(Translate to English)
Thursday Apr 24, 2008
前に言及した Fedlet
が,
いよいよ最近の OpenSSO で使える状態になってる.
試してみた感じでは,
- OpenSSO の Common Tasks から
Create Hosted Identity Provider を実行し,
Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
- その流れで Create Fedlet を実行し,
Fedlet の配備先となるサービス・プロバイダ (SP) の情報
(URL とか) を指定して, その SP 特有の設定情報が詰まった
Fedlet.zip を生成
- 産みおとされた Fedlet.zip から fedlet.war を抽出し,
SP 側のアプリケーション・サーバに配備
- IdP と SP との間での疎通テスト
という具合に, 簡単に SP 側の 「SAML の受け口」
を設定することができて, ちょっと感動.
Fedlet 入り OpenSSO
のダウンロードは以下からどうぞ.
(Translate to English)
Wednesday Apr 16, 2008
ということで前回予告した通り,
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
では,
IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.
前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)
書き上げてから言うのもなんだけど,
本稿では SAML の説明自体をかなりはしょってるので,
実際に OpenSSO の 「SAML2 サンプル」
をさわってみる際には,
以下を参考にしながら進めるといいと思う.
(Translate to English)
Friday Apr 11, 2008
来週水曜日の夕方に Sun の用賀本社にて行なわれる
「2 時間で学ぶ今月の Java ホットトピック (4 月号)」
で,
岩片さんが
OpenSSO の紹介をするとのこと.
お申し込みは以下からどうぞ.
ぼくも行こうと思ってたんだけど,
当日はどうも別件が入りそう. 残念...
(Translate to English)
Thursday Apr 03, 2008
ついさきほど,
OpenSSO V1 Build 4 が download.java.net に置かれた模様.
今回の変更点は, リリース・ノートによれば以下の通り:
- OpenSSO コンフィグレータ (初期設定ウィザード) が新しくなった
- STS サービスが GlassFish, Sun Java System Application Server,
Sun Java System Web Server,
Geronimo, Tomcat, そして WebSphere で利用可能になった
- シンプルな STS クライアントのサンプルが付属するようになった
- OpenDS を内蔵設定ストアとして使用している場合に,
その OpenDS を複数の OpenSSO インスタンス間でレプリケーションさせることが可能になった
- セキュリティ / SSL 関連の修正が行なわれた
- そのほかいろいろなバグが修正された
(こないだの恥ずかしい I18N バグも直ってる.
わーい)
(Translate to English)
Tuesday Apr 01, 2008
I have very little knowledge on both
Shibboleth
specification and implementation however, It seems easy to
integrate
Sun Java System Access Manager /
OpenSSO
with it to
centralize user authentication into single access management
infrastructure and provide some other strong authentication methods such as client certificate,
finger vein etc.
The integration
point is REMOTE_USER variable between the Shibboleth IdP and
Application Server with Policy Agent, just like what
Paul did for
Sun Secure Global Desktop / Access Manager integration.
Sets the principal name in the IdP to REMOTE_USER as
determined by the web server or container's authentication,
similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki
The user ID value is used by the agent to set the value of the
REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)
The key step here (doco)
in order to get it working is to modify the Tomcat server.xml
to look like the following, this ensures that Apache forwards
the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat
Here's a simple diagram. Let me know if I missed something.
(Translate to English)
Monday Mar 24, 2008
って, なぜに The Matrix 風味?
(Via: Daniel)
(Translate to English)
Wednesday Mar 12, 2008
実はまだ続いていた SDC 連載
「アイデンティティ管理の基礎と応用」,
再開一発目は
OpenSSO による
SAML 2.0 (によるフェデレーテッド SSO) の実習.
先日の
OpenID Extension for OpenSSO のときと同様,
今回は設定手順までを紹介.
実行環境の構成が若干ややこしめだけど
(ホスト名とポート名のあたりとか),
設定の内容自体は難しくないので,
あわてずあせらずじっくりどうぞ.
たぶん来月は各 OpenSSO インスタンスの前段に
tcpmon
をかませて,
IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.
ちなみに花木さんが
・1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog
とまとめている通り,
OpenSSO V1 Build 3 には
「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると
Federation モジュールが設定されない」
という, ちょっと恥ずかしいバグがある
(これに気づくまで SAML2 サンプルを動かすことができず,
かなりハマった...).
LANG=ja_JP.UTF-8 の場合
(うまく設定できてない) |
LANG=C の場合
(期待どおりの設定ができてる) |
 |
 |
次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは
env LANG=C ~/glassfish/bin/asadmin start-domain
などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく.
なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.
(Translate to English)
Friday Mar 07, 2008
詳細は知らないけど,
近々 OpenSSO プロジェクトに Fedlet
というものが登場するらしい.
これは気になる...
Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?
来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します.
この Fedlet は基本的には軽量版の SAML2 SDK であり,
Post プロファイルに対応し (訳注: Artifact には対応しないってことかな),
既存のアプリケーションをフェデレーション対応にするためのものです.
加えて, コンソールから設定タスクが実行できます.
この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む,
設定済みの zip ファイルを作成することができるようになります.
今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.
Subject: Ready made SP? - opensso: Mail reader
(Translate to English)
Friday Feb 22, 2008
I've just found that the bits showed up on opensso/stable directory.
Release Notes also available.
(Translate to English)
Thursday Feb 21, 2008
For the record - you have to modify domain.xml as follows before
configuring the latest nightly build, 20080219.1
of OpenSSO (aka Federated Access Manager 8.0)
on
GlassFish V2 UR1:
Edit domain.xml and change the
following options to
<jvm-options>-server</jvm-options>
from
originally it was
<jvm-options>-client</jvm-options>
Install of opensso on glassfish - opensso: Mail reader
Thanks Sujatha for
the follow-up post
on users at opensso.dev.java.net.
(Translate to English)
Friday Jan 18, 2008
Ω ΩΩ < な, なんだってー (棒読み)
2006年、2007年あたりから注目が集まりだしたOpenID。対象Webサイトで登録する必要なく、認証情報を流用できるので便利だ。そしてそれをさらに発展させたものがSAMLというプロトコルだ。
MOONGIFT: » セキュアなシングルサインオンを実現する「simpleSAMLphp」:オープンソースを毎日紹介
こういう明らかな事実誤認が生まれてしまうのは, 残念ながら
SAML 自体よく知られていないからだと思うんだけど,
さておき SAML を使うとなにができるのかをてっとり早く試してみたい,
というかたにオススメしたいのが SSOCircle.
ここでアカウント作ってから, Google Apps (ssocircle.com ドメイン)
へシングル・サインオンしたりシングル・ログアウトしたりする
(Daniel のエントリが参考になる)
ところまで, だいたい 2, 30 分でできるはず.
昼休みとかの空いてる時間にでもどーぞ.
(Translate to English)
Wednesday Oct 03, 2007
アイデンティティ管理に特化したカンファレンスとしては国内最大の,
Liberty Alliance Day.
今年は 10/26 (金) に品川インターシティホールにて開催される.
参加費用無料. ただいま事前登録受付中.
Sun からなにを展示しようか考えていたんだけど,
どうやら今回は
Pat
による OpenSSO のブースがちゃんと用意されるようなので
(ちなみに前回の Pat's 屋台はちょっとかわいそうなことになってた),
こちらでは一昨年, 昨年に引き続き
Sun Java System Identity Manager
を中心に紹介する予定.
もちろん Identity Manager のバージョンは最新の 7.1 だし,
準備が間に合えば Sun のミドルウェア・スタック全部入りデモも置こうと思っているので,
当日はぜひ弊社ブースにお立ち寄りくださいませ.
(Translate to English)
Saturday Sep 29, 2007
いろいろ気になるネタはあったんだけど,
Identity Insights
の記事チェックや
ISACA東京支部の例会
(b.s.c./tkudo で告知するの忘れてた...)
のスライド作成に追われてて,
ちょっと時間がたってしまった.
ここらでひとまずまとめ書き.
- IdentityMeme.org » Blog Archive » Latest revisions of SAML-lSSO and SAML OpenID Profile
- Jeff Hodges
による
SAML OpenID Profile のアップデート.
Service Provider (SP) は事前に
Identity Provider (IdP) のメタデータを持たずに,
ユーザが指定した OpenId String を
via Yadis, XRI, or HTTP GET
によって解決し, IdP を決定する.
また IdP も事前に SP の情報は持たずに,
SP からの <AuthnRequest> 中の AssertionConsumerServiceURL を使って SP
のエンドポイントを決定する.
- Pat Patterson : Superpatterns: YADIS/XRI Identifier Resolution with SAML 2.0
- で, それに近いことをやったのが
Pat のデモ.
しかしこのデモでは,
SP は IdP のメタデータを動的に取得しているものの
(cf. saml-metadata-2.0-os.pdf
の 4.1.1 Publication),
IdP は SP のメタデータをあらかじめ静的に持っている, とのこと.
