル・アイデンティティ
という言葉を出した段階でもう優勝決定だろう (どこでかはわからないけど).
ホワイトペーパーでは想定される適用例として以下のようなシナリオを挙げている (4 ページ目):
アリスは自分の写真を photos.example.com (というオンライン・ストア) に置いている.
彼女はカリブで過ごした休暇の写真をそのサイトにアップロードし,
「バケーションの写真」 という名前でアルバムを作成する.
アリスは以前友人のボブに, 彼がグランド・キャニオンに遊びに行ったときの写真を延々
3 時間も鑑賞させられたことがあったので, 今度は彼女がボブに同じことをやり返そうと考える.
アリスが自分の写真をボブと共有するためには,
二人がそれぞれ持っている次のようなニーズを満たすシステムが必要となるだろう:
- アリスは自分の持っているすべての写真をボブに公開したくはなくて,
ただ 「バケーションの写真」 だけを見せたい
- ボブは photos.example.com のアカウントを持っていないし,
またアカウントを作成したくもない
(たとえ, 作成しない限りはアリスの撮りまくったピンぼけ夕焼け写真が見れないとしても)
- ボブのメール・アドレスをアリスは知っているけど,
彼女は彼がそのメール・アドレスを photos.example.com に公開してほしくないことを知っている,
もしくは予想している
- アリスは自分のいろいろなオンライン上のリソースへのアクセス,
たとえば自分のプレゼンス情報をボブに通知したり,
自分の連絡先を変更したときにそれをボブのコンタクト・ブックが自動的に同期したりといったかたちのアクセスを,
将来的にはボブに許可してもいいかなと考えている.
そこで, 彼女はボブとの実際の 「つながり」 を記録しておき,
将来役立てたいと考える.
で, ここにピープル・サービス (PS) を当てはめるとこうなる (6 ページ目):
- アリスは photos.example.com にアクセスし,
友人に写真を公開するためのサービスを選択する.
- photos.example.com はアリスの PS がどこにあるかを (Liberty
の定義する標準メカニズムにより) 発見し,
それが特定されたのちに,
アリスの友達リストに載っているメンバ一覧を問い合わせる.
- PS は photos.example.com
がアリスの代理として問い合わせているのだということを確認した上で,
photos.example.com にメンバ一覧を返却する
(この一覧がアリスに対し提示される).
- メンバ一覧はアリスが過去にオンライン・コネクションを確立したことのある人々により構成されているので,
これからコンタクトしようとするボブの情報はこのリストにはまだ入っていない.
アリスは photos.example.com に 「ボブ」 をリストに追加するようリクエストする.
photos.example.com はアリスの PS に対し,
ボブを追加するためのリクエストを送信する.
- アリスの PS は (これからボブに送ることになる)
招待状に対しボブが返答するための URL を返却する.
- photos.example.com は,
アリスが自分の写真を公開したいことをボブへ伝えるべく,
彼への招待状を作成する.
この招待状はアリスが利用可能なかたち (例: コピー & ペースト可能な HTML ページ)
になっていて, 彼女はこれをボブに直接渡すことが可能となる.
アリスはこの招待メッセージをボブにメールする.
もしくはアリスがボブのメール・アドレスを photos.example.com に入力することにより,
このサイトが直接ボブに送信するということも可能である.
- ボブが招待メッセージの本文にある URL をクリックすると
photos.example.com へアクセスすることになり,
そこで招待内容の詳細を確認することができる.
もしここで彼が同意し,
自分とアリスとのオンライン・コネクションを彼女が記録することに対し許可を与えると,
彼は 5. でアリスの PS が返却した URL にアクセスすることになる.
- アリスの PS はボブに,
他のアイデンティティ・プロバイダにて管理されている彼のアカウントとのリンクを確立したいかどうかを尋ねる.
もしボブが同意した場合 (かつ必要な業務関係が存在していると仮定して),
アリスの PS とボブのアイデンティティ・プロバイダはリンクを確立する
(Liberty 用語でいうところの 「彼らはボブと連携する」).
- アリスの PS はここでようやくボブのアイデンティティ・プロバイダに,
photos.example.com でボブを識別するための識別子を問い合わせる.
ボブのアイデンティティ・プロバイダは識別子を生成し,
これをアリスの PS からは判読できないように暗号化した上で,
アリスの PS に返却する.
- アリスの PS はその暗号化されたボブの識別子を photos.example.com に送り,
photos.example.com は復号化したのちにその識別子に対し適切な権限を与える.
- ふたたびボブが photos.example.com へアクセス
(まず彼は自分のアイデンティティ・プロバイダへログインした上で) すると,
photos.example.com が彼のことをアリスが権限を与えた誰かであると認識し,
彼は目的の写真を見ることができるようになる.
くわしくはホワイトペーパーと仕様
ホワイトペーパーと仕様
(5/19/2008: リンク切れを修正.
ご指摘ありがとうございます)をどうぞ.
(Translate to English)
Wednesday Nov 09, 2005
15 分遅れで
Pat Patterson
のセッション
Developing and Deploying Secure Identity Web Services in a Federated Environment
に同席.
基本的には
6 月のサンフランシスコで話した内容の再演で,
しかも技術ノートも先月公開されているんだけど,
実際に
Sun Java Studio Enterprise
を使った効率的なアイデンティティ Web
サービス開発手順デモを目の当たりにしてみるとけっこう感動する.