ただそのへんは OpenSSO のコードにちょっと手を加えるだけでなんとでもなる
(by Pat).
- saml-core-2.0-os.pdf
- ということで, 技術的に言えば SAML は双方向の信頼関係がなくても動作する.
ただし SAML 2.0 仕様の Assertions and Protocols
(3.4.1.4 Processing Rules) には次のように書いてある.
つまり responder (IdP) が presenter (SP) を認証できない場合には,
エラーを返却しなくてはならない (MUST) ということ.
If the responder is unable to authenticate the
presenter or does not recognize the requested subject,
or (中略),
then it MUST return a <Response> with
an error <Status>, and MAY return a second-level
<StatusCode> of
urn:oasis:names:tc:SAML:2.0:status:AuthnFailed or
urn:oasis:names:tc:SAML:2.0:status:UnknownPrincipal.
これをどのように解釈するか.
素直にとれば, 「あらかじめ信頼関係を確立していない SP からの AuthnRequest を
IdP は拒否しなくてはならない」 と理解するのが自然だろう.
けど IdP が SP をどのように認証するかはここには書かれていないから,
SP のメタデータを IdP が持っていなかったとしても,
「わたしはなんらかの方法で動的に SP を認証できます!」
と IdP が言い張るのもアリかもしれない.
- 9. NZ SAMS Constraints on OASIS SAML v2.0 Metadata - New Zealand E-government Programme
- ちなみにニュージーランド政府の SAML 導入では,
動的なメタデータ交換を禁止してる.
その理由も含めて,
SAML 運用のプラクティスとして非常に参考になる.
Deployment guidance: Metadata Publication Resolution is NOT universally supported in vendor products (especially the DNS DDDS-style of publication). Metadata Publication/Resolution is most useful for automatic/dynamic establishment of associations between the partners. It is unlikely to attract significant numbers of SAML v2.0 deployments. Instead, metadata files are typically created and exchanged out of band between co-operating partners and then imported into the local system to configure interaction with the partner. This provides significantly better administrative control over system configuration and prevents partners from making a change that breaks interoperability.
- Anyway Sun’s OpenID IdP: Business Purpose
- プラクティスといえば,
Lauren Wood が
OpenID.sun.com のまとめを書いている.
So in the formal security review of the system, one of the
first questions was, what’s the purpose of this system?
Under 35 accesses of some consumer site (relying party) per week, most weeks
We use HTTPS for everything except the openid identifier itself
などなど.
- Pushing String » Sun OpenID IdP: protocol and implementation review
- [OpenID] [legal] Draft OpenID Intellectual Property RightsPolicy for Review
- OpenID 仕様の IPR Policy についての疑念.
The proposed rules would also prevent all OpenID
implementations from re-using portions of the text in the
standard, for documentation, which may be a typical
real-world scenario
とはさすがにならないと思うけど, どうなんだろか.
- LDAP.com - Commentary by Mark Wahl, CISA - Digital ID World and OpenID URLs (20070925)
- France Telecom の OpenID に関して,
その発表があったセッションに出席してたらしい
Mark Wahl
のエントリ.
(Translate to English)
Wednesday Sep 19, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
の第 9 回は,
前回インストール・設定した
OpenID Extension for OpenSSO
の動作確認.
今回は、 OpenID Extension for OpenSSO (以下 OpenID Extension) の動作を確認していきます。
アイデンティティ管理の基礎と応用(9):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (2/2)
本連載では
OpenID Extension の動作に最低限必要な設定の紹介にとどまっているけど,
これを実際の運用にあたってどのように構成していくかは,
Hubert
が
OpenID.sun.com
システムに関してまとめた以下のエントリが参考になると思う.
- OpenID @ Work - Architecture
- OpenID.sun.com の提供するサービスの構成.
ぼくの書いた記事の中ではユーザの登録を OpenSSO 管理者 (amadmin) が手動で行なったり,
OpenID Identifier でポイントされる HTML を静的に置いたりしたところを,
一方の OpenID.sun.com ではユーザ登録を OpenSSO の機能を使ってセルフサービス化し,
また HTML を動的に生成しているところがポイント.
- OpenID @ Work - Infrastructure Description
- OpenID.sun.com の機器構成.
ぼくの書いた記事の中では全部をひとつの GlassFish インスタンスで実行してるところを,
OpenID.sun.com ではユーザ情報をちゃんと Directory Server に格納し,
かつ OpenSSO も含めて冗長化.
さらに前段にファイアウォール / ロード・バランサを配置して,
負荷分散と SSL の終端処理も行なっている.