このデモを弊社の IdM 展示ブースに持ってくるつもりだったのだけど,
機材の都合上今回はちょっと実現できなさそう. 残念...
Pat からデモに関する多少の TOI (Transfer of Information) を受けたので,
もしセッションを受講された方でなにか不明な点があれば
IdM ブースにいる小職までお声がけください.
(Translate to English)
Saturday Oct 29, 2005
マーケティングの藤井さんから
「おまえも告知せよ」 との強い念を感じたので, ここらで再来週の JavaOne @ 東京国際フォーラムを紹介.
Javaテクノロジーが誕生して記念すべき10年目の今年、Sun Microsystemsは、日本で最大規模のJavaイベント、『JavaOne Tokyo』を開催し、ビジネスを支える基盤テクノロジーとなったJavaテクノロジーをキーワードに、ビジネス・コンピューティングの現在と未来をふんだんにご紹介します。
サン・マイクロシステムズ - JavaOne Tokyo 2005
アイデンティティ関係では下道さんと
Pat Patterson (通称 Superpat)
がそれぞれ講演し,
また下道さんのインタビュー記事の最後にちょっと書いてあるとおり製品デモを展示する.
こちらはぼくと守屋さんが説明員を担当する予定.
いまのところ Liberty Day と同様の内容でいこうかと考えているけど,
もし間に合えば Superpat がセッションのネタとして東京に持ってくる
Liberty ID-WSF / JSR 196 デモ
(いま勝手に命名してみた)
も紹介できるかも.
ここでおトク情報. Sun の社員が知り合いにいる方は,
ためしにその人間に 「『クーポン』 ちょうだい」
と言ってみよう. するとその彼 / 彼女はきっと喜んで
『Sun 社員特別ご招待クーポン』 という名の
PDF ファイル (あるいは書面) を差し出してくるはずだ.
それを印刷して JavaOne の会場で受付をすると,
もれなく 『Sun 特製オリジナルグッズ』 がプレゼントされる!
もしクーポンをゲットできなかったときには以下の PDF
ファイルを印刷の上ご持参していただいてもオッケイ.
ということで, どうぞよろしくお願いします.
Sun 社員特別ご招待クーポン
(Translate to English)
Thursday Oct 27, 2005
先日告知したとおり,
リバティ・アライアンスのイベントにて
Sun Java System Identity Manager (SJS IDM) と Sun Java System Identity
Auditor (SJS IDA) による ID 管理・監査のデモを展示した.
また Sun のブースではこれら以外に Sun Java System Access Manager (SJS AM)
および Sun Java System Federation Manager (SJS FM) も同時に出展し,
SAML および Liberty ベースの ID 連携のデモを紹介した.
「ID 管理・監査 (IDM / IDA)」 と 「ID 連携 + SSO (AM / FM)」
が並んでたら来場者の興味はほとんど後者に流れてしまうんじゃないかなと勝手に想像してたんだけど,
実際のところは
AM / FM に負けず劣らず IDM / IDA にも注目が集まったのでひと安心.
「アイデンティティ情報のライフサイクル管理」
という概念が徐々にではあるけど世間に浸透しつつあるようで,
個人的には心強く感じた.
あと山中さんも書いているけど,
このページを読んでくださっている方が意外に多かったのにびっくり.
今後ともよろしくお願いします.
そういえば, 月曜会場に来てた Sun の担当者はほとんど blogs.sun.com
のアカウント持ってるかも. 工藤,
山中さん,
岡崎さん,
下道さん,
徹さん.
これであと守屋さんが書いてればパーフェクトなんだけどなー. (などと圧力をかけてみる)
(Translate to English)
Friday Oct 07, 2005
リバティ・アライアンス スポークスパーソンの下道さんから
「おまえも告知せよ」 との強い念を感じたので, ここらで
10/24 の Liberty Day @ 品川を紹介.
来る10月24日(月)、
Liberty Alliance Project は東京コンファレンスセンター品川にて
「Liberty Alliance Day in Japan 2005」
を開催することとなりました。
日本在住のメンバー企業はもとより、
海外のメンバー企業によるセミナーやデモも予定しており、
国際色豊かな、最先端の技術および事例をご紹介するイベントです。
Liberty Alliance Day in Japan 2005
-個人情報保護法時代におけるセキュアなサービス連携に向けて-
Sun からはヘルムート・ボーダとイブ・メイラーがそれぞれ講演する予定.
あとぼくも会場に行って山中進吾と一緒に
Sun Java System Identity Manager と Sun Java System Identity Auditor
のデモ展示を担当することになった.
連携アイデンティティ管理を実現するためには
Liberty / SAML を使えば十分か? というとそんなわけはなくて,
本来 「ID 連携の仕組み」 を検討する前に
「ID とリレーションシップのライフサイクル管理の仕組み」
を考える必要が出てくるはず... なんだけど,
「統合認証システム」 とか 「グループ企業内 SSO 基盤」
とかの延長で Liberty / SAML
を使いたがっている人の多くはなぜかそのことにあんまり気づいていない
(なんでなんだろ, ホントに).
当日はそのへんの誤解を解消すべく,
周りのブースがおそらくさんざんリバティーだのサムルだの言ってるなか, 二人ひっそりと
ID ライフサイクル管理と ID 監査についてご説明させていただきますので,
セッションの合間にでもお立ち寄りいただければ幸いです.
«
Previous page |
Main
|
Next page »
|
|
|
|