なお前回と今回の記事をご覧いただくとわかるように,
OpenID Extension は OpenSSO とは独立して動作する
Web アプリケーションとして実装されている
(OpenSSO からみると, OpenID Extension は Policy Agent
インスタンスのひとつとして認識される).
つまり OpenSSO 側には単に OpenID Extension
からの通信を受けつけるための接続情報だけ登録すればよくて,
OpenSSO システムになにか特別なモジュールを組み込む必要はない.
そしてぼく自身はまだ確認できていないんだけど (すみません),
この OpenID Extension は
Sun Java System Access Manager
システムと組み合わせても動作するはず.
もしすでに Sun Java System Access Manager を導入・運用されているサイトで,
さらに OpenID プロバイダの実現可能性を探りたいという野望 (?) をお持ちのかたは,
既存の環境にほとんど影響を与えずに導入することのできる OpenID Extension
for OpenSSO を, ぜひおためしください!
(Translate to English)
Friday Sep 14, 2007
おととい書いたエントリに関して,
Shinichi Tomita さんがコメントしてくれてた.
どうもありがとうございます
(たしか,
2 年前の Liberty Alliance Dayでお会いしたことがありますよね).
書きかたがうまくなかったけど,
ぼくが言いたかったことのひとつは 「少なくとも現状は」 というところ.
「relying party 側が高いリスクを負うトランザクション」
に OpenID を適用した事例, そしてそこから得た教訓や最善慣行,
あるいはビジネス要件や法制度との関係についての考察は,
SAML / Liberty ID-FF と比較するとまだそれほど出揃っていないから,
もうちょっと様子をみたほうがいいんじゃないだろうか.
次に
IdPからRPへ向かっての事前制約がない、という点においては、
利点は失われてないと思うのだけど、この点はどうなのだろうか
については,
そのあとで冨田さん自身も
[アイデンティティ情報を世間一般に解放することが]
IdPにおいて受け入れられないことだという意見であるなら、
結局のところSAMLの「確立した信頼関係」
と等価なものを追い求めることになるのかもしれない
とおっしゃっているように,
IdP となる事業者が対象の RP を固定したいと考える場合もあるだろう.
その動機はたとえばサービスの囲い込みとか,
信頼関係にない RP
に損害を与えてしまって紛争にまきこまれたりしないためのリスク回避とか.
繰り返しになるけど,
IdP から RP へ向かっての事前制約がない
ことが IdP
のビジネスにどのような意味を持つのかを検討するには,
先行事例や研究が, 現状まだ十分とは言えないと思う.
(もしかしたら FUD (Fear, Uncertain, Doubt)
っぽく読み取れてしまうかもしれないので補足しておくと,
ぼく自身はこれに関しては OpenID のコンセプトのほうが柔軟性があると感じている)
ちなみに SSOCircle
というところが OpenSSO を使って SAML2 IdP 機能を提供してる
(実際には OpenID Extension
も導入されてて, OpenID プロバイダとしてもサービスしてる) んだけど,
ここのメタデータの交換方法 (連携のための設定) は
Get the SSOCircle Identity provider Metadata
して
importing your entity
するだけみたい.
はたしてうまくいくかどうかはさておき
(OpenSSO つながりの立場からいうとうまくいってほしいんだけど,
サービス提供者を引き込むにはキャラ立ちが弱いかな...),
こういう SAML の使いかたもあるということで.
最後に,
前にもちょっと書いたけど,
「ユーザ・セントリック」 とか
「デジタル・アイデンティティの民主化」
(苦笑) とか言われてるのに,
それとは真逆にあるホワイトリストとか
PKI を導入して信頼関係の問題を解決しようとするのは後ろ向きだと思う
(や, 理性ではそれらの必要性を理解できる. だけど, ねえ...).
ソーシャル・グラフとかユーザのコンテクストとか OpenID プロバイダの経営倫理,
過去の取引内容をソースとして,
Rapleaf
のようなところがユーザの 「そのトランザクションでの」
リピュテーション・スコアを計算し,
それをもって RP がサービス提供の可否を決定する,
そんな方向に進化していったらいいなあ.
P.S.
そういえばこないだ
Interop Tokyo 2007 の IdM ネタのパネルに参加したとき,
事前の打ち合わせで崎村さんと
「今日はリピュテーションに関して議論してみますか!」
と若干盛り上がったにもかかわらず,
結局本番では時間切れになっちゃったんだった.
一回このへんが好きな人同士で飲み会やりたいすねー.
|
|
|
|
